Edwin Weijdema, Veeam: ‘Zorgplicht voor data, die heb je al lang’

Edwin Weijdema, Veeam.

Legal en compliance zijn momenteel twee belangrijke onderwerpen als het gaat over de omgang met data. Dat ligt natuurlijk voor een belangrijk deel aan de komende invoering van de Europese NIS2-richtlijn in lokale wetgeving. Vanaf 24 oktober 2024 moet dat ook in Nederland gebeurd zijn, benadrukt Weijdema. Maar net zoals een aantal jaar geleden bij de invoering van privacywet AVG, lijkt het voor veel organisaties iets te zijn dat hen overkomt.

“Organisaties hebben de neiging om de kop in het zand te steken en pas weer te kijken als het daadwerkelijk zover is. Het is maar de vraag of het Nederland lukt om NIS2 in oktober 2024 ingevoerd te krijgen. Bij de AVG moesten we ook een paar jaar uitstel aanvragen. Maar het is belangrijk dat we de druk erop houden, zodat organisaties daadwerkelijk klaar zijn om te voldoen aan NIS2 wanneer het eenmaal zover is.”

Waarom die struisvogelpolitiek, als het al vrij lang duidelijk is dat NIS2 aan veel meer organisaties eisen gaat stellen op gebieden als zorgplicht (voor hun data en die van anderen) en meldplicht (het bij relevante instanties melden als er een datalek is). Vrij simpel, meent Weijdema: voor de meeste organisaties is security al een complex thema. En legal en compliance zijn daar bovenop ook nog eens taaie materie. Bovendien is de visie vaak: dit kost alleen maar geld, het levert niets op. Allemaal redenen om het maar uit te stellen.”

Grip op data

Alleen, benadrukt Weijdema: in feite hadden organisaties hun grip op data al lang op orde moeten hebben, los van de komst van wetgeving van NIS 2. “Het is en blijft jouw data, of data van je klanten. Jij bent er verantwoordelijk voor. Het is een van de zeven hoofdzonden op het gebied van data dat organisaties die verantwoordelijkheid afschuiven of niet beseffen dat het hun verantwoordelijkheid is.”

Bovendien: je maakt toch niet voor niets een back-up van die data, je bewaart het toch niet voor de lol? Deels is het natuurlijk wetgeving die je ertoe verplicht, maar data is tegenwoordig bijna nog belangrijker dan geld. Je kunt er zoveel uit halen om je organisatie efficiënter te maken, om nieuwe business-kansen te benutten.

Geen last maar reminder

NIS2 moet dan ook niet zozeer gezien worden als een last, maar als een soort reminder om op het gebied van data je security, je legal en je compliance op orde te brengen, meent Weijdema. En nogmaals, in de basis gaat het om slechts twee zaken: zorgplicht en meldplicht.

“Zorgplicht is alles dat je vooraf moet doen om je tent op orde te hebben. De juiste processen in plaats voor de omgang met data, infrastructuren zoals storage en backup, training en awareness in de omgang met data van medewerkers. En meldplicht is het stukje achteraf: weten bij wie je een datalek moet melden als er toch verlies van data is. Door een hack, door een onvoorzichtige of een kwaadwillende medewerker.”

Klein clubje

Momenteel houdt zich echter slechts een klein clubje mensen bezig met alle materie uit NIS2 – meestal de compliance-verantwoordelijken. Zij lopen volgens Weijdema tegen allerlei muren aan. Ze hebben de security-afdeling nodig, de technische afdeling, de medewerking van C-level. Maar omdat er onvoldoende kennis of belangstelling is over a) de omgang met data op security-gebied en b) de komst van NIS2, lijken de compliance-mensen vaak op roependen in de woestijn.

“Er is veel onwetendheid. Ik hoor steeds meer van mensen die zich nu opeens afvragen wat ze met een meld- en zorgplicht moeten. Nou is die meldplicht voor veel bedrijven wel iets nieuws. Maar die zorgplicht voor data bestond in feite al lang. Alleen gaan er nu specifieke eisen voor veel meer bedrijven dan voorheen gelden in NIS2, omdat ze vallen onder een ‘essentiële sector’. Maar goed databeheer, een backup van data maken, de 3-2-1 regel, dat had je al lang voor elkaar moeten hebben: voorzie steeds drie kopieën van je data; gebruik voor deze reservekopieën minstens twee verschillende opslagmedia; bewaar je back-ups op minimaal één andere fysieke locatie.”

