Meer dan de helft van de ondernemers in het mkb weet niet precies waar zijn privacygevoelige informatie staat in de cloud, terwijl zij juist voor cloud-oplossingen kiezen uit veiligheidsoverwegingen. Dit blijkt uit de MKB Cloud Barometer 2014 van Exact en KPN, die hiervoor onderzoek lieten doen door onderzoeksbureau Pb7.
Hoewel privacy belangrijk is volgens mkb-directeuren en –managers, hebben zij hier weinig grip op. Ruim driekwart van de ondervraagden denkt namelijk dat zijn data in Nederland is opgeslagen, terwijl uit het onderzoek blijkt dat dit feitelijk nog geen 50 procent is. Opvallend is dat veiligheid wel als belangrijkste reden wordt genoemd om een cloud-oplossing te overwegen, zowel voor het in de cloud gebruiken van bedrijfsapplicaties als voor generieke ict-oplossingen (39 procent).
Tevredenheid
Tegelijkertijd is de tevredenheid van MKB-ondernemers over cloud-oplossingen sterk toegenomen. Het altijd en overal toegang hebben tot data blijft het belangrijkste gerealiseerde voordeel (28 procent) gevolgd door de eenvoud in gebruik voor eindgebruikers (15 procent). Ook zien bedrijven die cloud-oplossingen gebruiken de ict-kosten omlaag gaan.
De MKB Cloud Barometer is een jaarlijks onderzoek naar de rol van cloud computing in de mkb-sector in Nederland. Het initiatief van Exact en KPN is uitgevoerd door onafhankelijk ict-onderzoeksbureau Pb7. In totaal is het onderzoek onder 649 respondenten uit het mkb afgenomen.
Het blijft wonderlijk. Ik lees net het artikel in Computable over bestuurders en hun vertrouwen in bigdata. Hoe meer vertrouwen, hoe beter ze beslissingen nemen, want ze verwachten dan meer groei … zo begreep ik dan en ook weer niet.
Mkb-directeuren vertrouwen blijkbaar ook graag, in veiligheid bijvoorbeeld, al hebben ze geen enkel benul hoe e.e.a. technisch en juridisch in elkaar steekt. Ze kunnen wel altijd en overal bij hun applicaties en data, das weer extra veilig ? Het wordt er helaas niet eenvoudiger op voor de eindgebruiker, maar tis wel goedkoper.
Vooralsnog reden tot blijheid.
Als eerste is de titel verkeerd, want wie geen grip heeft op zijn data heeft kan ook geen controle over zijn bedrijf hebben, tenminste dat was de boodschap die uit onderzoek van Harvard Business kwam. Nu zijn ondernemers natuurlijk wat wendbaarder maar zeggen dat je privacy belangrijk vindt maar niets doet om deze te beschermen is als Russische roulette spelen. Net als roepen dat de beveiliging prima op orde is zonder te weten hoe lang je supply chains zijn. Kan me nog een incident met Exacthost herinneren waarbij data misschien niet gestolen werd maar feitelijk wel verloren ging doordat opslag niet goed genoeg geknuffeld werd.
Nee verrassend is dit artikel het niet en ik had hier al eens aandacht aan gegeven in een opinie ‘WA-verzekering in de cloud’ omdat sommige cloud adviseurs als de struisvogels zijn die zijn kop in het zand steekt om tegen de mol te kunnen zeggen dat het prachtig weer is. Want een ondernemer is nu eenmaal geen IT-er en ook de cloud provider zal je niet wijzer maken omdat deze in de business van vloertegel verhuur zit, zorgplicht is er nog niet en het is meer als het wilde westen waar de cloud cowboys servers afschieten alsof het vee is. Meuh data….?
Voor ondernemers die denken dat de cloud provider de verantwoordelijkheid aangaande beschermen persoonsgegeven overneemt zullen nog een keer goed de wet moet lezen, dat beste ondernemer is en blijft uw risico. En hoewel aanpassingen wet bescherming persoonsgegevens nog niet geëffectueerd zijn is er natuurlijk altijd nog het afbreuk risico, ondernemers die klagen over concurrentie door internet maar privacy van klanten niet serieus nemen kunnen misschien beter niet aan de cloud beginnen. Want hoewel de cloud een heleboel kansen biedt is het geen loterij zonder nieten maar ik denk dat ondernemers dat wel begrijpen. Heel anders is het met bestuurders die lekken van gegevens van 27.000 zorgverzekerden verzwijgen en dan met een wazig verhaal komen, daar plukt de klant alleen maar de zure vruchten van.
