De leveranciersbeoordeling in het land van SaaS
Een snelle gang naar de Cloud brengt voor organisaties fantastische voordelen. Applicaties die overal beschikbaar zijn, minder onderhoud, een nieuwe vorm van schaalbaarheid. Tot zover louter mooie ontwikkelingen. Maar hoe zit het eigenlijk met de data in die applicaties? Wie bewaakt de grenzen in het landschap van Software as a Service? En wie houdt er zicht op wat er zich allemaal binnen dat landschap afspeelt? In dit artikel bekijken we welke rol een leveranciersbeoordeling kan spelen in het verkrijgen van meer inzicht en grip op je data in SaaS oplossingen.
De SaaS Scope Gap
We zien het wel vaker: een organisatie is goed op weg met de implementatie van de ISO 27001 norm voor informatiebeveiliging. De interne processen zijn vastgelegd. Er is helder welke data zich op interne systemen bevindt. De werkstations zijn goed geïnventariseerd, de servers zijn in beeld. Er is zicht op wie daar bij mag. Hoe de beveiliging op die gegevens is ingericht. Naast een helder beleid op de beveiliging zien we gelukkig meestal ook aandacht voor de privacy aspecten van deze data. Hoe lang worden gegevens bewaard? Met welke doeleinden? Kortom; vanuit het informatiebeveiligingsperspectief van ISO 27001 én vanuit AVG wetgeving zijn de zaken mooi in kaart gebracht en geborgd.
Maar dan gaan er ineens processen of applicaties de deur uit. De salarisadministratie komt in een mooie online oplossing terecht. Data van opdrachtgevers verhuist naar een schaalbare cloud server. Vanuit praktisch oogpunt goede ontwikkelingen, maar hoe zit het dan met die gevoelige data? We zien dat hier vaak een gat ontstaat. Een misvatting over waar de verantwoordelijkheid over de data eindigt. Of de aanname dat ‘een leverancier dat toch wel goed geregeld heeft, want het is immers zijn bestaansrecht?’
Laten we allereerst het volgende kort voorop stellen: jij bent verantwoordelijk voor je bedrijfsdata en voor de data die je verwerkt voor opdrachtgevers. De fysieke plaats van die data maakt eigenlijk helemaal niet uit. En dat gegeven, dat betekent dat je met de keuze voor een SaaS oplossing, naast een heleboel praktische voordelen óók een aantal verplichte controleslagen aangaat. No worries, dat is niet ingewikkeld. Er ligt zelfs een in ISO 27001 zeer bekende tool op je te wachten!
Niet alleen een benadering vanuit de norm
Incoming: de leveranciersbeoordeling. Deze beoordeling is binnen ISO 27001 een verplicht onderdeel, waarbij organisaties criteria stellen aan de dienstverlening van hun partners. Welke criteria dat zijn, bepaal je als organisatie zelf. We zien vaak een focus op prijs, kwaliteit en betrouwbaarheid. En dat zijn belangrijke evaluatiecriteria, ook voor Software as a Service diensten. Het is alleen niet genoeg.
Met de keuze voor het ‘buiten de deur’ plaatsen van een applicatie of bedrijfsproces, plaats je ook een gedeelte van je bedrijfsinformatie buiten de deur. En daarmee moet je dus wat ‘vinden’ van de mate waarin de vertrouwelijkheid, integriteit en beschikbaarheid van die gegevens is geborgd. Dus; hoe is het gesteld met toegang? Wat is de aard van de data? Hoe beheren we dat? Wat zijn de risico’s? Wat zijn de criteria voor wachtwoordsterkte? Wordt de webapplicatie wel aangeboden via een veilige verbinding? Ok, duidelijk: je gaat dus criteria stellen aan de beveiliging.
Maar daarmee ben je er nog steeds niet helemaal. Het feit dat je data zich op servers van anderen bevindt, betekent namelijk dat je ook moet kijken naar het privacy aspect. Waar bevinden die servers zich? Wie aan de kant van de SaaS leverancier heeft toegang tot de data? Wat roept je leverancier daarover in de privacyverklaring? Of de partner in de verwerkersovereenkomst?
Wanneer jij voor opdrachtgevers data verwerkt, dan ben jij verantwoordelijk voor een veilige omgang én toegang tot deze informatie. Aan jou dus de taak dat vervolgens te vertalen naar afspraken met je leverancier hierover én deze afspraken periodiek te beoordelen.
Hoe je dat doet
Concreet stellen we voor om antwoorden te gaan formuleren op de volgende vragen:
Van welke SaaS oplossingen maken we eigenlijk gebruik? Let op: gratis tools zitten (waarschijnlijk) niet in je crediteurenoverzicht, maar bevatten wel degelijk data!
Hoe afhankelijk ben je van deze SaaS leverancier?
Op basis van die afhankelijkheid passen daarbij de volgende vragen:
Moet een leverancier in de basis voldoen aan een ISO norm?
Zijn alle contracten beschikbaar?
Wat zijn de SLA afspraken?
Worden er in de applicatie persoonsgegevens verwerkt?
Is de applicatie een onderdeel van het core netwerk?
Is de applicatie kritisch voor de dienstverlening?
Wie is er binnen de organisatie technisch en operationeel eigenaar van de SaaS applicatie?
De leveranciersbeoordeling geeft hiermee ook meer diepgang aan het keuzeproces voor je leveranciers.
Met deze benadering voorkom je als organisatie je teveel blind te staren op prijs en kwaliteit alleen. Want hoe scherp is die prijs eigenlijk nog, als er een reëel risico bestaat dat de data van je opdrachtgever morgen op straat komt te liggen?
Samen meer waarde halen uit jouw leveranciersbeoordeling? Neem vrijblijvend contact met ons op voor een afspraak.