Vroeger was het simpel. Je installeerde lokaal software en de bijbehorende database en zorgde dat alleen die data de voordeur verliet waar jij toestemming toe gaf. De software werd ook na een langdurige selectieprocedure aangeschaft en zorgvuldig in productie genomen. Veranderingen werden volgens een releaseplanning doorgevoerd. Voorspelbaar. Betrouwbaar. Hoe anders is het nu!
Weet jij nog waar je data daadwerkelijk wordt opgeslagen en wie het allemaal kan inzien? Wie er recht op hebben om het in te zien? Of wanneer het gedeeld mag worden met anderen? Weet jij of de data op je smartphone echt alleen op jouw smartphone bewaard wordt? Weet jij wanneer je toch echt over moet op een nieuwe release van jouw SaaS-oplossing? Of wat er gebeurt als je provider failliet gaat? Heb je een goede exit strategie? Overzie je alle instellingen nog?
Waarschijnlijk niet. Bijna apathisch klikken we eindgebruikersovereenkomsten weg zonder ze te lezen en tekenen daarmee soms misschien wel ons (figuurlijke) doodvonnis. Privacy waakhonden stellen de praktijken van Google, Microsoft, Apple, FaceBook en Amazon af en toe aan de kaak, maar zelden leidt dat tot verandering in wat er daadwerkelijk met jouw data gebeurt.
Grote boosdoener is dat we gewoonweg geen idee hebben waar we ja op zeggen. Maar vervolgens wel ja zeggen. Omdat we verder moeten. De business of de sociale controle drukt door. En daarbij worden we overgeleverd aan een soort van dictatuur. Want vendor lock-in is een serieus issue. Natuurlijk zijn er contracten en sla’s. Maar in de praktijk heb je eigenlijk geen poot om op te staan, zeker niet als relatief kleine gebruiker. Eigenlijk zou iedereen die gebruik maakt van cloud diensten ook gelijk mede-aandeelhouder moeten zijn, met stemrecht. Maar ja, of dat ooit gaat gebeuren?
Natuurlijk is het zo dat mensen van een steeds groter aantal zaken geen idee meer heeft hoe het werkt. Dat komt ook door de evolutie van de mens en de diversificatie. Maar veel van dat soort zaken zijn in de betrouwbare handen van het management van de onderneming waar we voor werken of van ’s lands bestuurders. Ik heb geen idee hoe de belastingdienst werkt, maar ik vertrouw er op dat onze regering de boel goed bestuurt en het geld goed verdeeld. En die regering kiezen wij zelf. Min of meer dan. En als we het er echt niet mee eens zijn, gaan we demonstreren of staken en als dat niet helpt pakken we ons boeltje op en emigreren we. Dat gaat relatief simpel en snel.
Een exit vanuit een cloud naar on-premises of een andere cloud provider zal echter veel meer voeten in aarde hebben. Zeker als er oplossingen zijn gecreëerd die niet op open standaarden zijn gebaseerd. En het wordt al helemaal moeilijk als er allerlei point-to-point connecties zijn gelegd met allerlei apps en devices. Zo’n oplossing is moeilijk te isoleren en verplaatsen. Wat gebeurt er met je sociale leven als je je FaceBook account verwijderd?
Eigenlijk zouden cloud providers als banken moeten worden behandeld. En dat er net als de Nederlandsche Bank een vehikel is om de cloud providers van universele regelgeving en controle te voorzien. Een cloud provider kan bijvoorbeeld ook ’too big to fail’ zijn. Daar wel eens aan gedacht? En als een organisatie voor de uitvoering van de primaire bedrijfsprocessen volledig afhankelijk is van de diensten geboden door de cloud provider is het snel gedaan als dit te lang plat ligt. Als gebruiker moet je tegen jezelf in bescherming worden genomen. We moeten er vanuit kunnen gaan dat als we onze applicaties en data aan de cloud toevertrouwen, dit onder goede governance gebeurt. Want het is echt niet zo dat het ons, of zoals weleens gezegd wordt ‘de jeugd’, niets interesseert wat er met onze privacy gebeurt.