15 jaar terug kreeg ik allerlei investeringsvoorstellen in de brievenbus. Of lenen, dat kon ook. Moest haast eigenlijk. Specialisten zorgden voor het afdekken van risico’s. Hoe ? Dat was veel te ingewikkeld voor de klant, daarvoor had je dus de specialist. Tot 2008 waren de klanten zeer tevreden. We verwachtten allemaal spectaculaire groei.
Helaas bleken de financiele instellingen niet te vertrouwen. Men was uit op korte termijn winst. De wetgeving liep achter. Opeens was de klant verantwoordelijk. Die moest zijn gezond verstand gebruiken. Te mooi weer om waar te zijn.
Cloud is anders ?
Felix, je reacties zijn niet echt Felix stijl. Vreemd.
Wat betreft data en niet (precies) weten waar het is opgeslagen en mensen die daar zo’n punt van maken. Voor hen heb ik een wedervraag:
Waar bewaart de bank jouw geld?
Leuke vraag, toch? Geeft wel een leuk perspectief, dacht ik zo. Uiteraard gaan we zeggen dat we de banken vertrouwen, maar als je dat hardop zegt, weet ik zeker dat dat niet goed voelt. Het klopt niet, juist omdat we hebben geleerd dat banken eigenlijk niet te vertrouwen zijn, logisch want een bank is gebaseerd op perverse prikkels: Veel risico’s nemen levert veel geld op, en als het mis gaat is er geen straf.
Maar goed, we hadden het niet over geld, maar over data.
Eerst wat technische antwoorden. Als je data opslaat via Microsoft Azure weet je in welk datacenter dit staat en kun je er redelijkerwijs voor zorgen dat het binnen dat datacenter blijft. Maar precies zeggen op welke server je data staat is niet eenduidig. Je data staat namelijk standaard op meerdere servers, welke ook door andere gebruikt worden.
Als je data opslaat binnen Microsoft OneDrive, weet je eigenlijk niet precies waar je data staat. Bij Google Apps is het zelfs onmogelijk om vast te stellen waar je data staat.
Is dit een probleem? Soms wel, soms niet. Zoals Ewout stelt kun je niet de *verantwoordelijkheid* over data uitbesteden. Je kunt een oppas regelen voor de kinderen, maar ze blijven altijd jouw verantwoordelijkheid.
Nu kan compliance en de wet het verschil maken *of* je data bij een bepaalde dienst mag opslaan waarbij dit alleen relevant is bij persoonsgegevens. Data die niet gaat over personen mag je overal opslaan.
Door de Safe Harbor (zelf) certificering wordt het makkelijk mogelijk om data met persoonsgegevens buiten NL en de EU op te slaan. So far, so good.
De vraag die overblijft is deze: is het slecht om niet te weten waar je data bij een leverancier is opgeslagen? Dat hangt er vanaf. Als een leverancier een goede trackrecord heeft en ook nog redelijkerwijs aan kan tonen dat hij goed met data omgaat, dan hoef ik niet te weten waar die data precies is opgeslagen behalve dan dat ik geen wetten wil overtreden.
Controle over data is uiteraard wel een vereiste, maar staat los van de vraag. Nee, ik weet niet precies waar mijn data wordt opgeslagen, maar wel welke maatregelen genomen worden om dit goed te doen *en* ik zorg ervoor dat ik ook zelf goede backups of bereikbaarheid van de data heb zodat ik niet volledig afhankelijk ben van de leverancier als dingen mis gaan.
Het stellen dat je geen controle heb over je data in de cloud is dus in veel gevallen onzin, mits je gewoon de juiste stappen doorloopt. Als het gaat om data die je via een SaaS / Webapplicatie opslaat (bijvoorbeeld een online boekhoud pakket), dan is het wel zo handig om een dienst te kiezen waarbij je een zinvolle en bruikbare backup kan maken, of waarmee je geautomatiseerd data kan ontrekken die bruikbaar is bij een concurrerende dienstverlener…
@Henri
Ik begin steeds meer aan je deskundigheid te twijfelen, de ene keer stel je dat cloud computing meer is dan een delivery model en de andere keer gebruik je het weer voor die ‘crap-in & crap-out’ adviezen van je.
