To Cloud or Not To Cloud: the Proof of the Pudding

V-ICT-OR Security werkgroep – Cloud

To Cloud or Not To Cloud: the Proof of the Pudding… “Met de cloud zijn alle problemen opgelost! Geen eigen grote investeringen meer op vlak van infrastructuur, minder lokaal personeel, meer efficiëntie, …”. Is dit wel zo, vroegen we ons af. Het blijkt een genuanceerd verhaal. Er zijn zeker voordelen, maar ook risico’s die moeten worden beheerd. Al zijn de aandachtspunten en verplichtingen fundamenteel niet verschillend t.o.v ‘gewone’ outsourcing of samenwerking met een externe leverancier. Cloud computing is het via het internet op aanvraag beschikbaar stellen van hardware, software en gegevens, ongeveer zoals elektriciteit uit het elektriciteitsnet. De term is afkomstig uit de schematechnieken van de informatica, waar een groot, decentraal netwerk (zoals het internet) met behulp van een wolk wordt aangeduid. De cloud (Nederlands: wolk) staat voor een netwerk dat met al de computers die erop aangesloten zijn een soort 'wolk van computers' vormt, waarbij de eindgebruiker niet weet op hoeveel of welke computer(s) de software draait of waar die computers precies staan. De gebruiker hoeft op deze manier geen eigenaar meer te zijn van de gebruikte hard- en software en is dus ook niet verantwoordelijk voor het onderhoud. De details van de informatietechnologische infrastructuur worden aan het oog onttrokken en de gebruiker beschikt over een "eigen", in omvang en mogelijkheden schaalbare, virtuele infrastructuur. De cloud is dus een techniek waarmee schaalbare online diensten kunnen worden aangeboden. Zonder de mogelijkheid tot schalen heeft een aangeboden online dienst geen betrekking op cloud computing. De meest gebruikte definitie is die van het US National institute of standards and technology (NIST):

1

V-ICT-OR Security werkgroep – Cloud Zie het document van de Cloud Security Alliance1 voor een volledige beschrijving. Hier even kort: Karakteristieken en voordelen:    

Broad network access: toegang vanop tablets, smartphones…, ook buiten de LAN. Goede bandbreedte en beschikbaarheid Rapid Elasticity: snel en zelfs automatisch schaalbaar bij meer capaciteitsbehoefte of een piek in bezoekersaantallen On-demand self service: u vraagt wij draaien qua aantal servers, storage. Betaald in een pay as you go model Resource pooling: geen dedicated servers, kosten worden geoptimaliseerd door het delen van servers en opslag in een “multi-tenant” omgeving

Service Models:

   

On-Premise: je doet alles zelf, eventueel met ondersteuning van externen IaaS: de provider zorgt voor de infra t.e.m de virtualisatielaag, de klant staat in voor de rest PaaS: provider zorgt ook voor de middleware (databases, java, drupal,…), klant bouwt zijn toepassing hierop SaaS: provider biedt een kant en klare oplossing aan (dropbox, facebook, gmail, office365,….)

1 https://cloudsecurityalliance.org/download/security-guidance-for-critical-areas-of-focus-in-cloudcomputing-v3/

2

V-ICT-OR Security werkgroep – Cloud Types Cloud:    

Public: volledig gedeeld met alle mogelijke klanten (multi-tenant) Private: enkel voor 1 klant (single-tenant) Hybrid: mix van public en private of van on-premise & cloud Community: specifiek voor 1 bepaald type klant of sector (bijv: government cloud)

Via Cloud Computing kan men servers, opslag, applicaties en diensten aanbieden aan de gebruikers. De gebruiker hoeft zo geen eigenaar meer te zijn van de door hem/haar gebruikte hard- en software en is niet zelf verantwoordelijk voor het onderhoud. Daarnaast kan de gebruiker met 'lichte' randapparatuur, zoals laptops, tablets of zelfs smartphones, op iedere willekeurige plek en op ieder moment gebruik maken van de zwaarste toepassingen. Cloud computing is daarmee niet iets geheel nieuws: het is een verdere ontwikkeling in de wijze waarop ICT wordt toegepast. Een organisatie kan op die manier de resources die gedeeld worden op een clouddienst huren waardoor hij dus de huurder (“tenant”) wordt van de infrastructuur in plaats van de eigenaar. Er is dus geen investering in hardware nodig, IT wordt een werkingskost (bij IaaS moet wel de nodige software nog apart worden voorzien).

