Meer en meer mensen én organisaties slaan hun gegevens op in de cloud. Cloudopslagdiensten als Dropbox, Google Drive, NordLocker, Internxt, iCloud en Microsoft OneDrive worden dan ook steeds populairder. Met het toenemende gebruik van cloudopslagdiensten, is er ook een groeiend bewustzijn rondom de risico’s die dit met zich meebrengt. Hoe veilig is cloudoplsag eigenlijk?
Toegankelijkheid als sleutel
Als je gebruikmaakt van een cloudopslagdienst, geef je je gegevens in feite in handen van derden. Als het om cloudopslag gaat, zijn er drie zaken waar je moet denken.
-
Beschikbaarheid:
Zijn de data die je opslaat in de cloud toegankelijk op het moment dat ze nodig zijn? Dat is waar beschikbaarheid over gaat. Dit aspect noemen we ook wel tijdigheid van informatie. Andere aspecten die een rol spelen zijn continuïteit (kunnen medewerkers doorwerken als er een storing optreedt?) en robuustheid (raakt het systeem niet overbelast als er veel mensen tegelijkertijd aan het werk zijn?). -
Integriteit:
Is de informatie in de cloud juist en volledig? Als een onbevoegd iemand, bewust dan wel onbewust, gegevens aanpast, is dit een inbreuk op de data-integriteit. Een cloud moet data correct verwerken en opslaan. Gebeurt dat niet, bijvoorbeeld door een programmeerfout, kan is de integriteit van de gegevens niet gegarandeerd. -
Vertrouwelijkheid:
Dit gaat over de vraag of alleen bevoegde mensen toegang hebben tot specifieke bronnen, gegevens en datastromen. Als iedereen bijvoorbeeld zomaar de financiële gegevens van een bedrijf kan raadplegen, is deze informatie onvoldoende afgeschermd. De vertrouwelijkheid of exclusiviteit is dan niet gewaarborgd. Logische toegangscontrole zorgt ervoor dat alleen geautoriseerde mensen toegang hebben tot systemen en gegevens.
Dit zijn de fundamentele basisprincipes van informatiebeveiliging. We spreken ook wel van de BIV-driehoek of het CIA-principe. ‘CIA’ staat in dit geval voor Confidentiality (vertrouwelijkheid), Integrity (integriteit) en Availability (beschikbaarheid).
Als we het over clouddiensten hebben, zijn we geneigd om twee vragen te stellen: hoe betrouwbaar en hoe veilig is het? Beide issues draaien in feite om toegankelijkheid. Betrouwbaarheid draait om de vraag of jij altijd bij je gegevens kunt. Beveiliging om de vraag of kwaadwillenden dat ook kunnen.
Hoe betrouwbaar is cloudopslag?
Betrouwbaarheid slaat vooral op de stabiliteit van de systemen die je gegevens hosten en de beschikbaarheid van je gegevens. Niemand wil zijn gegevens opslaan op een storingsgevoelig systeem. Aanbieders proberen de storingsgevoeligheid van hun systemen te verminderen door ze redundant uit te voeren, vaak op hardwareniveau. Dat betekent dat alle kritische componenten van het systeem, bijvoorbeeld de stroomvoorziening, meervoudig – vaak dubbel – zijn uitgevoerd. Gegevens worden meestal op ten minste drie verschillende harde schijven opgeslagen. Bovendien worden ze als het ware in stukjes gehakt en wordt elk stukje gecodeerd en op verschillende plekken opgeslagen.
Betrouwbaarheid slaat echter ook op de financiële gezondheid van de cloudaanbieder. Als je cloudaanbieder op de fles gaat, is het vaak lastig om nog bij je gegevens te komen.
Hoewel je aan de betrouwbaarheid van grote partijen als Google, Apple en Microsoft niet hoeft te twijfelen, ligt dat mogelijk anders bij sommige kleinere cloudaanbieders.
Hoe beveiligen clouddiensten je data?
De grote cloudaanbieders treffen stuk voor stuk vergaande maatregelen om je gegevens te beveiligen. Maar je kunt ook zélf extra beveiligingsmaatregelen treffen om je data te beschermen.
De eerste en meest voor de hand liggende beveiligingsmethode, is authenticatie. Dat betekent niets meer en niets minder dan dat je moet inloggen met een gebruikersnaam en wachtwoord om bij je gegevens te komen. Een sterk wachtwoord werpt al een eerste drempel op voor kwaadwillenden die bij je gegevens willen komen. De meeste hackers proberen immers, in ieder geval in eerste instantie, ‘gewoon’ via de voordeur binnen te komen, zij het zonder te kloppen.
