Wil je gebruik maken van cloudservices? Doe je dat misschien al? Weet ja dan waar jouw data staan? Maakt het eigenlijk wel uit?
Cloudservices zijn er in allerlei soorten en maten. Van de ruwe vorm (infrastructure as a services, het huren van virtuele machines en storage) via platform as a service (het draaien van zelfbouwapplicaties op een platform) tot volledige software as a service (zoals Gmail of Linkedin). Welke vorm je ook kiest, overal worden data opgeslagen. Meestal bedrijfsgevoelige data. Van e-mails met gevoelige inhoud tot en met complete klantgegevensbestanden.
Al deze data worden opgeslagen ergens in de cloud. En in de SLA staat ongetwijfeld dat de data veilig worden bewaard (is dat zo? Kijk je jouw SLA er even op na?). Je weet echter meestal niet waar jouw gegevens staan. En ja, dat maakt uit. Hoe zou je je voelen als jouw klantgegevens zijn opgeslagen op een server in Oezbekistan? Of in China? Hoe veilig is jouw data in een land dat cybercrime niet in het wetboek van strafrecht heeft staan?
Maar vergeet ook de politiek correcte landen niet! Als jouw data worden opgeslagen op servers in de Verenigde Staten, vallen ze onder het Amerikaans recht. Onder bijvoorbeeld de Patriot Act kan de Amerikaanse overheid op elk moment jouw data inzien, ook zonder dat je dat weet.
In ieder geval valt jouw opgeslagen informatie niet onder de Nederlandse privacywetgeving. Het kan zijn dat jouw bedrijfsmodel het niet toestaat dat informatie in andere landen wordt opgeslagen of dat informatie moet vallen onder het Nederlands recht.
Deze aspecten moeten goed worden beoordeeld voordat informatie in de cloud wordt opgeslagen. Weet jij waar jouw data zich bevinden?
In een outsourcing situatie staat data vaak al in het buitenland. Dat is vaak ook al afgesproken met de klant. Het datacenter voldoet dan aan hoge eisen. Netwerk technisch is het ook niet makkelijk om erbij te komen. Het legal aspect blijft belangrijk.In een outsourcing situatie is daar al veel over onderhandeld en duidelijk. Dit is en hoeft bij cloud niet anders te zijn. Je moet afspraken maken met de leverancier. Verder zal je altijd je data moeten classificeren eer je beslist waar je het gaat laten hosten. Immers dat bepaalt hoe gevoelig die data is. Je ziet sowieso een trend dat business kritische data en applicaties niet perse buiten de deur worden gezet. Immers dat is gevoelige informatie. Maar inderdaad, men moet er wel goed over nadenken eer men denkt aan cloud services.
De plaats van de data is in principe in de service overeenkomst bepaald. Als er niets bepaald is dan staat het de provider in principe vrij om de data overal op te slaan. Veel bedrijven en overheden eisen dat de data in een bepaalde regio is opgeslagen, bijvoorbeeld in de Europese Unie, Verenigde Staten of Rusland. De aanbieder zal voor die regio’s aparte data centra en service overeenkomsten aanbieden. Als klanten eisen dat data in een bepaald land of datacenter wordt opgeslagen is het aan de leverancier om hier al of niet op in te gaan en of hier extra kosten voor in rekening te brengen. Ergens moet er wel een grens getrokken worden. Het is niet werkbaar voor een aanbieder om klanten te laten bepalen op welke etage en in welk rack en op welke server en disk de data staat.
M.i. zullen bedrijven goed moeten nadenken over hun data.
Begin gemakkelijk, maak een basis classificatie:
1. Maakt niet echt uit wie ze ziet,
2. Vertrouwelijk, maar niet bedrijfskritisch,
3. Bedrijfskritisch.
Zo zul je data uit de eerste groep zonder enig probleem in de Cloud hosten. Data uit de tweede groep zullen een discussiepunt vormen. Het kan met goede SLA’s, encryptie en dergelijke. Data die in de laatste groep vallen, misschien nog niet – maar dat is een beslissing van het bestuur, niet van mij…
Hoe paranoïde moeten we worden over data hosting in de Cloud, zolang (bedrijfskritische) data gekopieerd kunnen worden naar een USB stick, die vervolgens verloren wordt?
De fysieke locatie waar data opgeslagen wordt, blijkt vaak een hekel punt bij SaaS diensten. Het probleem binnen Europa is dat we met zoveel verschillende landen zijn met ieder zijn eigen wetgeving en regulering, en er daarnaast nog emotionele redenen spelen (een Engelsman zal zijn data niet graag in Frankrijk opslaan). Dit is één van de redenen waarom Cloud en SaaS in De Verenigde Staten sneller ontwikkelt, gezien het allemaal onder dezelfde wetgeving valt. Met BackupAgent hebben we al regelmatig meerdere deployments bij één klant gedaan die vestigingen in meerdere landen heeft, omdat klanten willen dat de data in eigen land opgeslagen staat. Dit zou wat mij betreft één van de aspecten zijn die bovenaan de agenda moet komen van een Europese Cloud/SaaS-wetgeving.
Bij gesprekken over Cloud Computing met klanten en partners blijkt steeds weer dat de locatie van data een zeer belangrijk onderwerp is. Naast veel vragen zijn er ook veel meningen over dit onderwerp die vaak niet gebaseerd zijn op feiten, of heel algemeen zijn.
“Onze data moet in Nederland blijven” is een veel gehoorde opmerking. De regels welke informatie wel en niet buiten Nederland of buiten de EU mag worden opgeslagen verschillen per branche en zijn afhankelijk van het soort informatie. In de praktijk zijn er weinig branches die expliciet voorschrijven dat data in Nederland moet blijven.
Als aanbieder van Cloud Services moet je duidelijkheid geven aan je afnemers waar hun data zich bevindt; binnen Nederland, binnen de EU of daarbuiten. Voor veel bedrijven is het van belang dat hun data binnen de EU moet blijven en niet gerepliceerd wordt naar de Verenigde Staten of andere delen van de wereld. Op dit punt mag er dus geen onduidelijkheid bestaan.
Certificeringen en kwalificaties van datacenters en het personeel dat daar werkt zijn een randvoorwaarde voor het leveren van diensten aan bedrijven en overheden. Beveiliging, privacy en het kunnen voldoen aan wet- en regelgeving zijn in deze context allemaal belangrijk. Op dit punt zie ik ook een belangrijk onderscheidend vermogen tussen de verschillende aanbieders van Cloud Services. Er zijn veel vragen over deze onderwerpen en gelukkig ook veel heldere antwoorden. Dit zie je bijvoorbeeld terug in het aantal grote bedrijven in Nederland dat nu al Cloud Services afneemt.