Welke zijn de voordelen van cloud computing? De cloud is de laatste jaren een onontkoombaar en populair begrip geworden dat uitgegroeid is van een vaag en risicovol concept tot de ICT-strategie “van de toekomst” die elke organisatie vroeg of laat zal toepassen. Naast de kostenbesparingen is de hoofdreden van deze hype de vlotte toegankelijkheid tot tal van informaticaresources met bijna oneindig veel mogelijkheden, en dit alles met een minimaal beheer. Hierdoor kan de aandacht verschuiven van IT (Informatie technologie) naar Informatiebeheer, waardoor echt vooruitgang kan worden geboekt in e-government en smarter cities. Cloud computing bevordert het gezamenlijk gebruik van voorzieningen: netwerken, servers, opslag, applicaties en diensten. Dat leidt tot een betere benutting van deze middelen en kan leiden tot een hogere efficiëntie. Bovendien wordt het mogelijk gebruik te maken van de laatste technologie, als de cloudaanbieder vooruitstrevend is. Daarbij wordt in principe alleen betaald voor het daadwerkelijke gebruik. Een meerwaarde is ook dat de professionele aanbieders (zoals een Amazon, Microsoft, IBM, Google,…) een veel betere technische en logische bescherming bieden dan kan worden gehaald in de serverroom van een lokaal bestuur. Inrichting en beveiliging van een datacenter is immers niet echt een kerncompetentie van een overheidsorganisatie. De meeste grote spelers voldoen ook aan een hele rist van internationale standaarden en normen m.b.t governance en informatieveiligheid (PCI-DSS, HIPAA, ISO27002, ISO27018, …). Er zijn er echter ook die geen van deze standaarden onderschrijven omdat hun business model net bestaat in het uitbuiten van persoonsgegevens. Contractuele bepalingen, terms & conditions dus altijd grondig nalezen en nooit zomaar ‘I agree’ klikken. Een paar privacy policy’s van grote en kleine cloud providers of ‘apps’ lezen als oefening is zeer verhelderend.

3

V-ICT-OR Security werkgroep – Cloud

Zijn er dan geen aandachtspunten? Er zijn uiteraard een aantal aandachtspunten, die snel duidelijk worden wanneer de klassieke modellen van IT Service Management en (ITIL/ITSM) Application Lifecycle Management (ALM) worden gehanteerd: 



ITSM: hier dient vooral de beschikbaarheid en informatieveiligheid tegen het licht te worden gehouden. Hoe garanderen we de beschikbaarheid van toepassingen en data (technisch, maar ook bij failissement of calamiteiten bij de leverancier, back-up, recovery,…) en hoe blijven confidentialiteit en integriteit van data verzekerd? ALM: hier moet zeker stil worden gestaan bij mogelijke exit scenario’s. Hoe krijgen we toepassingen en data terug uit de cloud? Releases, patches en upgrades zijn in een Iaas scenario minstens even belangrijk dan on-premise.

Samenwerken met een externe partner (= de verwerker van gegevens), in de cloud, in outsourcing of in een “traditioneel” ondersteuningsmodel vergt een nog grotere aandacht voor governance dan bij een onpremise beheer. Mogelijk komt dit de informatiebeveiliging ten goede, en is het dus eerder een positief effect, al is dit sterk afhankelijk van het bestaande maturiteitsniveau van het bestuur.

De risico's van het via een 'open/public’ cloud uitbesteden van ICT-diensten en de opslag van informatie buiten de organisatie zijn in een aantal gevallen nog niet voldoende afgedekt. Zo is privacybescherming vaak geen integraal onderdeel van de wijze waarop cloud-toepassingen worden vormgegeven. Het kennisinstituut European Union Agency for Network and Information Security (ENISA) adviseert overheden daarom voorzichtig te zijn met gebruik van cloud computing. ENISA dringt aan op een planmatige aanpak, die is gericht op het zoveel mogelijk uitsluiten en mitigeren van risico's. ENISA heeft een zeer uitgebreide lijst met te bekijken risico’s gepubliceerd2. Ook de lijn naar de cloud is een aandachtspunt. Indien de internetverbinding uitvalt is ook elke dienst in de cloud onbereikbaar. Dus zeker de zwakke schakels in het netwerk bekijken, en liefst een redundante (en indien mogelijk beveiligde3) verbinding voorzien.