Natuurlijk kun je een boekhoudpakket in SaaS vorm afnemen maar de belastingdienst heeft weinig coulance voor overmachtsclausules van SaaS providers, back-up met multitenancy is nog niet zo eenvoudig zoals ik al stelde in WA-verzekering in de cloud.
Dat MKB geen grip op de data heeft mag je rustig vertalen naar administratie nu dus alles gedigitaliseerd en online gezet is. Data is vrijwel altijd het residu van een proces, het feit dat volume aan ongestructureerde data zo snel groeit is dus ronduit zorgelijk. Zeker als ik overweeg dat euvel zich niet alleen beperkt tot MKB.
In Rusland is onlangs een wet aangenomen die verplicht om alle privacy gevoelige data in eigen land op te slaan. Iets wat in ons eigen land nooit verplicht gaat worden omdat we teveel naar het buitenland kijken en met name een land specifiek.
Maar het zou een leuke 1 april grap kunnen zijn om dit toch maar eens aan te kondigen om te kijken wie er allemaal in een kramp schiet.
Ewout, jammer dat je zo reageert en er dan ook nog een punt aanhaalt uit een andere discussie waar je er in mijn ogen ook naast zat. Soms twijfel ik wel eens aan je oprechtheid en vermoed ik een 2e agenda.
Een delivery model staat voor de manier waarop iets geleverd wordt. Software, platform, of Infrastructuur als een service. Je suggereert daarmee dat cloud computing in zich zelf een product is, net als een auto en dat lease dus een leveringsmodel is van een auto. Cloud computing levert juist meer af dan alleen een pakketje en levert daar unieke zaken bij die lost soms niet te verkrijgen zijn. Bijvoorbeeld Amazon Simple Email System (AWS SES). Niet alleen leveren zijn een mailtje uit jouw naam af, ze zorgen ook dat je email reputatie zodanig hoog is dat dit emailtje niet in een SPAM box terecht komt. Een goede cloud dienst levert niet alleen onbeperkte storage, maar geeft er ook een toolkit bij (de API’s) waarmee je mogelijkheden krijgt die je niet of nauwelijks zelf kunt realiseren en door de hoge mate van automatisering heb je ineens zelf geen mensen meer nodig die je wel nodig zou hebben als je het toch zelf zou willen doen. Cloud computing plat slaan naar alleen een delivery model is een *verkooptechniek* die toegepast wordt door bedrijven die zelf geen cloud computing kunnen leveren. Of niet cloud als cloud verkopen; het zogenaamde cloud-washen.
Maar back on-topic:
Hier zal ik een stappenplan leveren die als basis geldt voor mijn eerdere reactie:
– de premisse van het artikel legt een koppeling tussen niet weten waar je data staat en de controle hebben daarop.
– Deze koppeling is slechts in bepaalde gevallen terecht
– Als voorbeeld geef ik de bank, waar je ook niet precies weet of je geld bestaat, maar dat je redelijker wijs wel controle op hebt.
– Al staat je data bij een andere partij, je houdt wel de verantwoordelijkheid volgens de wet
– Door onder andere Safe Harbor mag je wettelijk gezien ook persoonsgegevens buiten Nederland en zelfs EU plaatsen
– Safe Harbor blijkt een wassen neus, niettemin wordt het erkend door de wet
– Dit betekent niet dat het verstandig is om zomaar je data overal te plaatsen
– Kijk naar de track-record van bedrijven, check certificering en zorg voor een exit strategie door zelf data te kunnen onttrekken uit een dienst
– Door dit te doen, hou je controle over je data, je hebt immers een backup in bruikbaar formaat buiten de dienstverlener
– SaaS providers die werken met databases (bijv. boekhoud software) maken het lastiger te bepalen om vast te stellen waar je data staat. Daardoor is een export naar een breed gedragen data formaat erg belangrijk
– Bij Google weet je niet waar je data staat, maar door eerder genoemde punten hoeft dit geen probleem te zijn omdat je wel controle houdt over je data en Google heeft aangetoond je data goed te beveiligen en Google nooit op grote schaal gehackt is.
– Als je Google een stap te ver vind zijn er best diensten zoals Microsoft Azure die wel mogelijkheden geven om data binnen een datacenter te houden.
Dus, Ewout, kun je precies aanwijzen waar mijn deskundigheid mank gaat? Ik heb het nu erg gemakkelijk voor je gemaakt.
