Het lijkt een hype te worden “Werken in de Cloud”. In onze mobile tijd is het direct bij je hebben van je hele kantoor op je mobiele telefoon inderdaad een uitstekend efficiënt hulpmiddel, flexibiliteit in capaciteit, beheer en betaling.
Maar moet je je data nu werkelijk buiten de deur opslaan, bij een externe partij, meestal over de grens met andere wet- en regelgeving? Er zijn nog nauwelijks standaarden voor deze nieuwe vorm van ict-uitbesteding.
3. Waar bevindt zich de Cloud?
5. Wat zegt de wetgever als uw bedrijfsgegevens in het buitenland staan?
6. Hoe betrouwbaar is de cloud?
7. Wat zijn de voor- en nadelen van de Cloud?
8. Alternatieven voor de Cloud
9. Conclusie
Met de cloud bedoel ik een plaats die niet (meer) helemaal eenduidig kan worden aangegeven. Ergens in die wolk vliegt het vliegtuig; je weet dat hij er is, maar je kunt hem niet meer zien. Dat gebeurt ook met data die we bij een provider 'in de cloud' zetten. We weten dat het 'ergens' is opgeslagen, maar kunnen zelf de exacte plaats niet meer zien of zelfs aanwijzen. We gaan ervan uit dat de cloud provider dat uiteindelijk nog wel weet, want eens zal je die data toch weer willen oproepen.
Een voorbeeld van Cloud applicaties zijn e-mail of een on-line wordprocessor zoals MsOffice 365. De software staat niet op je eigen computer maar je maakt er gebruik van via het internet.
Er zijn vele Cloud leveranciers; Dropbox, het programma dat zo handig is om bestanden tussen een pc, tablet en smartphone te synchroniseren, slaan we in dit artikel over. In Tips & Trucs is ruimschoots aandacht aan deze dienst gegeven, en de meeste computergebruikers zijn er inmiddels mee bekend. Hetzelfde geldt voor LastPass waarmee u wachtwoorden en gebruikersnamen kunt synchroniseren, en Windows Live Onedrive waarmee bestanden online kunnen worden opgeslagen en Gladinet, dat zorgt voor de online opslagruimte van Windows Live Onedrive en Google Docs direct kan worden benaderd via Windows Verkenner, is iets minder bekend, maar toch slaan we ook Gladinet over. Ook bij de 'online applicaties' slaan we een paar titels over. Vrijwel iedereen kent Picasa, dat als fotobewerker en online fotoalbum fungeert. Datzelfde geldt voor de mogelijkheden die Google Docs biedt.
Net kwam ik een artikel op Webwereld tegen waarin staat dat Cloudproviders just naar Nederland komen: De IBM's, Google's en Amazons van deze wereld bouwen substantieel meer datacenters in de EU. Volgens EU-directeur Nemitz omdat overheden hier binnenkort wel te vertrouwen zijn. zie hier.
Een kenmerk van cloud computing is dat het net als het Internet grensoverschrijdend is. Dus niet alleen sectorspecifieke wet- en regelgeving, ook nationale wetten spelen mee. Kan een cloud-aanbieder zijn wolk opdelen in ‘landenbrokjes’, met garanties voor de grensbewaking daarvan?
Al deze data worden opgeslagen ergens in de cloud. En in de SLA (Service Level Agreement) staat ongetwijfeld dat de data veilig wordt bewaard (is dat zo? Kijk je jouw SLA er even op na?). Je weet echter meestal niet wáár jouw gegevens staan. En ja, dat maakt uit. Hoe zou je je voelen als jouw klantgegevens zijn opgeslagen op een server in Oezbekistan? Of in China? Hoe veilig is jouw data in een land dat cybercrime niet in het wetboek van strafrecht heeft staan? Aanbieders stampen nu in rap tempo grote, gecentraliseerde datacenters uit de grond, in landen en op locaties waar ze dat het voordeligst kunnen doen. Nederland is niet per definitie de meest geschikte locatie.
Maar vergeet ook de politiek correcte landen niet! Als jouw data worden opgeslagen op servers in de Verenigde Staten, vallen ze onder het Amerikaans recht. Onder bijvoorbeeld de Patriot Act kan de Amerikaanse overheid op elk moment jouw data inzien, ook zonder dat je dat weet.
Dit zou kunnen betekenen dat in dit geval de Amerikaanse regering op deze manier in het bezit kan komen van bedrijfsgeheimen, klantendatabases, staatsgeheimen en andere informatie die je liever niet weggeeft. Hoe interessant is het voor een bedrijf dat zich met ontwikkeling van nano-technologie bezighoudt om haar documenten en mailwisseling via Google Apps of een soortgelijke dienst te laten verlopen? Hoe kwetsbaar is een overheidsdienst als het via (een zwaar beveiligde applicatie) in de cloud haar gegevens verwerkt? De vraag is dus welke informatie zich wel of niet leent voor het werken in de cloud.
