Beveiliging en toegangscontrole in het datacenter

Nederlandse context

De AVG (Algemene Verordening Gegevensbescherming) vereist passende technische en organisatorische maatregelen voor de bescherming van persoonsgegevens. De Autoriteit Persoonsgegevens (AP) kan handhavend optreden bij onvoldoende fysieke beveiliging. NEN-EN-ISO 27001 (informatiebeveiliging) en SOC 2-audits stellen expliciete eisen aan fysieke toegangscontrole van datacenters.

Kernbegrippen

Mantrap

Dubbele deurconstructie waarbij de eerste deur moet sluiten voordat de tweede opent. Voorkomt meelopers (tailgating) en is standaard bij beveiligde zones in datacenters.

Multifactorauthenticatie

Toegang vereist minimaal twee verificatiemethoden: iets dat u hebt (badge), iets dat u weet (pincode) of iets dat u bent (biometrie).

Zonering

Indeling van het datacenter in beveiligingszones met oplopende restrictieniveaus: terrein, gebouw, datacenterruimte, rackregel, individueel rack.

Bezoekersprotocol

Procedure voor registratie, identificatie, begeleiding en logging van bezoekers. Klanten en leveranciers krijgen nooit onbegeleide toegang tot serverruimten.

CCTV-retentie

De bewaartermijn van camerabewakingsbeelden. De AP adviseert maximaal 4 weken tenzij een langer belang aantoonbaar is; contractuele eisen (SOC 2) kunnen 90 dagen vereisen.

Wat de wet vereist

De AVG verplicht verwerkingsverantwoordelijken tot passende beveiligingsmaatregelen. Voor datacenters vertaalt dit zich in fysieke toegangscontrole, logging van alle toegang, camerabewaking en procedures voor incidentrespons. De AP beoordeelt of maatregelen in verhouding staan tot het risico; voor datacenters met persoonsgegevens ligt de lat hoog.

ISO 27001 Annex A bevat specifieke beheersmaatregelen voor fysieke beveiliging (A.11): beveiligde gebieden, toegangscontrole, bescherming tegen bedreigingen van buitenaf en beveiligde verwijdering van apparatuur. SOC 2 Trust Services Criteria vereisen logging van alle fysieke toegang met bewaarplicht.

U bent als FM-professional verantwoordelijk voor de operationele invulling: het functioneren van toegangssystemen, het bijhouden van autorisatielijsten, het periodiek reviewen van toegangsrechten en het archiveren van logbestanden. Documenteer uw beveiligingsprocedures en test ze periodiek. Auditors verwachten aantoonbare naleving, niet alleen een beschreven beleid.