Het gaat in de discussie behoorlijk de diepte in, maar bij “veiligheid als belangrijkste reden om een cloud-oplossing te overwegen” kan het ook gaan om het ontzorgen wat betreft ICT. Zeker kleinere MKB’ers steken hun tijd liever ergens anders in dan in (noodzakelijke) zaken als servers patchen en backups maken. Gehoste oplossingen zijn in dat opzicht veel ‘veiliger’. Ook het genoemde altijd en overal toegang hebben tot data en eenvoud in gebruik verhogen vaak de veiligheid t.o.v. de situatie waarin medewerkers zichzelf behelpen met slecht gepatchte pc’s, usb-sticks met copietjes en ‘bedenk zelf maar wat creatiefs’ oplossingen. Natuurlijk kennen cloud-oplossingen hun beperkingen en risico’s, maar soms zijn die te verkiezen boven lokale houtje-touwtje oplossingen waar niemand zich verantwoordelijk voor voelt.
@Henri
Eerst moet je artikel lezen, alles online maar geen idee waar de data staat. Weet niet hoe jij dit vertaald maar ik krijg de indruk dat dit mijn voorgaande verhaal over het stelselmatig negeren van de data wel een beetje bevestigd. Betreffende een back-up en multitenancy SaaS diensten heb ik een vrij uitvoerig betoog geschreven in opinie WA-verzekering in de Cloud. En zoals jij ook weet maken de meeste providers wel een back-up maar dan uit het oogpunt van disaster recovery, meen me te herineren je een keer gewezen te hebben op beperkte mogelijkheden om gebruikersfouten te herstellen binnen deze SaaS oplossingen. Ook bij de grote jongens waar je dan ook meestal flink betaald per incident.
Tussen compliance en governance zit een groot verschil want je kunt wel met certificaten gaan wapperen maar als het misgaat blijft de ondernemer verantwoordelijk. Als je zelf al stelt dat Safe Harbor weinig voorstelt is het opmerkelijk dat je er wel achter probeert te verschuilen, lees nog eens goed wat ik zei over verantwoordelijkheid aangaande persoonsgegevens. Ik stelde dat je met Cloud Computing niet alleen de Enterprise mogelijkheden krijgt maar ook de verantwoordelijkheden. Internationale wetgeving is geen sinecure en track records van bedrijven zeggen nog niet veel, het is met name in de cloud nog weleens als het Wilde Westen.
Natuurlijk zijn Amazon, Google en Microsoft grote namen maar volgens mij doen olifanten het met olifanten en kiest MKB toch vooral nog voor de kleinere en veelal lokale spelers. Je kunt dat afkeurend ‘cloud washing’ noemen maar als daar een tweede agenda achter zit dan is dat toch nog vooral die van de klant. Als je stelt dat data geen geld is moet je toch nog even met een paar ondernemers gaan praten, de server is verzekerd en vervangbaar maar de bedrijfsadministratie dus alleen als er een goede back-up is. En of het delivery model nu cloud of hosting heet is gewoon een semantische discussie want uiteindelijk is het bij de grote jongens ook maar gewoon Application Service Providing (ASP) met wat extra’s. Best grappig om in je antwoord een heleboel punten te lezen die cloud sceptici je gezegd hebben en dan weer te lezen dat je veel zelf moet doen, of in jouw geval de firma Koppen kunt laten doen.
Verwijt me dus niet dubbele agenda’s want ik zou ondernemers misschien wel een open source oplossing (niet op basis van AGPL) voorstellen om zodoende niet alleen de exit strategie te waarborgen van de data maar ook het omringende beheer. Het denk groot maar begin klein zit tenslotte meer in het DNA van veel communities dan jongens als Microsoft die je eerst licenties verkopen en dan pas service geven, moet daarom ook een beetje lachen om de reactie van Ad. Zoals ik al tijden roep biedt de cloud mogelijkheden, geen wonderen want ontzorgen bestaat niet als je ‘in control’ wilt blijven. Tussen een USB-stick met een kopie van de gehele klantendatabase of deze in Dropbox zit dan ook weinig verschil, zeker niet als ze beide niet versleuteld zijn.
Dus Henri, je deskundigheid gaat telkens mank als het om de beheer(s)baarheid van de informatie gaat want: “The cloud is only the medium, not the message.”
Ewout,
Ik ga er niet nog meer woorden hier aan vuil maken, je snapt het niet en wil het niet snappen. Er zit zoveel mis (en een beetje raak) in je reactie dat het zinloos is om in herhaling te vallen en tegen je verdraaiingen in te gaan. Ik wacht wel weer tot de volgende battle.