Goed databeheer

Weijdema hamert ook op het in de haarvaten van elke organisatie laten doordringen van het belang van goed databeheer, vanaf het moment van creatie tot het moment van verwijdering. “Als je niet weet welke data je niet meer nodig hebt, welke data je niet meer hoeft te bewaren of mag bewaren, welke data essentieel is, dan zul je ook nooit in staat zijn om een goede backup-strategie te voeren of aan je zorgplicht te voldoen. As je niet weet welke data waar staat, wat meer of minder belangrijk is, kun je er nooit informatie uit halen om je organisatie te verbeteren. En als je niet weet wat je bent kwijt geraakt, faal je ook in je meldplicht.”

Als aanbieder van backup- en recovery-oplossingen kijkt Veeam natuurlijk vooral naar dit onderdeel van de datacyclus. Maar, benadrukt Weijdema, technologie alleen is niet genoeg om grip op je data te krijgen. “We kunnen veel doen als het gaat om het terugzetten van data na bijvoorbeeld een malware-aanval, met oplossingen zoals Veeam Recovery Orchestrator. Het voorkomt allerlei handmatig werk. Maar als je dan bijvoorbeeld eerst je website herstelt, dan je middleware en dan de database voor die website, dan heb je straks klanten die zeggen dat de website niet werkt.”

Vooraf bepalen

En technologie helpt ook niet wanneer een organisatie pas achteraf gaat nadenken over waar de te herstellen data heen moet. “Je moet vooraf bepaald hebben waar je te herstellen data wil neerzetten. Anders wordt je misschien gedwongen om dat te doen bij een cloud provider waar je geen contract mee hebt, waardoor je gigantisch veel geld kwijt bent – los van de tijd die het kost. Zorg er dus voor dat een van je backup-kopieën al op je recovery-locatie staat.”

Gelukkig, stelt Weijdema, ziet hij wel een positieve ontwikkeling op het gebied van awareness. In hoeverre zich dat ook vertaalt in actie, is een tweede. Maar hij heeft wel het idee dat een groeiende groep mensen een backup maken niet meer alleen ziet als een kostenpost die zo laag mogelijk moet blijven.

“Dat komt ook door alle headlines over de ernstige gevolgen van ransomware-aanvallen. Die hebben ons geholpen. Wij zijn wat betreft niet meer die roepende in de woestijn, waar ik het eerder over had, maar de roepende op het marktplein. Ik denk dat dit ons ook zal helpen met het NIS2-verhaal. Je ziet het besef al wel groeien. Overal waar ik een presentatie hou over NIS2, zijn alle stoelen bezet.”

Helpende hand

Tot op zekere hoogte kan Veeam ook de helpende hand bieden als het gaat om het voldoen aan NIS2, stelt Weijdema. “Onlangs hebben we versie 12.1 uitgebracht van ons Veeam-platform, met meer nadruk op security dan voorheen. Dergelijke features kunnen helpen bij het ‘op orde krijgen van de tent’. Er zijn meer keuzemogelijkheden om op basis van de wensen en behoeften van jouw organisatie met je backup-beleid te voldoen aan NIS2. Dat geldt ook voor het spoor dat data volgt door je backup-infrastructuur: die informatie heb je weer nodig voor je meldplicht, als er toch iets mis gaat.”

Maar, benadrukt Weijdema: ook Veeam is slechts onderdeel van het totale raamwerk van security en compliance. Uiteindelijk is het aan de organisaties zelf om de processen op deze gebieden goed in te vullen. “Wij leveren de gegevens aan die je nodig hebt, maar de processen moet je zelf inregelen. Ik denk dat 90 procent van de organisaties nog niet het niveau bereikt heeft om te voldoen aan de NIS2-richtlijn. Werk aan de winkel dus.”