Cloudserviceproviders moeten klanten duidelijk maken waar hun data is opgeslagen, zo stelt de Rijksinspectie Digitale Infrastructuur (RDI). Daarnaast moeten deze partijen hun klanten helpen om data naar een andere partij mee te nemen. Cloudserviceproviders zijn partijen die diensten van cloudproviders afnemen en gebruiken voor de diensten die ze aan hun klanten en gebruikers leveren. Met de inwerkingtreding van de Cyberbeveiligingswet in de tweede helft van volgend jaar gaat de RDI proactief toezicht houden op cloudserviceproviders.

De Cyberbeveiligingswet (Cbw, ook wel NIS2), stelt regels aan cloudproviders en organisaties die hier gebruik van maken. Zo moeten cloudserviceproviders risico's in kaart brengen en passende maatregelen nemen om die te beheersen. Als toezichthouder op de Cbw zegt de RDI dat het niet alleen na een incident of signaal zal toetsten of regels zijn nageleefd, maar worden cloudserviceproviders straks ook vooraf benaderd over risico’s en genomen maatregelen.

Eén van de punten waar de RDI cloudserviceproviders op wijst is dat die klanten moeten laten weten waar hun gegevens precies staan. "Het gebruik van clouddiensten betekent dat data, systemen en applicaties van een organisatie vaak niet meer volledig onder eigen beheer staan. Afhankelijk van de gekozen clouddienst kan het zijn dat deze ook onder een andere jurisdictie vallen. Dit brengt risico’s met zich mee voor de integriteit, vertrouwelijkheid en continuïteit van de dienstverlening", aldus de toezichthouder.

De RDI verwacht dan ook van cloudserviceproviders dat die de risico's goed hebben afgewogen en klanten inzicht geven waar hun data is ondergebracht. "Het is ook van toegevoegde waarde wanneer u duidelijk maakt welke maatregelen uw klanten zelf moeten nemen om uw diensten veilig te gebruiken. De keten is immers zo sterk als de zwakste schakel", laat de toezichthouder verder weten. Daarnaast moeten cloudserviceproviders hun gebruikers en klanten helpen om hun data en applicaties beschikbaar en overdraagbaar te houden.