chat-altchatcrossloginquestion-circlesearchsmileystarthumbup-downwarning
Vlaanderen
Contacteer ons
    Terug naar overzicht Stuur een e-mail

    Stuur een e-mail naar 1700, de informatiedienst voor al uw vragen aan de overheid.
    U ontvangt een kopie van uw bericht.

    Terug naar overzicht Chat met ons
    Uw chatgesprek wordt automatisch gestart zodra er een medewerker beschikbaar is.
    Even geduld, uw positie in de wachtrij wordt bepaald.

    Cloudadvies VTC/A/2022/02 in het kort

    10 november 2022

    Dit advies VTC/A/2022/02 van 11 oktober 2022 geldt voor alle Vlaamse (bestuurs)instanties. Het is een technische aanvulling op advies en waarschuwing VTC/A/2020/05 (in het kort).

    De VTC stelde vast dat er enerzijds naar bijkomende technische oplossingen werd gezocht door de aanbieders van de publieke cloud platformen en anderzijds dat er ook navolging komt van haar advies VTC/A/2020/05.

    De nieuwe technische oplossingen houden een duidelijke verbetering in, maar de verwerkingsverantwoordelijken moeten nog steeds structureel vertrouwen op de cloudleverancier die niet kan aantonen dat het onmogelijk is om (eventueel onder dwang) een achterpoort open te zetten. Daarom blijven keuzes voor bepaalde cloudoplossingen niet aanvaardbaar voor sommige verwerkingen, zijn bepaalde verwerkingen enkel mogelijk in een hybride of private setting, en moeten andere met extra maatregelen worden aangevuld.

    De VTC geeft in dit advies voor de aanvaardbare verwerkingen naast een aantal basisvereisten een schema met controleobjectieven die minimaal moeten gerespecteerd worden voor:

    1) de verwerking van data at rest

    2) de verwerking van data in motion

    3) de verwerking van data in use

    4) de beheersomgeving

    5) het priviledged access management

    6) secrets management en hardware security modules

    7) gebruikers- en toegangsbeheer

    8) audit trailing.

    De VTC verwacht dat alle Vlaamse instanties uitdrukkelijk de hiervoor vermelde elementen opnemen in de evaluatie die bepalend is voor de keuze van verwerker, i.c. voor datacenterdiensten.

    Correctie

    Op blz. 5 wordt bovenaan, onder basisvereisten, verwezen naar "de matrix in advies VTC/A/2020/02": dat moet "de matrix in advies VTC/A/2020/05" zijn.