2 http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-riskassessment 3 Bijvoorbeeld http://azure.microsoft.com/nl-nl/services/expressroute/

4

V-ICT-OR Security werkgroep – Cloud

Kennen we de risico’s voldoende? Wanneer we het hebben over de risico’s moet het hele plaatje worden bekeken. De overgang naar Cloud Computing vereist net zoals bij gewone uitbesteding en elke samenwerking met een externe partij een strenge aanpak op het vlak van het beheer van de veiligheidstechnische, contractuele en juridische risico's. De organisatie die een beroep wenst te doen op een Cloud-provider moet zich ervan vergewissen dat die provider de geschikte veiligheidsmaatregelen kan toepassen, om zich te beschermen tegen de risico's van de Cloud. Dit zowel voor wat betreft de traditionele informaticaverwerkingen als in het bijzonder tegen de risico’s die relevant zijn voor de bescherming van de persoons- en sociale gegevens. De belangrijkste risico's die op dat vlak werden geïdentificeerd, zijn de volgende:             

Problemen bij het beheren van de toegangsrechten; Onbeschikbaarheid van de dienst geleverd door de provider; Onthouden van toegang vanwege dispuut over betaling; Stoppen van de cloud-dienst. Wat volgt? Hoe is de exit geregeld? - de stopzetting van de dienst door de provider (bv. als gevolg van een gerechtelijke beslissing of de overname van de provider door een derde of bij een faillissement) Dit kan catastrofale gevolgen hebben; Niet-overeenstemming met de regelgeving, in het bijzonder met betrekking tot internationale transfers; Backup niet goed geregeld – vaststelling na de feiten; Verminderde governance met betrekking tot de verwerking van de gegevens; Complexe structuur cloud: wie zit achter welke cloud? - de risico’s verbonden aan de onderaannemers van de leverancier, bijvoorbeeld een fout in de onderaannemingsketen wanneer de leverancier zelf een beroep doet op derden om een dienst te leveren; Cloudaanbieder doet aan koppelverkoop met toepassingen in de (eigen) cloud; Vastzitten aan leverancier: vendor lock-in Ongeoorloofd toegang tot gegevens (derden, hackers/overheid) - een gegevenslek, met andere woorden het risico dat gegevens die op een (virtueel) systeem zijn gehost, gewijzigd kunnen worden of toegankelijk zijn voor niet-gemachtigde derden naar aanleiding van een tekortkoming of een slecht beheer van de provider; Uitvoering van juridische vorderingen op basis van een buitenlands recht zonder overleg met de nationale instanties; Niet-naleven van de regels die door de instelling werden uitgevaardigd met betrekking tot de bewaring en de vernietiging van gegevens, o.a. bij een ondoeltreffende of onbeveiligde vernietiging van de gegevens of een te lange bewaarduur;

Een uitgebreide, niet-exhaustieve lijst van risico's die door het ENISA werden opgelijst, kan in overweging worden genomen bij de risicoanalyse zodra het kader van het project is vastgelegd. Belangrijk is hierbij dat niet alleen de confidentialiteit, maar ook de beschikbaarheid en integriteit van data en systemen wordt bekeken. Een groot deel van deze risico’s bestond dus ook al in de traditionele samenwerking met externe partijen. De partners (CEVI, CIPAL, KSZ, RR…) namen een groot deel van de verantwoordelijkheid op zich, veelal omwille van historiek. Bij outsourcing moest evenwel ook voordien al veel contractueel worden vastgelegd. Indien op eigen houtje naar de cloud wordt getrokken wordt de eigen verantwoordelijkheid duidelijker en dwingender. Het verdient daarom zeker aanbeveling om naar een professionele aanbieder te kijken met liefst een eigen of partner ecosysteem ter ondersteuning. De quick & dirty oplossingen, meestal in ‘app’ vorm laten het meeste vragen rond risico’s onbeantwoord. 5

V-ICT-OR Security werkgroep – Cloud

Kunnen gemeenten al aan de slag met cloud computing? Er is momenteel geen wetgeving die het gebruik van de cloud expliciet zou verbieden. De meeste risico’s m.b.t wettelijke bepalingen (KSZ, Privacy, RR) bestonden ook al bij de gewone outsourcing aan externe partijen (lokale of internationale spelers)4 Op zich dient cloud computing een doordachte strategie te zijn en is het meer dan een verkooppraatje waarbij alleen de voordelen worden aangehaald. De nadelen worden door de leveranciers uiteraard minder graag toegelicht. Leveranciers die u –al dan niet via een partnerkanaal- kunnen begeleiden bij het uitwerken van de correcte governance verdienen de voorkeur. Vooraleer nieuwe of vervangingsinvesteringen te doen, is het zeker aangewezen om de cloud alternatieven te bekijken.

