De kleine lettertjes van de cloud

Bij het overstappen op de cloud is een professionele aanpak onmisbaar. De eerste stap, zegt Simon van den Doel, is de cloudleverancier vragen om de voorwaarden. Vervolgens formuleert hij zeven vragen aan de hand waarvan de klant deze voorwaarden kan doorgronden. Een cloudvoorwaarden-abc.

Wie nog niet in de cloud zit is hopeloos ouderwets. En wie de voorwaarden van zijn cloudleverancier(s) klakkeloos accepteert, is hopeloos verloren. Want wat nou als een cloudleverancier in rook opgaat, vastzit aan de Amerikaanse wet of z’n datacenters in Verweggistan heeft staan?

Waar data precies zijn opgeslagen, is niet voor ieder bedrijf even relevant. Wél moet iedere organisatie weten wat een cloudleverancier met zijn data doet. Anders hebben ze geen enkel houvast om risico’s in te schatten en af te dekken. Daarom is het van belang dat cloudleveranciers openheid geven over de voorwaarden. Waar worden data opgeslagen en welke rechtsregels zijn daarop van toepassing? Hoe staat het met het beveiligingsniveau van data? En hoe zijn data nog bereikbaar als de cloudleverancier failliet gaat of het datacenter waar de cloudleverancier de data heeft neergezet, afbrandt?

De cloud niet gebruiken alleen om de kleine lettertjes zou zonde zijn. Maar bedrijven moeten wel beseffen dat ze niet zomaar even overstappen op de cloud. Een professionele aanpak is onmisbaar. Bij de keuze voor een nieuwe server bijvoorbeeld gaan bedrijven immers ook niet over één nacht ijs. Een belangrijke eerste stap is de cloudleverancier om inzage vragen in de voorwaarden. En daarbij vooral letten op de volgende zaken.

 

1 Is er een Disaster Recovery Plan?

93 Procent van de bedrijven met een significant dataverlies is binnen vijf jaar failliet (Gartner). 90 Procent van alle bedrijven die te maken krijgen met een ramp zonder een Business Continuity Plan of Disaster Recovery Plan (DRP) achter de hand te hebben, gaat binnen 18 maanden failliet (PWC). Bij zo’n ramp valt te denken aan het defect raken van een server, per ongeluk verwijderen van cruciale data, vernietigen van het gebouw, een stroomstoring, een aanval van een hacker. Het is dus raadzaam om goed bij de cloudleverancier te checken wat hij geregeld heeft voor het geval zich een ramp voordoet. Waarbij bedrijven zich niet moeten laten afschepen met enkel een percentage dat weergeeft hoe snel de dienst weer in de lucht is na een eventuele calamiteit. Bedrijven doen er goed aan te vragen naar het datacenter- of uitwijkbeleid. Is er sprake van een active-active-uitwijk en nemen datacenters het real time van elkaar over? Of is er tijd nodig voordat het ene datacenter het van het andere kan overnemen? Hoeveel data gaan verloren en hoe is de recovery echt ingericht?

 

2 Hoe is High availability georganiseerd?

High availability betekent dat klanten dankzij spiegeltechnieken (mirroring) kunnen rekenen op een zo hoog mogelijke beschikbaarheid. Als een component uitvalt, wordt het overgenomen door een andere machine. Cloudleveranciers geven meestal een percentage van de beschikbaarheid tijdens een bepaalde tijdspanne. Wat precies beschikbaar moet zijn en wat geteld wordt als onbeschikbaarheid, is vastgelegd in een Service Level Agreement (SLA). Stel: er is een SLA van 99,9 procent beschikbaarheid in de maand afgesproken, dan betekent dat, als er verder geen andere afspraken zijn gemaakt, dat er maximaal 0,1 procent van de tijd in de maand hinder mag zijn van ongeplande niet-beschikbaarheid. Bij 99,99 procent is dat 0,01 procent en bij 99,999 procent is dat 0,001 procent. En ga zo maar door. Maar interessanter dan zo’n percentage is de vraag hoe tolerant de omgeving is voor verstoringen. Belangrijk om te checken bij de cloudleverancier is dus wat er met data gebeurt als een server crasht.

 

3 Welk recht is van toepassing op data?

Vaak is in de voorwaarden van een cloudleverancier alleen terug te vinden waar de onderneming is gevestigd. Maar heeft een bedrijf bijvoorbeeld gekozen voor een cloudleverancier in Lutjebroek, dan wil dat nog niet zeggen dat de data automatisch onder de Nederlandse wetgeving vallen. Bedrijven moeten zich dus goed laten voorlichten over de wetgeving, zodat zij weten welke garanties zij voor welke data kunnen afdwingen. Een bedrijf is en blijft zelf verantwoordelijk voor de compliance, dus moet het ook controleren of alle leveranciers voldoende garanties kunnen geven. Belangrijk dus om te checken welk recht van toepassing is op welke data, bij welke IaaS-provider de data staan, in welk land en onder welk recht de beheerders vallen. Dát data in een Amerikaanse cloud staan, hoeft geen probleem te zijn. Zolang het maar bekend is en het een bewuste keuze is. En natuurlijk moet dit passen bij het gevoerde compliancebeleid van de organisatie.