In ieder geval valt jouw opgeslagen informatie niet alleen onder de Nederlandse privacywetgeving. Het kan zijn dat jouw bedrijfsmodel het niet toestaat dat informatie in andere landen wordt opgeslagen of dat informatie moet vallen onder het Nederlands recht.
Deze aspecten moeten goed worden beoordeeld voordat informatie in de cloud wordt opgeslagen. Weet jij waar jouw data zich bevinden?
Op het eerste oog lijkt dit geen probleem, maar je data ligt bij cloud computing buiten de eigen organisatie. Nou en, zullen velen denken. Sommige bedrijven en organisaties mogen echter, afhankelijk van het soort informatie, data helemaal niet elders onderbrengen. Dit betreft niet alleen streng beregelde ondernemingen zoals banken, maar bijvoorbeeld ook bedrijven die privacy-gevoelige informatie in huis hebben als zorginstellingen.
En als je informatie wel bij een ander mag onderbrengen, geldt dat dan ook voor over de grens?
Het grote aangeprezen voordeel van de cloud is juist dat data en applicaties zich ergens in die wolk bevinden. En dat je daar geen omkijken naar hebt.
Schaling
De gedachte achter cloud computing is flexibiliteit om uit te breiden of te krimpen. De cloud-aanbieder heeft omvang en daarmee schaalgrootte. Het voordeel daarvan kan dat bedrijf doorberekenen aan de klant. De vraag is of en hoe dat gebeurt. Een goede vergelijking tussen eigen ict en uitbesteding in de cloud is misschien wel te maken, maar valt die ook te extrapoleren? Kijk naar scenario’s van eigen groei, maar ook inkrimping. Want wat nu voordeliger is, hoeft dat niet altijd te zijn. Probeer daar maar eens grip op te krijgen en te houden.
Wat zegt de wetgever, speciaal als uw bedrijfsgegevens in het buitenland staan?
Gegevens die opgeslagen staan in de cloud
De Wet bescherming persoonsgegevens is bij elke vorm van gegevensverwerking van toepassing. Bij cloud computing zit de naleving van deze wet iets ingewikkelder in elkaar, omdat er sprake is van een derde partij, namelijk de cloud leverancier.
Privacy is een fundamenteel recht dat nauw verbonden is met persoonlijke vrijheid. Het Handvest van de Grondrechten van de Europese Unie definieert onder meer: ‘Eenieder heeft recht op eerbiediging van zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn communicatie.’ Het recht op gegevensbescherming in het Handvest is uitgewerkt in verschillende richtlijnen, waaronder de zogeheten Dataprotectierichtlijn (95/46/EG ).
Als een zorginstelling bijvoorbeeld het beheer en onderhoud van de databases met persoonsgegevens niet zelf uitvoert, maar door een cloud leverancier laat doen, dan noemt de wet dit bedrijf de ‘bewerker’.
Een bewerker bewerkt dus de persoonsgegevens voor de zorginstelling, maar onder diens sturing en verantwoordelijkheid. De verantwoordelijke is verplicht om een contract te sluiten met de bewerker. Er moeten o.a. afspraken gemaakt worden over beveiliging van de persoonsgegevens. Een cloud leverancier handelt in opdracht van de zorginstelling en is daarmee de bewerker, de zorginstelling blijft dus altijd (de) verantwoordelijk(e)
De verantwoordelijke heeft een geheimhoudingsplicht.
Het aan derden verstrekken van de persoonsgegevens door een verantwoordelijke is verboden, tenzij er toestemming is gegeven door de betrokkene, of als de wet dit uitsluit.
De verantwoordelijke moet alle betrokkenen informeren over het opnemen van hun gegevens in de database bij de ‘bewerker’. Dit kan bijvoorbeeld in de nieuwsbrief gebeuren of bij aanmelding. De betrokkenen hebben het recht om hun gegevens in te zien, te corrigeren en zelfs te laten verwijderen als de registratie niet (meer) relevant is.
De Wet bescherming persoonsgegevens (Wbp) schrijft voor dat het verwerken van persoonsgegevens moet worden gemeld bij het College Bescherming Persoonsgegevens (CBP). Deze meldingen komen in een openbaar register.
De zorginstelling heeft als verantwoordelijke de plicht te zorgen voor een behoorlijke en passende mate van beveiliging van gegevens,
Als een zorginstelling zich niet houdt aan de Wbp, kan dit tot verschillende problemen leiden. Zo kan een zorgontvanger of een ouder(indien de zorgontvanger jonger is dan 16 jaar) een klacht indienen als bijvoorbeeld persoonsgegevens zijn gelekt of op een openbare website zijn gezet/beland zonder toestemming van de betrokkene. De verantwoordelijke is aansprakelijk voor schade die samenhangt met het niet-nakomen van de Wbp.
Ook kan de zorginstelling te maken krijgen met het CBP dat een onderzoek instelt: het CBP kan boetes opleggen of een last onder dwangsom opleggen, dat wil zeggen dat de zorginstelling verplicht wordt de onrechtmatige situatie te beëindigen. Verder kan een zorginstelling te maken krijgen met imagoschade: inbreuken op privacy van bewoners/ zorgontvangers (vooral als zij minderjarig zijn), worden als zeer ernstig beschouwd en kunnen altijd rekenen op aandacht van de media.