Maar wat dan met die veiligheid? … De richtsnoeren mbt informatieveiligheid5 geven enkele formele aandachtspunten mee, waarbij dit alles ressorteert onder het correct inschatten van de risico’s, de betrokkenheid van externe partijen en infrastructuur, de potentiële toegang tot persoons- en sociale gegevens door derden, de risico’s op gegevensverlies en niet correct beheer, contracten en SLA’s met derden, de fysische en logische toegang en beveiliging van de gegevens, backup, de verantwoordelijkheden voor de gegevens, … In die zin zijn ze volledig in lijn met de internationale ISO27002 norm. Het gebruik van de cloud moet worden meegenomen in uw standaard informatieveiligheidsbeleid en –plan, met extra aandacht voor de specifieke risico’s die het gebruik van de cloud met zich meebrengt. Hierbij dient een duidelijke dataclassificatie te worden gehanteerd (bijvoorbeeld: vertrouwelijk, privacygevoelig, medische gegevens, sociale data, intern gebruik, open data, ….). De classificatie bepaalt dan verder de af te dekken kwetsbaarheden en risico’s. De technische beveiliging van de professionele aanbieders mag dan al beter zijn dan wat je zelf kan bereiken, gevoelige data mag niet onbeschermd over internet worden gestuurd. Hier moet gekeken worden naar een afdoende encryptie met aandacht voor het sleutelbeheer. (Dit was overigens ook al het geval indien uw on-premise systemen een koppeling hebben naar buiten, of met uw standaard e-mailverkeer, externe harde schijven en USB sticks)

4 Er bestaat wel wetgeving die stelt dat authentieke bronnen zoals het rijksregister in België moeten staan om in tijden van oorlog fysiek vernietigd te kunnen worden. (al is het niet duidelijk hoe dit dan in zijn werk zou moeten gaan) 5 http://security.v-ict-or.be

6

V-ICT-OR Security werkgroep – Cloud

Uit de Privacywet kunnen 2 eisen rond cloudcomputing worden gedestilleerd: 

Er moet een overeenkomst kunnen worden gemaakt met de public cloud provider, waarin deze zich, als verwerker van de gegevens, committeert op het naleven van de regels. Dit wordt door de EU (WP29) vertaald als 'model clauses', waaraan intussen Microsoft en Amazon voldoen6 7. Verder moet er de garantie worden geboden dat geen gegevens worden overgedragen aan buitenlandse overheden. De FISA8 wetgeving komt hier het meeste naar boven, waarin de VS 'menen' te mogen gegevens opvragen bij Amerikaanse firma's die gegevens van buitenlandse klanten in beheer hebben. Een aantal Amerikaanse firma’s betwist deze ruime interpretatie9. Juridisch is het niet echt duidelijk of dit in strijd is met de Belgische wetgeving, aangezien er multilaterale overeenkomsten bestaan tussen België en de VS10. Naast de VS eigenen ook andere landen zich verregaande rechten toe, al dan niet in het kader van gerechtelijk onderzoek. Het is niet netjes dat ‘partners’ zich zo gedragen, maar het is een realiteit die niet kan worden genegeerd. Initiatieven zoals ‘safe harbor’ blijken een lege doos11. Het risico kan hier echter ook beperkt worden door de juiste maatregelen te nemen in functie van de dataclassificatie (encryptie, hybride cloud modellen, ...)



Voor de verwerking van persoons-, medische en sociale gegevens is de KSZ zeer risico-avers. Zo is elke instelling van sociale zekerheid die vertrouwelijke gegevens wenst te verwerken in een "Cloud" die door een provider wordt beheerd, verplicht de volgende contractuele waarborgen in acht nemen onder de nodige clausules met betrekking tot: 1. 2. 3. 4. 5. 6. 7. 8.

de mogelijkheid voor een cloud-provider om een deel van zijn activiteiten uit te besteden de integriteit, continuïteit en kwaliteit van de dienstverlening de teruggave van de gegevens de overdraagbaarheid van de gegevens en de interoperabiliteit van de systemen de auditregeling de verplichtingen van de provider inzake vertrouwelijkheid van de gegevens de soevereiniteit de verplichtingen van de provider inzake gegevensbeveiliging

Een volledige policy vindt u op de website van de sociale zekerheid12.