Het is wel degelijk belangrijk, en we willen graag zeker weten dat wat er met onze data gebeurt, ook door ons begrepen wordt of anders gebeurt volgens de regels die voor alle cloud providers van toepassing zijn. Op dit moment staat die regelgeving en controle nog steeds in de kinderschoenen. En dit komt ook omdat de regelgevers zelf het soms niet helemaal meer begrijpen.
Tot slot: Facebook staat met 400 miljoen “inwoners” op plaats nummer 3 in de top 10 van grootste landen ter wereld. Maar mogen deze mensen ook stemmen? Is er democratie? Is er een ‘Navo’ die er voor kan zorgen dat als er een brandhaard ergens aan de grens met Google+ uitbreekt even de orde komt herstellen? Zijn Google en FaceBook lid van deze’“cloud Navo’? Moet er geen ‘cloud G5’ of ‘cloud EU’ komen? En een ‘cloud Amnesty International’? En een ‘cloud Schengen verdrag’ tussen samenwerkingsverbanden van providers? Food for thought.
@Gijs
Ach ja, kwantitatieve besluitvorming van ‘me too’
Over exit strategie voor geval pay-per-use wijzigt in pray-to-use had ik in opinie ‘WA-verzekering in de cloud’ al wat geschreven. Wie niet vanaf het begin over de continuiteit van zijn business nadenkt als IT uitbesteed wordt vindt deze blijkbaar niet belangrijk genoeg.
Zou de titel daarom niet gewoon moeten zijn: Is IT nog wel te bevatten?
En waarom hebben we nog meer regelgeving nodig als regels toch niet nageleefd worden. Kijk naar al het datagrabbelen middels vragenlijsten, cookies en Google analytics die ook jij op website gebruikt.
Goed stuk Gijs!
“Wat gebeurt er met je sociale leven als je je FaceBook account verwijderd”
Die kan ik beantwoorden, niets!
Je sociale leven heeft met Facebook weinig te maken als je tenminste een sociaal leven hebt . . . .
“Tot slot: Facebook staat met 400 miljoen “inwoners””
Foutje, het zijn 1.400.000.000 gebruikers.
Hoe noodzakelijk open standaards zijn voor cloudoplossingen kan Henri veel beter uitleggen.
Waar je volkomen gelijk in hebt is het gedachtenloos doorklikken, dat is iets waaraan ik me mateloos erger.
Even een interessant weetje voor de mensen wat tijdens de onthullingen van Snowden naar buiten is gekomen maar vooralsnog onder de radar is gebleven.
In alle grote cloud centers in de VS zijn er een aantal rekken met NSA servers die direct op het internet netwerk zijn aangesloten.
Die centra zelf mogen dit niet vertellen vanwege geheime wetgeving.
Dat soortgelijke constructies ook buiten de VS gebruikt worden zijn niet uit te sluiten en het zou naïef zijn om er niet vanuit te gaan dat dit al gebeurd of op het punt staat om te gebeuren.
Wat het voorbeeld van de Nederlandse Bank betreft denk ik dat je na de Icesave, DSB en woekerrente affaires kan stellen dat ook daar lang niet alles koek en ei is. Om nog maar te zwijgen van de rol van het stelsel van zogenaamde nationale banken wat feitelijk het grootste gelegaliseerde piramidespel is ooit bedacht op aarde.
@Jan, idd ik heb een heel sociaal leven en gelukkig geen VeesBoekAkkount brrrr….
In navolging tot je ergernis, ik heb dat dus weer bij al die aps die je op je telefoon kunt instaleren.
Sinds een tijdje heb ik een Android speeltje (zonder sim kaart want ik vind het maar niks)
Als je een programmaatje wil instaleren om het lampje aan te maken dan moeten ze je naam weten al je telefoonnummers hoe vaak je het doet en met wie… allemaal heel relevant voor de functionaliteit van zo’n lampje.
Ik hoef die rommel dus niet.
@Johan, maar bij DNB weten we nu wel dat we tot 100K per bank goed zitten. En met de ratings van Fitch en S&P weten we ook hoe kredietwaardig landen en bedrijven zijn. Maar een Fitch en S&P voor cloud diensten bestaat nog niet volgens mij.
