Wil je gebruik maken van cloudservices? Doe je dat misschien al? Weet ja dan waar jouw data staan? Maakt het eigenlijk wel uit?
Cloudservices zijn er in allerlei soorten en maten. Van de ruwe vorm (infrastructure as a services, het huren van virtuele machines en storage) via platform as a service (het draaien van zelfbouwapplicaties op een platform) tot volledige software as a service (zoals Gmail of Linkedin). Welke vorm je ook kiest, overal worden data opgeslagen. Meestal bedrijfsgevoelige data. Van e-mails met gevoelige inhoud tot en met complete klantgegevensbestanden.
Al deze data worden opgeslagen ergens in de cloud. En in de SLA staat ongetwijfeld dat de data veilig worden bewaard (is dat zo? Kijk je jouw SLA er even op na?). Je weet echter meestal niet waar jouw gegevens staan. En ja, dat maakt uit. Hoe zou je je voelen als jouw klantgegevens zijn opgeslagen op een server in Oezbekistan? Of in China? Hoe veilig is jouw data in een land dat cybercrime niet in het wetboek van strafrecht heeft staan?
Maar vergeet ook de politiek correcte landen niet! Als jouw data worden opgeslagen op servers in de Verenigde Staten, vallen ze onder het Amerikaans recht. Onder bijvoorbeeld de Patriot Act kan de Amerikaanse overheid op elk moment jouw data inzien, ook zonder dat je dat weet.
In ieder geval valt jouw opgeslagen informatie niet onder de Nederlandse privacywetgeving. Het kan zijn dat jouw bedrijfsmodel het niet toestaat dat informatie in andere landen wordt opgeslagen of dat informatie moet vallen onder het Nederlands recht.
Deze aspecten moeten goed worden beoordeeld voordat informatie in de cloud wordt opgeslagen. Weet jij waar jouw data zich bevinden?
Belangrijk om hier aan toe te voegen is dat de Wet Bescherming Persoonsgegevens van toepassing is op het moment dat via replicatie of remote hosting persoonsgegevens naar andere landen worden verstuurd. In principe moet door de personen daarvoor toestemming worden gegeven. Voor organisaties die hun klanten- of personeelsadministratie op een hosted storage onder brengen, is het dan inderdaad van belang om goed na te vragen waar de data precies worden opgeslagen.
Dit artikel beschrijft precies mijn bezwaar tegen ‘de cloud’.
In het voorbeeld wordt slechts gesproken over klantgegevens, maar wat te denken van, zoals Frank al aangeeft, persoonlijke gegevens.
Maar in hetzelfde straatje past de code van de producten die we ontwikkelen. Hoe bescherm je het intellectueel eigendom van de code, als jouw data gehost is in China. Voor je het weet hebben ze ook je software nagemaakt.
En toch zullen veel bedrijven ervoor gaan. Waarom? Omdat het goedkoper is en veel bonussen van managers worden gebaseerd op de kosten die zij kunnen besparen.
Een reden waarom het goedkoop kan zijn, is bijvoorbeeld de arbeidskrachten. Maar een andere reden zou kunnen zijn omdat uw data gebruikt wordt voor datamining… Ja, zelfs Amerikaans bedrijven als Google zijn hier niet vies van. En het is aan U om dit te bewijzen. Het zou interessant zijn om uw compliance managers een verzoek te laten richten aan de cloud operator voor een audit-bezoek.
Ik zie in dit bericht en jullie reactie vooral een afwijzende houding maar volgens mij doen velen mee aan oplossingen als LinkedIN, Facebook, Twitter vanuit zakelijk oogpunt.
Laat staan voor de prive-zaken o.a. een gmail/hotmail account, spaarpassen/loterijen met een login en INTERNET bankieren!
“Waar staat mijn data?” is volgens mij niet de (volledig) juiste vraag maar “Hoe veilig is mijn data?”.
