Zowel het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) als de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) waarschuwen overheden goed na te denken over het opslaan van data in de cloud.

De ENISA geeft in een uitgebreid rapport (pdf) richtlijnen voor Europese overheden en geeft een aantal vragen die iedere overheid moet aanpakken. De lidstaten moeten nadenken of het mogelijk is wetten aan te passen om data op te slaan buiten de landsgrenzen zonder dat veiligheid of privacy van de gegevens van burgers, de nationale veiligheid en de economie onacceptabele risico's lopen. Daarnaast moet de vraag worden gesteld of het ├╝berhaupt wenselijk is deze data in het buitenland op te slaan en of het risico op het verliezen van de controle over deze data opweegt tegen de voordelen van het verspreiden van de data over verschillende plekken.

Private cloud heeft de voorkeur

ENISA wijst erop dat dat, hoewel gebruik maken van de cloud er voor zorgt dat data sneller wordt ontsloten voor burgers, de bijbehorende risico's ook groter worden. Daarom moeten overheden zich goed voorbereiden op een eventuele overstap naar het opslaan van data in de cloud. Het beste kunnen overheden een tienjarenplan maken en per dienst bekijken of de data wel de cloud in kan. "Er moet niet aangenomen worden dat een succesvolle uitrol van een applicatie in een cloud-omgeving automatisch betekent dat ook andere diensten kunnen worden uitgrold", zo waarschuwt de organisatie.

ENISA raadt overheden aan gebruik te maken van een private cloud of een community cloud. Een private cloud is een omgeving voor data die wel nog wordt beheerd door de eigenaar ervan. Deze oplossing biedt op cloud-gebied de meeste controle over de data. Een communitycloud is bedoeld voor organisaties die de krachten bundelen, omdat ze dezelfde doelen voor ogen hebben. Ook in deze variant hebben de beheerders grote controle over data en beveiliging, dit in tegenstelling tot een publieke cloud. Vooral die controle is interessant voor overheden.

Contracten dichttimmeren

Hoewel er veel risico's verbonden zijn aan het opslaan van overheidsdata in de cloud, zien zowel ENISA als OESO een behoefte. Ze gaan er ook vanuit dat er langzamerhand steeds meer overheden cloudoplossingen gaan gebruiken. "Overheden staan onder significante druk om kosten voor hun grootschalige informatiesystemen te reduceren. Outsourcing en cloud computing gaan als gevolg daarvan in de komende tien jaar waarschijnlijk steeds populairder worden", merkt de OESO in een eigen rapport (pdf) op.

De overheden moeten goed in de gaten houden op welke manieren ze afhankelijk worden van de cloud, en vice versa. Daarnaast moeten er plannen komen voor manieren waarop wordt omgegaan met "catastrofaal falen van diensten van derden". "Contracten en Service Level Agreements moeten bepalingen bevatten over beschikbaarheid en aansprakelijkheid voor inbreuken op de beveiliging. Ook moeten er bepalingen in staan over de geografische locatie van gevoelige data en het niveau van toegang voor personeel van derden", vindt OESO.