Moet er een cloudbeleid komen? Eurocommissaris Kroes vindt van wel. Maar waarom eigenlijk? Er is toch ook geen outsourcingsbeleid? Als een overheid probeert zaken op technologisch gebied te reguleren of op te leggen, is dat tot mislukken gedoemd. Beleid op cloudgebied is ook helemaal niet nodig.
Om direct maar een eventueel misverstand uit de weg te ruimen: het is uiteraard een goede zaak om na te denken over de impact van technologische ontwikkelingen op de mensen en de maatschappij. Maar een overheid moet zich niet bemoeien met de technologie zelf. Dat heeft ook helemaal geen zin. Technologie wordt uitgevonden door twintigers en dertigers en zij gebruiken die technologie vervolgens ook echt. Uit diverse onderzoeken komt zelfs naar voren dat deze groep weinig of geen boodschap heeft aan IT- en beveiligingsbeleid. Zij weten wat ze willen en gaan gewoon hun gang.
Op het gebied van cloud (de technologie) en outsourcing (het businessproces) ontstaan allerlei leuke, nieuwe ideeën en er worden talloze miljoenen in geïnvesteerd. Wat moet de overheid dan nog? Het maken van beleid duurt veel te lang en loopt te veel achter de muziek aan, zeker op Europees niveau. Het gevolg is dat de technologie waar het beleid voor is bedoeld, alweer achterhaald is als het beleid eenmaal van kracht wordt.
Zo heeft naar mijn idee de kwestie rond de Patriot Act uit de Verenigde Staten vooral te maken met het gebrek aan ruimte die technologie krijgt. Dat leidt tot verkrampte wetgeving. Zo ook de zaak rond Pirate Bay. Die door de rechter verordonneerde blokkade is een farce, want met een beetje moeite kan iedereen er zo omheen.
De wetgever moet zakelijk belang, veiligheidsbelang en vrijheid constant afwegen, zeker. Maar elke keer blijkt weer dat technologie zich niet door regels in een keurslijf laat dwingen. De hele kwestie rond de Patriot Act zorgt overigens wél voor bewustwording. Wat is het belang van gegevens? Hoe belangrijk is het voor een onderneming waar deze zich precies bevinden? Hoe zijn deze gegevens beveiligd? Allemaal essentiële vragen, maar voor de antwoorden hebben we toch geen overheidsbeleid nodig?
Dit betekent natuurlijk niet dat er op ict-gebied helemaal geen rol is weggelegd voor de overheid. Wat zou die overheid dan wél kunnen doen? Ik denk: stimuleren van innovatie en zelf het voorbeeld geven. Denk aan het tot stand brengen van de digitale overheid en deze naar de cloud brengen. Bovendien verwacht ik van de overheid eigenlijk dat ze hun ‘lokale diamantjes’ steunen, bijvoorbeeld met informele stimulering onder het motto ‘koop in eigen land’. Zo’n beleid kan zorgen voor een ‘level playing field’ voor alle spelers – lokaal en internationaal.
Het is een open deur dat ondernemingen goed moeten nadenken over de toekomst. Alleen wordt dat steeds lastiger. Welke trends slaan aan en welke niet? Meer dan ooit gaat het er om een flexibele positie te kiezen, van waaruit zo snel mogelijk kan worden ingespeeld op veranderingen. Dat legt een grote druk, niet alleen op ondernemers, maar ook op it’ers. Het vergt van it’ers andere kennis en kwaliteiten dan voorheen. Er zijn dan ook grote tekorten aan ict-experts om deze flexibiliteit ook echt te realiseren. Hoe nijpend dit probleem is blijkt wel uit de berichten dat diezelfde overheid zijn eigen it-ambities niet kan waarmaken wegens gebrek aan de juiste mensen. Juist op dit terrein zou ik graag een solide beleid willen zien van het nieuwe kabinet.
U vergist zich, er is wel degelijk wet en regelgeving op het gebied van outsourcing en databeheer in Nederland en het buitenland. Wij hebben in Nederland en in Europa een redelijk strenge privacy wetgeving waarin het alleen aan de eigen overheid is om te reguleren hoe bepaalde gegevens van hun burgers worden opgeslagen en beheerd.