Encryptie en omgevingsbeveiliging
De tweede beveiligingsmethode is encryptie, oftewel het versleutelen van je gegevens. Gegevensbestanden worden nagenoeg altijd versleuteld opgeslagen in de cloud, waardoor ze onbegrijpelijk zijn voor iemand zonder de juiste ‘sleutel’. Bij de grote cloudaanbieders beschik je zelf niet over de sleutel. Die is in feite ingebakken in de dienst zelf. Als je inlogt met je wachtwoord, wordt je data automatisch gedecodeerd. Er zijn echter ook kleinere clouddiensten waarbij je als gebruiker de sleutel daadwerkelijk zelf in handen krijgt. Dit betekent ook dat als je deze sleutel kwijtraakt, je niet meer bij je gegevens komt. Een simpele password reset is dan onmogelijk. Je kunt je gegevensbestanden overigens ook zélf coderen voor je ze opslaat in de cloud, met speciale versleutelingssoftware.
Naast de voorgaande vormen van netwerkbeveiliging, speelt ook de fysieke en omgevingsbeveiliging van datacenters een belangrijke rol bij de aanbieders van clouddiensten. We hebben het dan over zaken als fysieke toegangscontrole, inbraakpreventie, beveiliging van kantoren en beveiliging en onderhoud van computer- en netwerkapparatuur. Die fysieke beveiliging is er niet alleen om de peperdure hardware te beschermen, maar ook je gegevens. Het heeft immers weinig zin om de elektronische achterdeur dicht te timmeren als de fysieke voordeur openstaat. Bij de grote aanbieders kun je ervan uitgaan dat je gegevens niet in één, maar in twee of meer datacenters op afstand van elkaar worden gehost. In dit geval is er al een James Bond-scenario voor nodig willen kwaadwillenden er met jouw gegevens of de gegevensdragers vandoor gaan.
Vraag je tot slot ook af: hoe waardevol zijn mijn gegevens nu eigenlijk voor anderen? De kans dat je het slachtoffer wordt van een gerichte aanval is in de praktijk erg klein.
Cloudopslag veiliger dan lokale opslag?
Hoewel de afstand tot je gegevens misschien een gevoel van onveiligheid oproept, is cloudopslag stukken veiliger dan je vermoedelijk denkt. Je verstuurt je gegevens over een beveiligde verbinding naar een datacenter dat ongeveer net zo goed beveiligd is als Fort Knox, waar meerdere kopieën van je gegevens worden bewaard en ze gebruikmaken van de beste antivirussoftware. De kans dat je gegevens zoekraken, gewist worden, gecorrumpeerd raken of gestolen worden, is nihil.
Uiteindelijk is je thuiscomputer de zwakste schakel in dit geheel, en dat is niet anders dan wanneer je je gegevens lokaal opslaat. Je kunt je dus beter druk maken om de betrouwbaarheid en beveiliging van je eigen computersysteem dan je af te vragen hoe veilig je gegevens in de cloud zijn.
Privacyrisico’s van cloudaanbieders
Als je overweegt om je data op te slaan bij een cloudaanbieder, is er naast betrouwbaarheid en toegankelijkheid nog iets waar je rekening mee moet houden: welke privacyrisico’s loop ik mogelijk door zaken te doen met een cloudprovider? De Autoriteit Persoonsgegevens en andere Europese toezichthouders brengen momenteel cloud gebruik door overheden in kaart.
“Want zijn die data daar wel goed beschermd? Overheden hebben natuurlijk zeer veel gevoelige data over u en mij. Daar moeten hackers of buitenlandse overheden niet zomaar bij kunnen. Dus als overheden dit soort data in de cloud zetten, moeten ze daar vooraf goed over nadenken”, aldus Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens.
Sinds het Europees Hof van Justitie in de zomer van 2020 een einde maakte aan het Privacy Shield, ontvangen de nationale privacywaakhonden steeds vaker signalen dat cloudaanbieders zich niet houden aan de Algemene Verordening Gegevensbescherming (AVG).
Onderwijswereld versus Google
Een goed voorbeeld daarvan is de onderwijswereld. Uit een Data Protection Impact Assessment (DPIA) bleek dat onderwijsinstellingen ‘geen of onvoldoende grip’ hadden op de verwerking van metadata. De overheid attendeerde scholen op de privacyrisico’s van Google Workspace (dat aanvankelijk Google G Suit for Education heette). De Autoriteit Persoonsgegevens adviseerde onderwijsinstellingen om voorlopig te stoppen met Google Workspace. De toezichthouder concludeerde dat er ‘fundamentele vragen’ waren over privacybescherming en verwerking van persoonsgegevens waar eerst een antwoord op geformuleerd moest worden.
