Strikt genomen heeft het niets te maken met de opheffing van de Safe Harbour-overeenkomst tussen de Verenigde Staten en de Europese Unie. Maar de invoering van de Europese datazone door leverancier OpenText appelleert wel aan het veranderde sentiment over datasoevereiniteit in Europa. ‘De klant wil nu eenmaal controle over de locatie van zijn gegevens’, zegt Berry Wittenberg, director managed services bij OpenText.
OpenText, de Canadese leverancier van informatiebeheersystemen biedt zijn Europese klanten sinds dit voorjaar de mogelijkheid om diensten af te nemen vanuit een Europese cloud. De gegevens blijven daarbij gegarandeerd fysiek afgeschermd van het internationale netwerk. De infrastructuur is eigendom van en wordt ondersteund door Europese juridische entiteiten van OpenText. Overzeese autoriteiten kunnen daardoor geen toegang eisen. Na de onthullingen over de afluisterpraktijken van de Amerikaanse inlichtingendienst NSA werd dat alom gevreesd.
Adequate databeschermingsregels
‘Er bestond bij onze klanten onduidelijkheid over de locatie van hun data en over wie er toegang had’, vertelt Wittenberg aan Computable. ‘Terwijl bij ons databescherming al gegarandeerd was. Lang geleden hebben we daarvoor technische en organisatorische maatregelen getroffen. Zo bestaan tussen de verschillende bedrijfsonderdelen strikte afspraken over gegevensverwerking. Bovendien staat ons hoofdkantoor in Canada. Volgens de EU biedt dat land adequate databeschermingsregels, net als de EU en Zwitserland.’
Canadees of niet, de opheffing van de Safe Harbour-overeenkomst heeft het optuigen van een Europese datazone wel versneld, zegt Wittenberg. Het verdrag stelde dat deelnemende Amerikaanse bedrijven voldoen aan Europese vereisten van databescherming. Toen bleek dat de NSA toch toegang tot gegevens kan afdwingen, verklaarde het Europese Hof eind 2015 het Safe Harbour-verdrag ongeldig. Daardoor konden veel Amerikaanse organisaties databescherming naar hun klanten niet meer aantonen.
Niet geïsoleerd in zone
De Europese datazone van OpenText staat verspreid over drie locaties in de EU. In Amstelveen en het Engelse Woking heeft het softwarebedrijf datacenters volledig in eigen beheer. Ze zijn onderling redundant uitgevoerd. Hier is een deel van de vloer gereserveerd voor servers waarop de Europese clouddiensten exclusief draaien. Daarnaast is een deel van de colocatie in Frankfurt aangesloten. Andere Europese colocaties, zoals die in Parijs en het Engelse Slough, vormen geen onderdeel van de datazone. ‘In deze multi tenant-locaties hebben we geen end-to-end controle. We hebben ze daarom niet geïsoleerd in de zone’, legt Wittenberg uit.
Organisaties kunnen controleren of hun gegevens daadwerkelijk binnen de Europese grenzen blijven, zegt hij. ‘Allereerst staat het in het contract. We bieden garanties en beschrijven exact welke locaties en juridische entiteiten hierbij zijn betrokken. Waar nodig, geven we klanten het recht op inspectie. Dan kunnen ze met eigen ogen zien dat de Europese servers fysiek gescheiden zijn van de rest van onze cloud.’ Van dit recht maakte evenwel niemand gebruik, vertelt Wittenberg. Volgens hem nemen klanten genoegen met het jaarlijkse rapport van de onafhankelijke auditor.
Business continuity-plan
Voor organisaties die een overstap naar cloud computing overwegen, heeft Wittenberg een aantal adviezen. ‘De ene cloud is de andere niet. Ga als onderneming voor een zakelijke oplossing en staar je niet blind op de bekende cloudoplossingen voor de consument. Die zijn wellicht goedkoper, maar je hebt minder garanties voor ondersteuning en data-integriteit. Zorg ook voor de juiste technische en organisatorische maatregelen, zoals end-to-end encryptie en een business continuity-plan. Hoe lang mag het duren voordat alles is hersteld na een systeemuitval?’
Wittenberg begrijpt dat sommige organisaties hun data en toepassingen het liefst lokaal beheren. ‘Maar besef dat dit veel druk legt op de it-afdeling. Als de systemen 24 uur per dag beschikbaar moeten zijn, heb je veel mensen met uiteenlopende expertise nodig. Daarnaast is het lastig om schaalbaar te blijven. Heb je te maken met seizoensgebonden pieken, dan moet je enorm investeren om de verwachte piekbelasting aan te kunnen. In de cloud ben je flexibeler. Je hoeft bovendien geen hardware of software te upgraden en je bent niet afhankelijk van een bepaalde technologie.’
Het een kwestie van tijd voordat ook de twijfelaars overstappen naar een private, publieke of hybride cloudoplossing, besluit Wittenberg. ‘De verschuiving van lokaal naar de cloud is evident. We verwachten met onze Europese datazone veel onduidelijkheid weg te nemen en organisaties een extra duwtje in de rug te geven.’
Dit artikel is ook verschenen in Computable Magazine, jaargang 49, nummer 6, zomer 2016.
Overname GXS
OpenText levert onder meer software voor enterprise information management (eim), business process management (bpm) en analytics. Sinds enkele jaren biedt de Canadese onderneming zijn diensten ook aan vanuit de cloud. In 2014 werd daartoe GXS ingelijfd. Toen kwamen er ineens 60.000 cloudklanten bij.
GXS, voorheen GEIS, heeft sinds 1976 een datacenter in Amstelveen. Dat werd in de begintijd gebruikt voor ‘time sharing’, het delen van mainframecapaciteit en netwerkoplossingen. De mainframes zijn vervangen door moderne racks en servers van alle grote fabrikanten.
Tegenwoordig is GXS bekend als OpenText Business Network, een belangrijk product van de leverancier. Met dit cloudplatform delen organisaties informatie met hun zakenpartners, bijvoorbeeld voor integraal ketenbeheer. Via het platform verlopen jaarlijks meer dan 18 miljard transacties en zijn meer dan 600.000 organisaties verbonden.
Inmiddels zijn de rechtszaken bij het Europese hof gestart en kunnen die mogelijk wederom ervoor zorgen dat deze wet de prullenbak in gaat.
Los van dat is het in logistieke zin apart dat je je data ver weg van je af wilt hebben staan want dan kost het meer tijd om het te transporteren.