Meer en meer mensen én organisaties slaan hun gegevens op in de cloud. Cloudopslagdiensten als Dropbox, Google Drive, NordLocker, Internxt, iCloud en Microsoft OneDrive worden dan ook steeds populairder. Met het toenemende gebruik van cloudopslagdiensten, is er ook een groeiend bewustzijn rondom de risico’s die dit met zich meebrengt. Hoe veilig is cloudoplsag eigenlijk?
Toegankelijkheid als sleutel
Als je gebruikmaakt van een cloudopslagdienst, geef je je gegevens in feite in handen van derden. Als het om cloudopslag gaat, zijn er drie zaken waar je moet denken.
-
Beschikbaarheid:
Zijn de data die je opslaat in de cloud toegankelijk op het moment dat ze nodig zijn? Dat is waar beschikbaarheid over gaat. Dit aspect noemen we ook wel tijdigheid van informatie. Andere aspecten die een rol spelen zijn continuïteit (kunnen medewerkers doorwerken als er een storing optreedt?) en robuustheid (raakt het systeem niet overbelast als er veel mensen tegelijkertijd aan het werk zijn?). -
Integriteit:
Is de informatie in de cloud juist en volledig? Als een onbevoegd iemand, bewust dan wel onbewust, gegevens aanpast, is dit een inbreuk op de data-integriteit. Een cloud moet data correct verwerken en opslaan. Gebeurt dat niet, bijvoorbeeld door een programmeerfout, kan is de integriteit van de gegevens niet gegarandeerd. -
Vertrouwelijkheid:
Dit gaat over de vraag of alleen bevoegde mensen toegang hebben tot specifieke bronnen, gegevens en datastromen. Als iedereen bijvoorbeeld zomaar de financiële gegevens van een bedrijf kan raadplegen, is deze informatie onvoldoende afgeschermd. De vertrouwelijkheid of exclusiviteit is dan niet gewaarborgd. Logische toegangscontrole zorgt ervoor dat alleen geautoriseerde mensen toegang hebben tot systemen en gegevens.
Dit zijn de fundamentele basisprincipes van informatiebeveiliging. We spreken ook wel van de BIV-driehoek of het CIA-principe. ‘CIA’ staat in dit geval voor Confidentiality (vertrouwelijkheid), Integrity (integriteit) en Availability (beschikbaarheid).
Als we het over clouddiensten hebben, zijn we geneigd om twee vragen te stellen: hoe betrouwbaar en hoe veilig is het? Beide issues draaien in feite om toegankelijkheid. Betrouwbaarheid draait om de vraag of jij altijd bij je gegevens kunt. Beveiliging om de vraag of kwaadwillenden dat ook kunnen.
Hoe betrouwbaar is cloudopslag?
Betrouwbaarheid slaat vooral op de stabiliteit van de systemen die je gegevens hosten en de beschikbaarheid van je gegevens. Niemand wil zijn gegevens opslaan op een storingsgevoelig systeem. Aanbieders proberen de storingsgevoeligheid van hun systemen te verminderen door ze redundant uit te voeren, vaak op hardwareniveau. Dat betekent dat alle kritische componenten van het systeem, bijvoorbeeld de stroomvoorziening, meervoudig – vaak dubbel – zijn uitgevoerd. Gegevens worden meestal op ten minste drie verschillende harde schijven opgeslagen. Bovendien worden ze als het ware in stukjes gehakt en wordt elk stukje gecodeerd en op verschillende plekken opgeslagen.
Betrouwbaarheid slaat echter ook op de financiële gezondheid van de cloudaanbieder. Als je cloudaanbieder op de fles gaat, is het vaak lastig om nog bij je gegevens te komen.
Hoewel je aan de betrouwbaarheid van grote partijen als Google, Apple en Microsoft niet hoeft te twijfelen, ligt dat mogelijk anders bij sommige kleinere cloudaanbieders.
Hoe beveiligen clouddiensten je data?
De grote cloudaanbieders treffen stuk voor stuk vergaande maatregelen om je gegevens te beveiligen. Maar je kunt ook zélf extra beveiligingsmaatregelen treffen om je data te beschermen.