6 http://www.privacycommission.be/sites/privacycommission/files/documents/G29 -advies-cloudcomputing_0.pdf 7 http://ec.europa.eu/justice/data-protection/article-29/documentation/otherdocument/files/2014/20140402_microsoft.pdf 8 http://en.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act 9 http://allthingsd.com/20130830/microsoft-and-google-will-sue-u-s-government-over-fisa-order-data/ 10 http://www.mayerbrown.com/publications/The-USA-Patriot-Act-and-the-Privacy-of-Data-Stored-inthe-Cloud-01-18-2012/ 11 http://webwereld.nl/beveiliging/80295-eu-dreigt-safe-harbor-data-akkoord-met-vs-te-schrappen 12 https://www.kszbcss.fgov.be/binaries/documentation/nl/securite/policies/isms_050_cloud_computing_policy_nl.pdf

7

V-ICT-OR Security werkgroep – Cloud

Wat doet V-ICT-OR op het gebied van cloud computing voor gemeenten? Binnen de verschillende werkgroepen en contacten met de federale en Vlaamse overheid worden de voordelen van de cloud voor lokale besturen aangehaald en verdedigd. We overleggen ook over hoe de (lokale) overheid zijn verantwoordelijkheid kan opnemen en blijven nakomen m.b.t het beschermen van persoons- sociale en medische gegevens, zonder de pragmatische werkelijkheid uit het oog te verliezen. Bescherming is belangrijk in de cloud, maar was dat al in de huidige situatie. Welk bestuur heeft er vandaag systemen in plaats om mails te encrypteren of te vermijden dat persoonsgegevens in mails, excels of op USB-sticks belanden? Wie heeft er alle data op tablets en laptops geëncrypteerd? Wie heeft er op dit moment een duidelijke dataclassificatie? Zijn we zeker dat in het datacenter van een reguliere outsourcer geen componenten in gebruik zijn met achterpoortjes die door buitenlandse overheden of hackers kunnen worden misbruikt13? Is de enige mogelijke oplossing een Vlaams datacenter met uitsluitende Vlaamse ambtenaren die enkel Vlaamse hardware en software gebruiken met Vlaamse netwerkproviders? Is dit haalbaar? V-ICT-OR ziet onder meer de volgende mogelijke use-cases voor de cloud: 

Software-as-a-service (SaaS) oplossingen voor ‘commodity’ software zoals mail, instant messaging, bestandssystemen. Het biedt weinig meerwaarde om hier zelf een infrastructuur voor op te zetten en te onderhouden. Bovendien bieden de SaaS oplossingen tegenwoordig meestal meer functionaliteit, snelheid of opslagcapaciteit. Oplossingen zoals Office365, Google Docs, CRM online, SAP online of de CIPAL toepassingen in het CiPort datacenter behoren tot deze categorie. Vervanging of extensie van de eigen serverroom. Uitbreiding voor tijdelijke capaciteit. Hybride oplossingen waar archieven of minder vaak geraadpleegde gegevens in de cloud worden bijgehouden (uitbreiding van de storagecapaciteit) Toepassingen met een sterke externe oriëntatie. We zijn ervan overtuigd dat enkel de (hele) grote besturen een state-of-the art DMZ zone kunnen uitbouwen en beheren. Toepassingen die vooral gebruikt worden van buitenaf (mobiele raadpleging van college- en raadsnota’s, inschrijving- en reservatiesystemen, e-loketten) kunnen waarschijnlijk veiliger en performanter in de cloud draaien. Toepassingen voor interbestuurlijke en intergouvernementele samenwerking. Indien deze in een community cloud draaien of in een cloud waar de verbindingen beveiligd kunnen worden, worden de 1-op-1 verbindingen tussen de verschillende lokale serverrooms vermeden. Bij uitbreiding kan men zo tot een ‘overheidscloud’ komen waarin een centrale servicebus zorgt voor beveiligde en bewaakte uitwisseling van gegevens. Opslag van Big Data. Verzameling van bijvoorbeeld sensorinformatie in het kader van mobiliteit, milieu, energie, veiligheid, internet of things Geografische informatie (Geopunt van AGIV draait bijvoorbeeld volledig in de Cloud omwille van de schaalbaarheid en beschikbaarheid) Beeldbanken …

  



   

Uiteraard moet voor al deze ‘use cases’ de correcte dataclassificatie worden bepaald, moeten kwetsbaarheden en risico’s worden afgedekt en moeten de nodige technische en procedurele maatregelen worden genomen.