Het gaat hier ook niet om cloud als technologie op zich, maar om het uit handen geven van gegevens en het goed regelen van verantwoordelijkheden. Zo mogen financiele instellingen bepaalde gegevens niet laten hosten buiten het land van herkomst. Dat is niet alleen in europa zo, maar wereldwijd. Ook overheden mogen niet zo maar gevoelige gegevens door een buitenlandse provider laten beheren. En bedrijven en instellingen die (bv adres en financiele) gegevens van klanten en werknemers opslaan, zijn ook verplicht zich aan de regelgeving daaromtrend te houden. En dat betekent dat het bedrijf of instelling zelf verantwoordelijk is voor een veilige opslag van gegevens, en dat men dus een helder en duidelijke overeenkomst moet hebben met de provider hoe bv beveiliging geregeld is. En daar schort het aan bij de meeste providers, die laten zich niet auditten om aan certifiering te voldoen.
Overigens is outsourcen en hosten in een cloud binnen en buiten het eigen land, gewoon toegestaan bij een provider die wel aan alle certificeringen voldoet.
Correcte constatering Paul !
Eens kijken hoe lang het zal duren voor er in Europa eindelijk mensen opstaan die inzien dat communicatie nu eenmaal geen staatsgrenzen kent.
Altijd leuk. Een verhaal over waarom overheidsbeleid niet werkt, maar dat afsluit met de verzuchting dat de overheid solide beleid moet opzetten.
Kwalijker is de suggestie dat overheden “koopt in eigen land” moeten bevorderen. Iedereen weet dat dit steevast averechts werkt. En met name Nederland zal er nadeel van ondervinden, omdat het buitenland heel groot, en de interne markt juist erg klein is. Dat levert dus het tegendeel van een ‘level playing field’ op.
Regulering is mijns inziens een achterhoede gevecht. Regulering heeft ons nog niets goed gebracht (behalve spaarlampen en rechte bananen). De privacy of gegevens beschermen houdt echt niet op bij de landsgrenzen. Landsgrenzen hebben we maar verzonnen in het verleden omdat we taal, cultuur en religie zien als iets onderscheidends tussen volkeren. Het gebruiken van goede technologie om het te beschermen zal veel meer opleveren. Misschien moeten we als Nederland hierin voorop gaan lopen en nieuwe technieken ontwerpen om betere beveiling te bewerkstelligen.
@Daan
Het was geenszins mijn bedoeling te suggereren dat onze overheid ‘koop in eigen land’ moet bevorderen. U merkt terecht op dat dit averechts werkt.
Maar wat ze wel moet doen, en wat ook in de Europese regelgeving wordt geregeld is dat bepaalde gegevens goed moeten worden beveiligd en dat het de verantwoordelijkheid van de afnemer van de cloudidensten is om dat goed te regelen met de provider. Een bedrijf kan na een veiligheidslek de verantwoordelijkheid niet afschuiven en zich verschuilen achter een provider als er in het contract niets over is geregeld. In de meeste SLAs staat expliciet dat de provider daar geen verantwoordelijkheid voor wil dragen.
Lang niet alle providers zijn bereid daarover afspraken te maken en zich door onafhankelijke audits daarop te laten controleren. Met een dergelijke partij in zee gaan levert grote risico’s op voor een ondernemer die zich aan de lokale wetgeving moet houden mbt bijvoorbeeld privacy.
Als u denkt dat dit soort regelgeving alleen maar remmend werkt, dan wilt u vast wel vertellen waarvoor u voor het laatst bij de dokter was, of voor u zelf het ziekenhuis bezocht? Wat is uw bruto/netto inkomen, en hoeveel parkeer- en snelheidsboetes betaald u per maand? En publiceer hieronder dan ook meteen uw NAW gegevens, creditcard nummer en bankrekening nummer. Uw eigen werkgever weet dit soort gegevens van u, en besteed die administratie misschien wel uit?
Er zijn veel instanties en bedrijven die dat soort gegevens van u (moeten) weten en u wilt er waarschijnlijk graag op kunnen vertrouwen dat zij daar verantwoordelijk mee omgaan. En ook die bedrijven innoveren en gebruiken daarvoor ook de nieuwste cloud technologieen, maar dan liever niet bij goedkope providers die besparen op de beveiliging.