De eerste en meest voor de hand liggende beveiligingsmethode, is authenticatie. Dat betekent niets meer en niets minder dan dat je moet inloggen met een gebruikersnaam en wachtwoord om bij je gegevens te komen. Een sterk wachtwoord werpt al een eerste drempel op voor kwaadwillenden die bij je gegevens willen komen. De meeste hackers proberen immers, in ieder geval in eerste instantie, ‘gewoon’ via de voordeur binnen te komen, zij het zonder te kloppen.
Encryptie en omgevingsbeveiliging
De tweede beveiligingsmethode is encryptie, oftewel het versleutelen van je gegevens. Gegevensbestanden worden nagenoeg altijd versleuteld opgeslagen in de cloud, waardoor ze onbegrijpelijk zijn voor iemand zonder de juiste ‘sleutel’. Bij de grote cloudaanbieders beschik je zelf niet over de sleutel. Die is in feite ingebakken in de dienst zelf. Als je inlogt met je wachtwoord, wordt je data automatisch gedecodeerd. Er zijn echter ook kleinere clouddiensten waarbij je als gebruiker de sleutel daadwerkelijk zelf in handen krijgt. Dit betekent ook dat als je deze sleutel kwijtraakt, je niet meer bij je gegevens komt. Een simpele password reset is dan onmogelijk. Je kunt je gegevensbestanden overigens ook zélf coderen voor je ze opslaat in de cloud, met speciale versleutelingssoftware.
Naast de voorgaande vormen van netwerkbeveiliging, speelt ook de fysieke en omgevingsbeveiliging van datacenters een belangrijke rol bij de aanbieders van clouddiensten. We hebben het dan over zaken als fysieke toegangscontrole, inbraakpreventie, beveiliging van kantoren en beveiliging en onderhoud van computer- en netwerkapparatuur. Die fysieke beveiliging is er niet alleen om de peperdure hardware te beschermen, maar ook je gegevens. Het heeft immers weinig zin om de elektronische achterdeur dicht te timmeren als de fysieke voordeur openstaat. Bij de grote aanbieders kun je ervan uitgaan dat je gegevens niet in één, maar in twee of meer datacenters op afstand van elkaar worden gehost. In dit geval is er al een James Bond-scenario voor nodig willen kwaadwillenden er met jouw gegevens of de gegevensdragers vandoor gaan.
Vraag je tot slot ook af: hoe waardevol zijn mijn gegevens nu eigenlijk voor anderen? De kans dat je het slachtoffer wordt van een gerichte aanval is in de praktijk erg klein.
Cloudopslag veiliger dan lokale opslag?
Hoewel de afstand tot je gegevens misschien een gevoel van onveiligheid oproept, is cloudopslag stukken veiliger dan je vermoedelijk denkt. Je verstuurt je gegevens over een beveiligde verbinding naar een datacenter dat ongeveer net zo goed beveiligd is als Fort Knox, waar meerdere kopieën van je gegevens worden bewaard en ze gebruikmaken van de beste antivirussoftware. De kans dat je gegevens zoekraken, gewist worden, gecorrumpeerd raken of gestolen worden, is nihil.
Uiteindelijk is je thuiscomputer de zwakste schakel in dit geheel, en dat is niet anders dan wanneer je je gegevens lokaal opslaat. Je kunt je dus beter druk maken om de betrouwbaarheid en beveiliging van je eigen computersysteem dan je af te vragen hoe veilig je gegevens in de cloud zijn.
Privacyrisico’s van cloudaanbieders
Als je overweegt om je data op te slaan bij een cloudaanbieder, is er naast betrouwbaarheid en toegankelijkheid nog iets waar je rekening mee moet houden: welke privacyrisico’s loop ik mogelijk door zaken te doen met een cloudprovider? De Autoriteit Persoonsgegevens en andere Europese toezichthouders brengen momenteel cloud gebruik door overheden in kaart.
