Cloud computing krijgt steeds meer marktaandeel in de informatiemaatschappij. Cloud computing is een breed begrip, maar is eigenlijk een benaming voor de vele varianten van client-server technologie, waarbij het kan gaan om SaaS en de vele 'XaaS'-businessmodellen, die tegenwoordig gangbaar zijn. Voor continuïteit is een multidisciplinaire aanpak nodig: niet alleen technisch, maar ook niet alleen juridisch.
Het uitbesteden van ict is mogelijk, maar voor de verantwoordelijkheid geldt dat niet. De cloudafnemer is verantwoordelijk voor de continuïteit van ‘zijn’ informatiesysteem en gegevensverwerking, niet zijn leverancier. Dat valt op te maken uit de wetgeving. Zo eisen belastingwetten (fiscale bewaarplicht) en administratieplichten de beschikbaarheid van gegevens gedurende een jarenlange termijn. Administratie in de cloud moet ten minste zeven jaar inzichtelijk kunnen worden gemaakt. De beschikbaarheid van de cloudoplossing en daarmee verwerkte gegevens is dus noodzakelijk voor het voldoen aan wettelijke plichten. Dit nog buiten de bedrijfskritische aard die een cloudoplossing kan krijgen doordat de uitvoering van bedrijfsprocessen daarvan afhankelijk wordt. Met andere woorden: zonder de clouddienst kan het werk niet gedaan worden.
Het nemen van verantwoordelijkheid doen zowel cloudafnemers als hun leveranciers door het opzetten van een continuïteitsregeling. Het doel van die continuïteitsregeling is allereerst het onafgebroken gebruik veilig stellen: de calamiteit bij de cloud- of SaaS-leverancier moet zo min mogelijk gevolgen hebben voor de bedrijfsprocessen van de afnemer. Ten tweede moet de continuïteitsregeling oog hebben voor de lange termijn. Migreren naar een andere oplossing heeft niet de voorkeur, zeker als die behoefte er ook niet is en de oplossing – ondanks het wegvallen van de leverancier – tot tevredenheid is.
Niet voldoende
Voor het zekerstellen van de continuïteit van cloud- en SaaS-diensten, is een broncode-escrowregeling niet voldoende. De broncode-escrowregeling stelt alleen het gebruik, onderhoud en doorontwikkeling van de software veilig. Voor het veiligstellen van een clouddienst, is veel meer nodig. De hardware en data staan immers niet meer op de systemen van de afnemer, maar bij zijn leverancier of een derde (hostingprovider). Voor hosted desktop-omgevingen is het nodig dat licenties van softwaretoeleveranciers (bijvoorbeeld op besturingssystemen en virtualisatiesoftware) in stand blijven. Ook kan het beheer en de helpdesk essentieel zijn: arbeidskrachten van de leverancier dus.
Een continuïteitsregeling voor cloudoplossing is altijd maatwerk. Er moet allereerst worden onderzocht welke componenten van het informatiesysteem noodzakelijk zijn voor continuïteit. Vervolgens wordt bekeken welke technische maatregelen nodig zijn: controle en deponering van een broncode, het opstellen van een calamiteitenplan, het verzamelen van contactgegevens van essentiële personen, en periodieke hercontrole van de getroffen maatregelen.
Ook zijn juridische maatregelen essentieel: een goede contractenset is noodzaak. Zo kan de gerechtigdheid tot data onduidelijk zijn. Verder maakt het bijvoorbeeld verschil of de leverancier eigenaar is van de hardware waarop de cloudoplossing wordt uitgevoerd, of dat hij deze huurt. Wanneer software van toeleveranciers (bijvoorbeeld van besturingssystemen en virtualisatiesoftware) onderdeel uitmaakt van de clouddienst, moeten er onderhandelingen plaatsvinden en afspraken worden gemaakt. Hetzelfde geldt voor de inzet van essentiële arbeidskrachten.
Wanneer een hostingprovider of co-locatieprovider essentiële diensten levert, moet er worden bekeken hoe deze wordt doorbetaald. Daarbij zijn diverse oplossingen mogelijk, zoals het juridisch onderbrengen van de oplossing bij een Stichting Continuïteit, het oprichten van een garantiefonds en/of opzetten van een notariële doorbetalingsregeling.
Kortom:
https://www.computable.nl/artikel/opinie/cloud_computing/5020126/2333364/waverzekering-in-de-cloud.html
Je kunt het ook simpel houden. Onze klanten kunnen al jaren op elk gewenst moment een kopie van hun data en de broncode van webshop of crm-systeem krijgen.
Daarmee wordt voldaan aan én de continuiteit van onze klant en de bewaarverplichting van de data.
Waarom moeilijk doen als het makkelijk kan? Daarnaast is het natuurlijk altijd mogelijk om dit op reguliere basis geautomatiseerd te doen.
Maar wellicht bedoel je dit ook wel met oplossingen op maat?
@Luuk
Als ik in je profiel lees dat het om open source gaat dan lijkt het overhandigen van de broncode me een sigaar uit eigen doos. Ben benieuwd hoe het echter zit met het eventuele maatwerk dat mogelijk onder een andere licentie gedistribueerd is en natuurlijk niet te vergeten inrichting en onderhoud. Een CD met data blijft een CD met data als je de kennis niet meer hebt om deze in te lezen, de cloud is tenslotte toch in de eerste plaats nog vaak een vorm van uitbesteden.
Hoe professioneel de (cloud)provider is kom je achter als het mis gaat, regelmatig leren bedrijven dat het beheer vaak tot het minimale is terug gebracht. Zo is er misschien wel een backup maar beperkt deze zich tot de schijf en niet de service waardoor je misschien wel de data hebt maar niet erg gestructureerd. Bij multi-tenancy oplossingen zit data vaak in één grote database en moet specifieke klantdata er vanuit de applicatie uit gemigreerd worden. Denk niet dat je blij wordt als provider iedereen een kopie van de database geeft en jouw gegevens bij de concurrent komen. Simpel is dus ook nog weleens dom.