Missie
De missie van de Online Trust Coalitie is het realiseren én behouden van vertrouwen in de clouddiensten. Door publiek-private samenwerking werken we aan een uniforme, gestandaardiseerde en geharmoniseerde aanpak, zodat aanbieders betrouwbaarheid kunnen aantonen en afnemers gemakkelijk kunnen vaststellen dat er van betrouwbaarheid sprake is.
Strategie
We geven uitvoering aan onze missie door Nederlandse oplossingen te verankeren in het Europees beleid rond Cloud en cybersecurity. Nederland maakt daarbij met haar traditie in auditing, assurance en accounting, gebruik van haar voortrekkersrol. De OTC kiest voor een brede multi-stakeholder aanpak waarbij coalitiepartners gestimuleerd worden zelf aan de gang te gaan met de actiepunten en resultaten. De OTC stelt zich niet op als een formeel adviescollege maar probeert doorbraken te creëren door de concrete toepassing van praktische oplossingen en de uitwisseling van feiten, cijfers en inhoudelijke argumenten met alle relevante belanghebbenden in Nederland en de EU. Het is mede aan de OTC om te zorgen dat Nederlandse initiatieven in de pas blijven lopen met de ontwikkelingen in de EU.
Visie
De visie van de OTC is gebaseerd op drie pijlers:
Criteria, Controle en Communicatie. Een betrouwbare Cloud vereist dat clouddiensten aantoonbaar voldoen aan eisen die wij stellen als gebruikers en als maatschappij. Deze
criteria worden gesteld in de vorm van regulering (zoals op EU niveau de NIS2, Data Act, Data Services Act, EUCS etc.) ondersteund door standaarden (bijvoorbeeld ISO 27001 en ISO 27701) of zelfregulering.
Controle door onafhankelijke auditors van de effectiviteit van de door de organisatie genomen maatregelen geeft voldoende zekerheid dat de organisatie aan de gestelde criteria voldoet. Daarmee is de controle een belangrijke bouwsteen voor het verdienen van het vertrouwen van belanghebbenden. Dat is de kern van de assurance-gedachte. In de
communicatie over de uitkomsten
, bijvoorbeeld in de vorm van auditrapporten of certificaten, tonen leveranciers van clouddiensten, op een geharmoniseerde manier en voor belanghebbenden inzichtelijke wijze, aan dat hun diensten voldoende betrouwbaar zijn.
De OTC is in haar missie geslaagd als het volgende realiteit is geworden:
Pijler 1: Criteria
Bedrijven hebben werkbare oplossingen waarmee ze aan verplichte, dan wel gestandaardiseerde en erkende normenkaders kunnen voldoen.
Pijler 2: Controle
Er zijn binnen de EU enkele geaccepteerde methoden waarmee onafhankelijke en deskundige auditors audits kunnen uitvoeren op cloud services, die zekerheid geven over de kwaliteit en effectieve werking van beheer- en beveiligingsmaatregelen. Deze methoden adresseren ook de ketenproblematiek die samengaat met het geheel aan diensten dat nodig is om de clouddienst te kunnen leveren. Toezichthouders, aanbieders en afnemers accepteren deze methoden als waarborg voor de betrouwbare cloud dienstverlening.
Pijler 3: Communicatie
Er zijn EU-breed, één of enkele (nieuwe) rapportagestandaarden voor clouddiensten, die belanghebbenden de gewenste duidelijkheid geven over de pijlers 1 en 2. Deze belanghebbenden vragen actief om de rapportages op basis van deze standaarden. Daarbij zal het “right to audit” overwegend worden vertaald & ingezet als: het inzage krijgen in deze rapportages.