De Cloud is net zo betrouwbaar als je internet verbinding en Cloud leverancier. Maar als het internet uitvalt is je bedrijf weg totdat het internet weer gerepareerd is. Als iemand bij je Cloud leverancier een verkeerde handeling uitvoert kunnen je gegevens weg zijn.
Wat zijn de voor- en nadelen van de Cloud?
Hoe simpel is het om een NAS (Network-attached Storage) te plaatsen in het kantoor. Het mooie aan deze simpele apparaten is dat het je eigen cloud is: Je bedrijsgegevens weer onder handbereik, beveiligd, veilig en flexibel. En relatief goedkoop, want opslag kost bijna niets meer. 2TB schijven zijn er al voor 70 euro.Zeg dat we een high-end NAS aanschaffen: 600 euro voor het apparaat en twee schijven voor 140 euro. Voor net geen 740 euro heb je je high-end cloud met meer dan 4TB opslag. En als bonus heb je een complete webserver, streaming server, automatische back-ups, vpn'en, mailserver... wat je maar wenst.Overal ter wereld je hele bedrijf beschikbaar... Die NAS kunnen we uitbreiden met een UPS (Uninterupted Power Supply) voor als onverhoopt de stroom uitvalt. En voor extra veiligheid kun je op een andere locatie zo een zelfde NAS neerzetten en de gegevens automatiesch laten repliceren (uitwisselen).Mijn conclusie is dat werken in de cloud veel voordelen biedt, maar dat de gebruiker zich vooral moet afvragen welke informatie hij of zij wel of niet in de cloud wil brengen. Cloud computing is een vooral kwestie van vertrouwen en beleving.
Een nuchtere met twee benen op de grond reactie:
Als je er - als bedrijf of persoon - voor kiest om je (core-) business applicaties "ergens in een vage, virtuele cloud op te hangen"... Realiseer dan heel goed het volgende
Dat je totaal alle controle kwijt over je eigen digitale ruggengraat van je onderneming omdat.
- je servers voor jouw bedrijf niet meer fysiek toegankelijk zijn
- je servers Fysiek niet 100% onder jouw eigen controle staan.
- je kunt je eigen spullen zelf niet beschermen tegen inbraak, hacking, of andere calamiteiten
1. Bij eventuele calamiteiten buiten jouw controle door:
- Natuurrampen (aardbeving, overstroming, storm, brand)
- internet verbinding uitval (graafwerk onderweg)
- datacentrum eigen problemen (brand, stroomvoorziening)
- onenigheid m.b.t. service afspraken of betalingen
- gecoördineerde cyberattack aanvallen tegen het cloud datacentrum
Kunnen jouw bedrijfsapplicaties (en ook alle andere applicaties die in diezelfde cloud en datacenter zijn opgehangen) binnen no time ? door een ander - uit de lucht gehaald worden en gaat jouw business, virtueel up in rook!
Nog een - niet geheel ondenkbaar - kredietscenario:
2. Je krijgt FINANCIEEL MOT met je cloud leverancier:
Die kan dan -in 1 klap- jouw "digitale toegang tot alle gegevens en applicaties? dichtdraaien, en gijzelt zo al jouw bedrijf, klantenbestanden en applicaties. Geen leuk vooruitzicht.
3. Nog een - niet geheel ondenkbaar - kredietscenario:
Je cloud leverancier gaat zelf failliet en een curator trekt de stekker eruit de cloud machines.
Waar blijf jij dan met je gehele bedrijfsvoering? Je bedrijf ineens verdwenen.
Is je cloud-achtige ict-bedrijfsvoerings-model hierop al berekent?
Kijk dan ook goed of je dit zelf wel wilt, deze bedrijfsrisicos uit handen geven. Check ook wat de Cloud service leverancier zelf aan backup - failover mogelijkheden heeft in geval van eigen calamiteiten, rampen.
Denk zelf na! Word je eerst bewust van ALLE cloud-risico’s, voordat je overstap gaat maken van:
- nuchtere solide eigen grond onder je ict services of
- jouw applicaties ophangt ergens in virtuele clouds
Als je de financiële voordelen hebt doorberekent aan jouw klanten kun je niet meer terug als het fout gaat. Das een hele dure prijs voor je bedrijf, alleen om maar de geldende hypes te blijven volgen in de ict-industrie.
Sowieso geldt voor het hele outsourcing gebeuren (onder het mom van 'alleen maar je core-business nog zelf doen), bezint eer gij begint. Vergeet niet dat de regie van outsourcing en het gesteggel wat je vaak krijgt over al dan niet tegenvallende dienstverlening, ook geld, tijd, moeite en ergernis kost.
Maar toegegeven, het is wel makkelijk om verantwoordelijkheid af te kopen en het beschuldigende vingertje richting een leverancier te wijzen, in plaats van bij jezelf te rade te gaan.