In juli 2021 wisten onderwijsorganisaties SURF en SIVON een akkoord te bereiken met Google om de privacy van leerlingen en docenten beter te waarborgen. De belangrijkste wijziging is dat Google niet langer als gegevensverantwoordelijke optreedt, maar fungeert als gegevensverwerker. Dat is een grote aanpassing, omdat hiermee paal en perk wordt gesteld in wat Google allemaal met de verzamelde metadata mag doen.
Onder de oude voorwaarden gebruikte de zoekreus deze informatie voor commerciële doeleinden, waaronder het tonen van advertenties. Doordat Google voortaan optreedt als gegevensverwerker, mag het metadata enkel nog gebruiken om haar diensten te onderhouden, bedreigingen aan te pakken en updates te ontwikkelen.
Bron: sivon.nl, surf.nl, fd.nl, curia.europa.eu, autoriteitpersoonsgegevens.nl, vpngids.nl
Bekijk alle vormen en begrippen
Meer actueel nieuws
AI voert zelf de aanval uit en firewalls als ingang
Het cybernieuws van donderdag 2 en vrijdag 3 juli 2026 werd beheerst door één rode draad, aanvallers verschuilen zich achter wat organisaties juist zouden moeten vertrouwen. Onderzoekers documenteerden de eerste ransomware die volledig door een AI agent werd aangestuurd, terwijl gestolen inloggegevens van tienduizenden firewalls rechtstreeks aan ransomware werden gekoppeld. Tegelijk brak een reeks actief misbruikte lekken los aan de rand van het netwerk, van Citrix NetScaler tot Microsoft SharePoint. In eigen land stond een datalek bij een hogeschool bijna een jaar open, arresteerde de Belgische politie een negentienjarige als vermeend kopstuk van een phishingbende, en klonk de geopolitiek door in dronespionage en de zoektocht naar digitale soevereiniteit.
Verdachte gezocht na bankhelpdeskfraude in Den Helder
Een 72-jarige vrouw uit Den Helder is slachtoffer geworden van bankhelpdeskfraude, waarbij een man haar geld, sieraden en andere waardevolle spullen bij haar thuis ophaalde. De politie heeft de zaak op 1 juli 2026 opnieuw onder de aandacht gebracht en toont camerabeelden van de verdachte en van de gestolen sieraden.
Golf actief misbruikte lekken en AI als aanvalswapen
Het cybernieuws van dinsdag 30 juni en woensdag 1 juli 2026 stond in het teken van een golf kritieke kwetsbaarheden die nu daadwerkelijk worden misbruikt, van beheersoftware tot bedrijfsapplicaties. Daarnaast werd kunstmatige intelligentie op steeds meer manieren een aanvalsvlak, van browsers die zich laten ompraten tot verzonnen domeinen die aanvallers alvast registreren. In eigen land toonde De Nederlandsche Bank hoe hard de fraude in het betalingsverkeer groeit, terwijl de opsporing resultaat boekte en de geopolitiek opnieuw doorklonk in de spionage tegen overheden.
Cyberoorlog nieuws
Op deze pagina vind je actueel cyberoorlog nieuws over staatshackers, hybride dreigingen, digitale aanvallen op infrastructuur en geopolitieke cyberdreigingen die relevant zijn voor Nederland en België.
Opsporing nieuws
Op deze pagina vind je actueel opsporingsnieuws over cybercriminaliteit, arrestaties, politieonderzoeken, rechtszaken en internationale acties tegen cybercriminelen. De nadruk ligt op Nederland, België en relevante internationale zaken.
Russische jacht op Signal en een golf kritieke lekken
Het cybernieuws van zaterdag 27 tot en met maandag 29 juni 2026 liet drie sterke rode draden zien. De FBI, CISA en de Oekraïense veiligheidsdienst waarschuwden alle drie voor dezelfde Russische campagne die niet de versleuteling van Signal kraakt, maar gebruikers hun herstelsleutel laat afstaan. Tegelijk werd kunstmatige intelligentie zichtbaar als zowel wapen als doelwit, van gekaapte softwarepakketten die ontwikkelaars bestelen tot een schone projectmap die een AI codeassistent verleidt om zelf malware uit te voeren. Onder de oppervlakte liep een golf van kritieke kwetsbaarheden met publieke exploitcode, terwijl de Benelux werd geraakt door een datalek bij zeilsoftware en een aanhoudende aanval op hotels, en de opsporing en de geopolitiek opnieuw met elkaar verweven raakten rond Jaguar Land Rover.