 

4 Wat te doen bij faillissement?

Over de gevolgen van een faillissement van een cloudleverancier of van de IaaS-provider – waar hij zijn dienstverlening onderbrengt – is in de kleine lettertjes meestal niets terug te vinden. Voordat bedrijven met een cloudleverancier in zee gaan, is het belangrijk om dit wél te checken. Bij bedrijfskritische processen moet de continuïteit goed geregeld zijn – technisch en juridisch. Zolang er geen wettelijke regels zijn en er geen goede contractuele afspraken zijn gemaakt, zijn afnemers volledig afhankelijk van de curator. Bedrijven moeten beseffen dat dit gebied van cloudcomputing nog erg onvolwassen is. En dat er dus bijzonder kritisch gekeken moet worden naar dit stukje service. Goed advies over de juridische consequenties, inclusief verzekering tegen dataverlies, is dan ook onmisbaar.

 

5 Hoe ziet het securitybeleid eruit?

Neem geen genoegen met een zinnetje in de voorwaarden zoals ‘bij ons zijn je data veilig’. Maar zaag de cloudleverancier door over hoe dan wel. Vraag om bewijzen zoals:

Hoe ziet jullie securitybeleid eruit? Stimuleren jullie de vindingrijkheid van medewerkers, met bijvoorbeeld hackersclubs? Hoe worden medewerkers gescreend? Hoe is de fysieke beveiliging van data geregeld? Hoe worden medewerkers getraind in security? Hoe zit het met audits en normeringen?

 

6 Cloud-exitstrategie geregeld?

Net als elke dienst, kan ook een clouddienst opgezegd worden. Dat betekent dat een cloudleverancier de data terug moet geven aan de rechtmatige eigenaar. Check van tevoren dus goed hoe de rollen en verantwoordelijkheden beschreven zijn bij het opzeggen en welke ondersteuning de cloudleverancier daarbij geeft. Wat staat er bijvoorbeeld beschreven over hoe, wanneer en in welke vorm de data teruggegeven worden? Volwassen cloudleveranciers bieden bijvoorbeeld API’s, waarmee hun klanten data zelf eenvoudig kunnen benaderen, migreren of synchroniseren met on-premise-systemen of met andere clouddiensten. Voor klanten betekent dat dat ze minder afhankelijk zijn van een cloudprovider en ze eenvoudig van cloud naar cloud kunnen overstappen.

 

7 Hoe waarborgt de cloud­leverancier de privacy?

Bedrijven die in zee gaan met een cloudleverancier, blijven natuurlijk zelf eindverantwoordelijk voor de naleving van de Wet Bescherming Persoonsgegevens (Wbp). Des te belangrijker om goed na te gaan hoe een cloudleverancier omgaat met de privacy. Uit onderzoek blijkt dat 74 procent van de cloudleveranciers niet geschikt is voor Europese bedrijven om data op te slaan. Ze voldoen niet aan de Europese privacyrichtlijn. Volgens deze richtlijn is het verboden persoonsgegevens te exporteren naar een land buiten de Europese Unie als dat land een ontoereikend beschermingsniveau biedt, bijvoorbeeld de Verenigde Staten. Om transport van persoonsgegevens naar de VS toch mogelijk te maken heeft het Amerikaanse Departement van Handel in overleg met de Europese Commissie het Safe Harbor Framework opgericht. Amerikaanse organisaties die zich bij dit framework hebben aangesloten, worden gezien als organisaties die voldoen aan de Europese beveiligingsstandaard. Maar dat is onvoldoende. Bedrijven die een clouddienst afnemen bij zo’n partij, moeten goed checken of de partij zich er ook aan houdt, en of de andere voorwaarden van de Wbp worden gerespecteerd.

 

Warboel van verantwoordelijkheden

Afnemers – die steeds vaker niet meer van een ICT-afdeling komen, maar vanuit allerlei organisatieonderdelen en afdelingen – moeten zich bewust worden van de warboel aan dienstverleners achter hun cloudoplossing. Zo maken SaaS-leveranciers vaak gebruik van één of zelfs meer IaaS- en/of PaaS-leveranciers om hun clouddienst aan te bieden. Er ontstaat een keten van verantwoordelijkheden die impact heeft op de clouddienst. Als de SaaS-provider failliet gaat, hoe zit het dan met de rechten van de klant ten opzichte van de achterliggende leveranciers? En matcht het privacybeleid van de achterliggende leveranciers wel met de privacyeisen die de klant stelt aan zijn in de cloud geplaatste data? Kortom: een correcte, juridisch dichtgetimmerde, inrichting van het IaaS-platform door de SaaS-provider zou topprioriteit moeten hebben. En de afnemer mag daar veeleisend in zijn. Het gaat immers om zijn data.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag