10 november 2022

Dit advies VTC/A/2022/02 van 11 oktober 2022 geldt voor alle Vlaamse (bestuurs)instanties. Het is een technische aanvulling op advies en waarschuwing VTC/A/2020/05 (in het kort).

De VTC stelde vast dat er enerzijds naar bijkomende technische oplossingen werd gezocht door de aanbieders van de publieke cloud platformen en anderzijds dat er ook navolging komt van haar advies VTC/A/2020/05.

De nieuwe technische oplossingen houden een duidelijke verbetering in, maar de verwerkingsverantwoordelijken moeten nog steeds structureel vertrouwen op de cloudleverancier die niet kan aantonen dat het onmogelijk is om (eventueel onder dwang) een achterpoort open te zetten. Daarom blijven keuzes voor bepaalde cloudoplossingen niet aanvaardbaar voor sommige verwerkingen, zijn bepaalde verwerkingen enkel mogelijk in een hybride of private setting, en moeten andere met extra maatregelen worden aangevuld.

De VTC geeft in dit advies voor de aanvaardbare verwerkingen naast een aantal basisvereisten een schema met controleobjectieven die minimaal moeten gerespecteerd worden voor:

1. de verwerking van data at rest
2. de verwerking van data in motion
3. de verwerking van data in use
4. de beheersomgeving
5. het priviledged access management
6. secrets management en hardware security modules
7. gebruikers- en toegangsbeheer
8. audit trailing.

De VTC verwacht dat alle Vlaamse instanties uitdrukkelijk de hiervoor vermelde elementen opnemen in de evaluatie die bepalend is voor de keuze van verwerker, i.c. voor datacenterdiensten.