“Want zijn die data daar wel goed beschermd? Overheden hebben natuurlijk zeer veel gevoelige data over u en mij. Daar moeten hackers of buitenlandse overheden niet zomaar bij kunnen. Dus als overheden dit soort data in de cloud zetten, moeten ze daar vooraf goed over nadenken”, aldus Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens.
Sinds het Europees Hof van Justitie in de zomer van 2020 een einde maakte aan het Privacy Shield, ontvangen de nationale privacywaakhonden steeds vaker signalen dat cloudaanbieders zich niet houden aan de Algemene Verordening Gegevensbescherming (AVG).
Onderwijswereld versus Google
Een goed voorbeeld daarvan is de onderwijswereld. Uit een Data Protection Impact Assessment (DPIA) bleek dat onderwijsinstellingen ‘geen of onvoldoende grip’ hadden op de verwerking van metadata. De overheid attendeerde scholen op de privacyrisico’s van Google Workspace (dat aanvankelijk Google G Suit for Education heette). De Autoriteit Persoonsgegevens adviseerde onderwijsinstellingen om voorlopig te stoppen met Google Workspace. De toezichthouder concludeerde dat er ‘fundamentele vragen’ waren over privacybescherming en verwerking van persoonsgegevens waar eerst een antwoord op geformuleerd moest worden.
In juli 2021 wisten onderwijsorganisaties SURF en SIVON een akkoord te bereiken met Google om de privacy van leerlingen en docenten beter te waarborgen. De belangrijkste wijziging is dat Google niet langer als gegevensverantwoordelijke optreedt, maar fungeert als gegevensverwerker. Dat is een grote aanpassing, omdat hiermee paal en perk wordt gesteld in wat Google allemaal met de verzamelde metadata mag doen.
Onder de oude voorwaarden gebruikte de zoekreus deze informatie voor commerciële doeleinden, waaronder het tonen van advertenties. Doordat Google voortaan optreedt als gegevensverwerker, mag het metadata enkel nog gebruiken om haar diensten te onderhouden, bedreigingen aan te pakken en updates te ontwikkelen.
Bron: sivon.nl, surf.nl, fd.nl, curia.europa.eu, autoriteitpersoonsgegevens.nl, vpngids.nl
Bekijk alle vormen en begrippen
Meer actueel nieuws
cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb
In de periode van 1 mei tot en met 3 mei 2026 bevestigde de Shadowserver Foundation dat minimaal 44.000 IP-adressen van cPanel installaties actief zijn gescand na exploitatie van CVE-2026-41940, met op 1 mei alleen al meer dan vijftienduizend nieuwe kwaadaardige cPanel hosts in één dag. Op hetzelfde moment publiceerde ShinyHunters de gegevens van 215.600 gasten van luxehotelgroep Aman Resorts en bevestigde Canonical een aanhoudende DDoS aanval op de Ubuntu webinfrastructuur door de Iran gelinkte groep 313 Team. Onderzoekers van Check Point Research en Halcyon maakten bekend dat de VECT 2.0 ransomware in de praktijk als wiper functioneert, waardoor bestanden onherstelbaar vernietigd worden zelfs na betaling van losgeld. Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data publiceert van Raptor Supplies, een Britse leverancier met een Nederlandse vestiging in Wemeldinge. Nieuw verschenen ransomwaregroep CMD Organization postte zijn eerste twee slachtoffers in een veilingformaat. En het Martini Ziekenhuis in Groningen bevestigde na drie weken volledig herstel van het patiëntenportaal Mijn Martini, getroffen door de ransomware aanval op EPD leverancier ChipSoft op 7 april.
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Gezocht: koerier na bankhelpdeskfraude in Veenendaal en Almere
Een vrouw uit Veenendaal werd op 27 februari 2026 slachtoffer van bankhelpdeskfraude. Een nepbankmedewerker belde haar op, waarna een koerier aan de deur kwam en haar gouden ringen, gouden kettingen, contant geld en bankpas meenam. Met de buitgemaakte pinpas werd vervolgens gepind in winkels en bij geldmaten in Veenendaal en Almere. In totaal werd ruim 5.500 euro afhandig gemaakt. De politie zoekt de verdachte koerier.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.