13

http://www.infoworld.com/article/2608141/internet-privacy/snowden--the-nsa-planted-backdoors-in-ciscoproducts.html

8

V-ICT-OR Security werkgroep – Cloud Hierbij is het –hopelijk- ook duidelijk vanuit eerdere bedenkingen dat persoons-, medische en sociale gegevens niet de eerste kandidaten zijn om in een public cloud te worden gehost. Indien u omwille van de voordelen van beschikbaarheid of technische beveiliging in dat geval toch gebruik wil maken van de cloud, kunnen hybride omgevingen een oplossing zijn. Cloud computing lijkt het antwoord op de oude belofte van on-demand IT diensten waarbij besturen zich kunnen concentreren op de meerwaarde van informatie (business intelligence, big data/smart cities, kennis, informatiedeling, efficiënte dienstverlening) en minder op de technische kant. Het zou jammer zijn mochten we hier niet de vruchten van kunnen plukken omwille van juridische of geopolitieke beperkingen. Hier moeten we zeker de juridische, privacy en IT-technische wereld op 1 lijn krijgen om als Vlaamse besturen deze opportuniteit niet te missen.

Wat doen gemeenten nu al op het gebied van cloud computing? Sommige gemeenten/ocmw’s hebben hun eerste stappen in de cloud gezet via diverse providers. Gemeenten die hiermee verder aan de slag willen, adviseren we om dit planmatig aan te pakken en er alert te zijn dat niet alles wat 'cloud' heet ook daadwerkelijk de voordelen van de cloud technologie benut. Soms wordt het door leveranciers gezien als een synoniem voor toepassingen op het internet. Leer uit ervaringen en acties van andere besturen, zoek de geschikte partners en leveranciers en wees steeds voldoende kritisch. Binnen het Software as a Service (SaaS) aanbod zijn er intussen mature oplossingen (met goed gedocumenteerde en gecertifieerde beveiliging), die een goed alternatief zijn voor bepaalde toepassingen die nog on-premise worden ingericht (zoals e-mail).

Smals Research – Cloud Security evaluatiemodel De sectie Onderzoek van Smals heeft in samenwerking met de sectie Veiligheid een model ontwikkeld om de beveiliging van clouddiensten te evalueren. Hiermee kunnen organisaties, indien nodig met de gedeeltelijke steun van Smals, op gestructureerde en gestaafde wijze bepalen hoe we welke gegevens moeten verwerken in de cloud. Daarom werd het model opgedeeld in twee evaluatieluiken:  

Luik A: de vragenlijst “Security-assessment-cloud-service.xlsm” waarmee het maturiteitsniveau in verband met de beveiliging van een specifieke clouddienst geëvalueerd kan worden. Luik B: de vragenlijst “Client-guide-cloud-assessment.xlsm” waarmee men de mogelijkheid kan evalueren om een specifieke clouddienst te gebruiken naargelang het soort gegevens die men ernaar wil overbrengen.

Meer info hieromtrent vindt u hier: http://www.smalsresearch.be/tools/cloud-security-model-nl/. De privacycommissie (CBPL) en de Vlaamse Toezichtcommissie promoten het gebruik van dit (of een gelijkwaardig) model.

9

V-ICT-OR Security werkgroep – Cloud

De verfijning van richtlijnen is voor de Vlaamse gemeenten en OCMW’s (nog) volop aan de gang … Er wordt op Vlaams niveau gewerkt aan duidelijke richtlijnen binnen een aantal werkgroepen van het VDI coördinatiecomité en binnen het programma radicaal digitaal. De bedoeling is om ten laatste kort na de zomer te landen met een duidelijk document voor de Vlaamse overheid en lokale besturen. Ook V-ICT-OR zit hier mee aan tafel. Tijdens shopt-IT 2014 werd Cloud ook uitvoerig besproken samen met enkele providers en de Vlaamse Toezichtcommissie en de POD MI. Het antwoord werd samengevat en gepubliceerd op de website van de VTC14.

14 http://vtc.corve.be/infoveiligheid.php

10