Er zijn ook voor Cloud services bepaalde ISO certificeringen nodig en ik heb begrepen dat die echt niet bij het pakje boter wordt uitgegeven. Bedrijven en dus ook de bedrijfsjuristen en auditors zullen hier het huiswerk moeten doen.
Ik volg deze ontwikkelingen in ieder geval met open vizier en voor verdere ontwikkeling van onze kenniseconomie.
Vergeet niet dat wij een prima vertegenwoordigster hebben in Neelie, toch?
@Patrick
Wat ik op Linkedin, Plaxo en Hyves heb staan is informatie die gelezen mag worden van mij. Dit is informatie die ik bewust opzet. Geen probleem dus.
Voor mijn mail gebruik ik ook geen cloud-diensten. Mijn mail komt via mijn provider recht naar huis, en blijft niet in de cloud bewaard. Zakelijke mail loopt via de werkgever, ook buiten de cloud.
Ik weet eerlijk gezegd niet waar mijn bank z’n spullen host, maar volgens mij hebben de meeste banken een eigen datacentrum waar de spullen voor internetbankieren gehost worden.
Maar je opmerking “hoe veilig is mijn data” is inderdaad zeker zo belangrijk als de “waar staat mijn data” vraag.
Ook de continuïteit van de data is belangrijk; is er iets geregeld als de hosting-provider failliet gaat; worden er in het datacentrum backups gemaakt enz enz.
Microsoft is van mening dat dit een zeer belangrijk onderwerp is en uit persoonlijke ervaring weet ik dat het bijna dagelijks aan de orde komt in gesprekken met klanten en partners.
Ook bestaan er veel meningen over dit onderwerp die niet altijd gestaafd zijn met feitelijkheden. Zo gelden er voor verschillende branches ook verschillende regels als het gaat om welke informatie wel en niet buiten een land / de EU, etc kan worden opgeslagen. En is er op het gebied van Privacy de Nederlandse WPR maar ook een EU wet die op veel punten strenger is.
Ik ben zelf geen specialist op het gebied van deze wetgeving, maar gezien het belang van goede informatie en transparantie in deze discussie publiceert Microsoft geregeld informatie over onderwerpen als compliancy, beveiliging en privacy.
Hier een citaat iuit een recent Technet Magazine artikel :
Cloud Considerations
Security and compliance are among the major concerns raised about cloud computing. However, Microsoft has a long history of serving enterprise IT needs and has taken these concerns into account. Singh points out that Microsoft’s big differentiator is how we maintain your data. “We can tell you at any given point in time where it is.
Yes, you want to put your data in the cloud, yet you want to stay compliant. You own the risk of your customers’ data getting lost. Google, for example, cannot tell you where your data is. It’s an architecture question. We can even localize compliance requirements: If you’re in the European Union [EU] and you want to be sure that your data does not go outside the EU, we can guarantee that. We make sure all the datacenters are audited. We take on the liability.”
Bron : http://technet.microsoft.com/en-us/magazine/ff394351.aspx
In een recent whitepaper heb ik een overzicht opgenomen van de op dit moment beschikbare documenten op het gebied van compliancy, beveilging en privacy rondom de Cloud diensten van Microsoft :
http://www.slideshare.net/dehaaspeter/microsoft-online-services-the-ultimate-list (bladzijde 17)
Peter de Haas
Microsoft Nederland
In onderstaand artikel geeft IBM wel aan te kunnen geven aan zijn klanten waar hun data zich bevindt.
Ik ben overtuigd dat de serieuze klanten toch voor een private cloud kiezen of een tailor made oplossing.
Bron https://www.computable.nl/artikel/ict_topics/saas/3314202/2333364/ibm-vertelt-saasklanten-wl-waar-hun-data-zijn.html
Opmerkelijk vind ik het initiatief Ozzo waar men uitgaat van een Energy Self Sufficient Data Center-concept. Kenmerkend voor dit concept is dat veelgebruikte data dicht bij de gebruiker worden opgeslagen, zodat deze data snel beschikbaar is.
