Print:

Omgaan met de risico’s van cloud computing: van voorkomen tot verzekeren

Lynsey Dubbeld , Contentstrateeg

LinkedIn profiel

Cloud computing brengt naast allerlei voordelen ook risico’s mee, bijvoorbeeld als het gaat om dataprotectie en security. Mark Braam van Aon Risk Solutions vertelt over de risico’s – en wat juristen erover moeten weten.

Cloud & Recht | IIR

 

De cloud is in toenemende mate het kloppende hart van organisaties. In deze online omgeving kunnen bedrijfsgegevens worden gecreëerd, verzameld, opgeslagen en gedeeld. De kansen voor datamanagement lijken eindeloos. Maar er kleven ook risico’s aan het gebruik van cloud computing. “Er zijn altijd kwaadwillenden die andere dingen doen dan je ooit kunt bedenken. Organisaties worden nogal eens overvallen door incidenten zoals een datalek. Pas daarna komen mensen in beweging en vinden er bijvoorbeeld IT-onderzoeken plaats. Maar voorkomen is natuurlijk beter”, zegt Mark Braam. Als senior consultant bij Aon Risk Solutions adviseert Braam organisaties over risicomanagement. Daarnaast is hij docent aan de Universiteit van Amsterdam en gastdocent van de IIR-opleiding Cloud & Recht, waar hij samen met Wouter Seinen, advocaat bij Baker & McKenzie, een module verzorgt over privacy, cybersecurity en aansprakelijkheden.

Het is belangrijk dat managers en bestuurders niet alleen bezig zijn met de doelstellingen van de organisatie, maar ook nadenken over de risico’s die daarmee samenhangen, benadrukt Braam. “Maak inzichtelijk wat de risico’s zijn en wat de effecten van een incident kunnen zijn. Als uit deze analyse blijkt dat er mogelijk kosten zijn die je niet kunt dragen, dan kunnen verzekeringen een optie zijn. Ga niet meteen beginnen met verzekeringen. Risico’s afdekken met een verzekering is iets om weloverwogen te doen, niet alleen maar omdat het kan.”

“Het lastige bij de cloud is dat niet altijd duidelijk is wat daaronder verstaan wordt – en hoe de verantwoordelijkheden liggen”, zegt Braam, die al meer dan tien jaar aanbieders én afnemers van clouddiensten adviseert. “Zijn de issues die bij de cloud kunnen spelen, zoals een datalek of een verstoring van de continuïteit, een verantwoordelijkheid voor de dienstverlener of ook voor de gebruiker? Juist vanwege dit soort vraagstukken is het van belang om risico’s inzichtelijk te maken en te inventariseren wat de mogelijke impact van een incident is. Want de kans dat er iets misgaat is echt aanwezig. We weten dát het kan gebeuren, we weten alleen niet wanneer en met welke gevolgen.”

Veeleisender worden

Het inrichten van crisismanagement en het ondersteunen van werkwijzen na een incident zijn veelgebruikte manieren waarop organisaties zich voorbereiden op risico’s rond de cloud. De wettelijke eisen maken juristen in toenemende mate bewust van de noodzaak van richtlijnen en awareness, merkt Braam. “Afnemende partijen moeten steeds veeleisender zijn om te voldoen aan bijvoorbeeld de Algemene verordening gegevensbescherming (AVG). Vraag de cloudaanbieder waar je data staat en hoe de beveiliging precies geregeld is. Het is een misvatting om te denken dat een verzekering de risico’s wel dekt. Want niet alle onderdelen van de bedrijfsvoering vallen altijd onder de dekking. En zelfs als je een verzekering hebt, moet je er zelf mee aan de slag omdat een verzekeraar vraagt om passende preventieve maatregelen.”

Verzekering als sluitstuk

Juristen staan er zeker niet alleen voor, stelt Braam. “Juristen hebben bijvoorbeeld de CFO, IT-manager en risk insurance manager nodig om de mogelijke impact van de risico’s van cloud computing te bepalen. Juristen hebben daar doorgaans wel ideeën over, maar die moeten intern gedeeld en besproken worden zodat een compleet beeld en een gedragen plan ontstaan.”

Ook de betrokkenheid van managers en bestuurders is belangrijk, bijvoorbeeld als het gaat om het communiceren over een incident en het omgaan met aansprakelijkheidsvraagstukken. “Gezamenlijk kan je nagaan wat de risico’s zijn, wat er al gebeurt om incidenten te voorkomen en wat er aan restrisico’s over blijft. Pas dan komen verzekeringen in beeld – als sluitstuk van de contractuele en operationele activiteiten.”

Check, check, dubbelcheck

Hoe maken we de financiële risico’s van cloud computing concreet? In hoeverre zijn de risico’s eigenlijk verzekerbaar? Het zijn vragen die Braam vaak te horen krijgt. “Imagoschade is bijvoorbeeld moeilijk concreet te maken. Daarnaast groeit het besef dat een continuïteitsverstoring enorme invloed kan hebben op de bedrijfsvoering. Daarom zijn dubbele checks geen overbodige luxe. Controleer bijvoorbeeld regelmatig of back-ups goed worden uitgevoerd én terug te plaatsen zijn, en of clouddienstverleners nog voldoen aan de afspraken. Vanuit de doestellingen van de organisatie moet je weten welke processen essentieel zijn voor de bedrijfsvoering, welke risico’s daarbij spelen, welke maatregelen nodig zijn én hoe je de effectiviteit daarvan kunt checken.”

Juristen hoeven geen technische experts te zijn om de risico’s van cloud computing te beheersen. Het gaat er vooral om de juiste vragen te stellen – en de juiste collega’s aan te haken. “Stel de CFO de vraag: wat is onze risk bearing capacity? Vraag collega’s: hoe creëren we een reëel beeld van de concrete cyberrisico’s van onze specifieke organisatie? De jurist kan deze aanpak prima voorbereiden en opstarten, maar de zoektocht naar de antwoorden is echt een gezamenlijke effort.”

Alles weten over risicomanagement bij clouddienstverlening? Volg dan de vierdaagse verdiepingscursus Cloud & Recht.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten