Nederlandse overheid mag AWS blijven gebruiken na het oplossen van privacyrisico’s – IT Pro – Nieuws

Ik vind dit maar lastige rapporten. Technisch gezien klopt het wel maar het beeld dat onstaat is dat alles goed zit terwijl ik toch een paar struikelblokken zie.

Het komt allemaal samen in de volgende verklaring:

Privacy Company en SLM stellen dat de overheid de dienst kan gebruiken, ondanks de risico’s. Dat kan door ze deels te accepteren of door ze te bevatten. Met andere woorden SLM verschillende mogelijkheden.

Ik vind het een beetje een dooddoener. Alles in deze wereld is mogelijk als je het risico enigszins beperkt. Zonder parachute uit een vliegtuig springen is mogelijk als je het risico dreigt. De gebruikelijke manier om het risico te lopen om met een parachute te springen, is om inderdaad een parachute te gebruiken.

Wat voorbeeld:

“Als (de klanten) concluderen dat AWS IP-adressen van bezoekers vastlegt aan de Nederlandse overheid
applicaties of websites een hoog gegevensbeschermingsrisico vormen, kunnen ze hun website ergens anders hosten of een proxy gebruiken voordat ze bezoekers naar AWS omleiden.”

Technisch gezien klopt het hoor maar wie gaat daar in de praktijk echt iets mee doen? De niet-technische manager van de afdeling leest alleen “AWS is toegestaan”.

Ander voorbeeld: “Omdat het niveau van gegevensbescherming in de VS (nog) niet adequaat wordt
er zijn inherente risico’s verbonden aan de overdracht van persoonsgegevens naar de VS. (…) Overheidsorganisaties kunnen deze risico’s beperken door de gegevens van het beheerdersaccount te pseudonimiseren en beheerders te instrueren nooit persoonlijke gegevens te uploaden als onderdeel van ondersteuningstickets.”

Klinkt goed, maar in de praktijk lijkt me dat behoorlijk lastig en iets dat iedereen verkeerd zal doen als ze niet strak bij de hand worden gehouden. Je zal toch op z’n minst een apart e-mailadres en een aparte 2fa-oplossing moeten hebben wat in de praktijk vaak een aparte telefoon + abonnement is. Als je verwacht dat admins hun eigen telefoon gebruiken voor 2fa, dan zullen de pseudonimsering niet lang in stand blijven.
Mij ​​lijkt het haast niet te doen en een gevalletje “leuk bedacht maar in praktijk onuitvoerbaar voor de beheerders waar het om gaat”.

Nog een: “Gezien de verwerkersrol van AWS, en de beperkte doeleinden waarvoor AWS contractueel deze persoonsgegevens mag verwerken, kan SLM Rijk de risico’s van het gebrek aan transparantie grotendeels mitigeren door audits te organiseren om na te gaan of AWS de garanties in het inschrijvingskader.”
Wat moet je daar nu weer mee? In dit onderzoek hebben ze niet de info gekregen die ze nodig hebben. De oplossing is zelf een onderzoek doen. De kans lijkt me groot dat je de benodigde informatie als nog niet krijgt.

Voor de duidelijkheid, het rapport en de technische oplossingen kloppen wel, maar ik ben bang dat er toch een verkeerd beeld ontstaat. Het gevoel dat ik krijg bij de introductie is namelijk “alles ok behalve een paar kleine puntjes die je eenvoudig zelf kunt oplossen, gewoon doen!”. Maar als ik verder lees trek ik een heel andere conclusie, zeker als je een ‘alles van niets’ antwoord zal en er op veel plekken de wens bestaat om alle hosting (en/of andere dienstverlening) op één plek onder te brengen.

CAPSLOCK2000 hoeft nooit meer een paraplu te gebruiken na het oplossen van het regenprobleem.
CAPSLOCK2000 kan veilig in de zon zitten na het oplossen van het UV-stralingsprobleem.