Dit staat weer haaks tegenover de ontwikkelingen die we de laatste tijd hebben gezien zoals bijv. grensoverschreidend opslaan van data.
Bron: https://www.computable.nl/artikel/ict_topics/maatschappij/3382927/2429449/25-ictbedrijven-gaan-broeikasgas-te-lijf.html?utm_source=Nieuwsbrief&utm_medium=E-mail&utm_campaign=Redactiemailing
Het issue “waar bevind zich mijn data” is inderdaad niet de kern van de zaak. De essentie bij opslag van gegevens die aan wet- en regelgeving moeten voldoen is de vraag “ben ik wel in control”. Dat geldt voor iedere partij, het heeft helemaal niets met uitbesteding te maken.
Twee misvattingen die ik vaak tegenkom zijn:
– Als ik mijn data “zelf opsla” is het veilig en voldoe ik aan de wet
– data “mag het land niet uit”
De eigenaar van data: dat is de partij die de data opslaat , is en blijft de partij die aan regels en wetten moet voldoen; of die data nu op een disk onder de keukentafel staat , op een stick wordt meegenomen of is opgeslagen in een datacenter van een derde partij, het geeft geen enkel uitsluitsel over compliance met wetten en regels. Het gaat erom hoe de keten is ingericht en hoe de veiligheid en toegang zijn geregeld. Daar kun je dus in zijn algemeenheid helemaal niets over zeggen.
Verder is er geen enkele Europese wet die expliciet iets zegt over electronische data en de geografische locatie. Wel zeggen wetten iets over de eisen die aan opslag, ontsluiting en bewaartermijnen etc. worden gesteld. Het is dus zo dat je erop moet letten dat degene aan wie je de opslag toevertrouwd, de zaak met net zoveel zorg regelt als dat wanneer je het zelf zou (moeten) doen. Dat kan door die partij te vragen een audit report ( bijvoorbeeld een SAS-70) te overleggen, waarin staat welke zaken zijn geregeld.
De enige kwestie waar de locatie echt een rol speelt is bij privacy data. Bij privacy data blijft in de EU de natuurlijke persoon altijd de eigenaar, degene die het opslaat is slechts een tijdelijke “beheerder”. In de VS is dat anders; daar wordt degene aan wie de data is verstrekt de eigenaar, vandaar dat wij in de EU niet staan te springen om onze privacy data aan een US partij toe te vertrouwen.
Anders gezegd: je bent beter ale je je dataopslag uitbesteed bij een partij die de zaken heeft geregeld via een SAS-70, dan wanneer je dat zelf moet doen zonder zo’n control set en audit ; compliance 100% zelf regelen is veel meer dan een “eigen” diskje op een “eigen” server ; iets waar menigeen zich stevig op verkijkt.
@Michiel Steltman: De vraag *waar* mijn data opgeslagen wordt kan wel degelijk relevant zijn. Het is bijvoorbeeld zo dat financiële instellingen in Zwitserland door de Zwitserse wet verplicht worden om hun data op te slaan op servers die fysiek in Zwitserland staan.
Het probleem met SaaS is dat bedrijven best 100 verschillende applicaties willen gebruiken, maar dat ze niet de databases en datacenters van die 100 leveranciers ieder jaar willen controleren. SaaS schaalt dus niet! Wel technisch, maar niet organisatorisch. Na een paar applicaties daalt, zoals Gartner recent aangaf, het enthousiasme. Eigenlijk wil je SaaS (Software) en IaaS (Infrastructuur) ontkoppelen, zodat je in een soort Cloud AppStore SaaS applicaties kunt kiezen en die draaien bij door jou gekozen en geaudite IaaS leveranciers. Lijkt ver gegrepen, maar de eerste Cloud aanbieders volgens dit nieuwe broker model zijn al live en maken de cloud meer beheer(s)baar.