@Pascal
in Oostenrijk kun je anoniem een simkaartje kopen voor € 5.-.
Is het tegoed verbruikt koop je een nieuwe.
Daarnaast kun je op Android Orbot en Orweb zetten, dat is Tor voor Android, dat vinden die amerikanen zo leuk!
Gijs, hoe hard is die garantie? En hoe lang kun je dan niet bij je geld als een big bad bank omvalt?
Als data voor de cloud is als geld voor de banken… dan is data een stuk gemakkelijker te backuppen / redundant uit te voeren.
Daarnaast als een cloud provider truuken uit zou halen zoals banken geld creëren of als cloud providers dezelfde schimmige niet transparante producten zou verkopen, zou de het snel afgelopen zijn met de cloud….
Dat Pascal graag zijn -niet bestaande- privacy koestert en daarin vrij ver gaat is de andere kant van de schaal.
Ewout heeft het er maar moeilijk mee dat ik aan de ene kant tegen de NSA praktijken ben, maar aan de andere kant wel de cloud blijf verkopen.
Wat ik probeer aan te geven is dat het data graaien net zo goed slecht is als banken met rente en geld reserves sjoemelen, maar dat betekent niet dat ik dan maar geen zaken meer doe met de bank. Kortom : Je moet wel kiezen wat uiteindelijk zinvol is. Je kan occupy wall street spelen om op te komen voor je principes, maar als je daarmee je baan en gezin achterlaat, lijkt me dat toch een schadelijke beslissing.
Volkomen juist Henri, “cloud” is niet per definitie slecht.
Het is niet voor alles en iedereen geschikt en het is niet duidelijk gedefinieerd. De NIST definitie bevalt me maar de reklame-jongens noemen inmiddels een stinknormale webapplikatie al “cloud”.
Het is alleen wel zo dat je vandaag de dag moet oppassen hoe je met je data en je privacy omgaat. De NSA heeft, geloof ik, bedrijfsspionage als bijbaantje, dus bij cloudgebruik moet je daar weldegelijk rekeing mee houden. Ik was verbaasd dat juist MS niet wilde samenwerken en emails ter inzage geven, maar ook die berichtgeving zie ik met enige scepsis.
Probleem is dat inmiddels berichtgeving vaak niet meer onafhankelijk is, veel te vaak.
Cloud computing is here to stay, laat ik daar duidelijk in zijn.
Maar governance staat nog in de kinderschoenen. Daar zullen we in de nabije toekomst veel meer over gaan horen.
@Henri
Hmm….
Meen toch wat anders gezegd te hebben dan jij altijd denkt, lees het nog eens terug zou ik zeggen:
https://www.computable.nl/artikel/nieuws/infrastructuur/4589773/2379248/controleer-cloudprovider-op-kennis-en-vaardigheden.html
DE CLOUD BIEDT MOGELIJKHEDEN, GEEN WONDEREN.
In tegenstelling tot wat jij altijd beweerd heb ik nooit last gehad van enige onthechtingsproblemen met servers en heb altijd de data beheerd. Maar ja, als je alles in Sharepoint/Azure blijft proppen dan wordt je portabiliteit inderdaad wat moeilijker en ben je zelf de serverknuffelaar. Maar zoals je al zegt ben je een cloud verkoper, met name van de ongezondste van de 4 modellen die NIST noemt en data dus net als Europese GPS satelieten in ‘non-compliant orbit’ brengt door de verschillen in metrieke en imperiale stelsel. Hoezo portabiliteit is een probleem bij hybrid, private en zelfs een community cloud?
Mijn reactie zal zoals gebruikelijk weer tegen het zere been komen van alle “functionaliteit is ongeschikt aan compliance” mankepootjes die in de cloud vooral een oplossing zien om hun 20 jaar oude kunstjes te continueren. Inderdaad dus dezelfde innovatie van banken die wel de lusten maar niet de lasten wilden en waar we nu dus de rekening voor betalen.
@Gijs
Tsja, kijkend naar de andere genoemde governance modellen voldoen meeste regels prima en zit het probleem alleen maar in het delen;-)