De soevereine cloud is geen nieuw concept, maar neemt in belang toe door een veranderend geopolitiek landschap en nieuwe regelgeving. Deze heeft invloed op de mate van soevereiniteit die organisaties en individuen over hun gegevens kunnen uitoefenen.
Volgens marktonderzoeksbureau Imarc Group zal de omvang van de wereldwijde cloudmarkt voor de overheid in 2027 naar verwachting 71,2 miljard dollar bedragen, tegenover 27,6 miljard dollar in 2021. Microsoft presenteerde onlangs Cloud for Sovereignty – een nieuw aanbod dat in het leven is geroepen om de publieke sector te helpen voldoen aan de steeds strengere eisen van toezichthouders. Gegevens kunnen zo binnen een bepaald geografisch gebied worden bewaard, met nadruk op Europa.
Europese feestdagen
Met alle verschillende perspectieven op de soevereine cloud en de soevereiniteit van gegevens – en de relevantie ervan voor de afnemers – die in het openbaar over het hele continent worden uitgezonden, is het moeilijk te begrijpen wat het allemaal betekent. Dit geldt vooral voor degenen die verantwoordelijk zijn voor bedrijfs- of overheidsgegevens. Er lijken weinig overeenkomsten te zijn tussen de vele verschillende definities van soevereiniteit met betrekking tot verschillende vormen van klantgegevens. Het is ook onduidelijk hoe daarmee het beste kan worden omgegaan vanwege de zorgen die worden opgeroepen door bijvoorbeeld GDPR/AVG, de Amerikaanse Cloud Act en Schrems II.
Om te voorkomen dat dit een saai, technisch verhaal wordt, gebruiken we de analogie van het boeken van een vakantie voor het hele gezin. Er zijn immers meer overeenkomsten dan je op het eerste gezicht zou denken. In beide gevallen zijn meerdere partijen betrokken, met uiteenlopende behoeften en een enorme hoeveelheid beïnvloedende factoren. Zo kan een goed geplande en uitgevoerde gezinsvakantie bijvoorbeeld geweldige herinneringen opleveren, terwijl een slecht geplande vakantie blijvende littekens kan achterlaten. In dit opzicht is het niet anders dan de beslissing waar iemands waardevolle bedrijfs- of overheidsgegevens worden gehost.
Drie keuzes
De situatie is vergelijkbaar met de keuze uit verschillende accommodatie-mogelijkheden tijdens een vakantie: het internationale vijfsterrenhotel, het kleinere plaatselijke hotel of een boetiekhotel. Het eerste is groot met veel ondersteunende diensten en heeft een bekende reputatie. De gasten nemen het basispakket van de kamer, maar alle andere faciliteiten en activiteiten worden individueel in rekening gebracht.
De tweede optie is zoals de eerste, maar meer gefocust op de locatie. Veel van de diensten, activiteiten en faciliteiten van het internationale vijfsterrenhotel zijn beschikbaar in dit hotel, maar waar een lokaal bedrijf het algemene beheer voert. Dit is aantrekkelijk omdat de diensten een plaatselijke focus hebben en het personeel een aanvullende opleiding heeft gekregen. Omdat het om een kleinere onderneming gaat, zijn sommige diensten van het internationale vijfsterrenhotel niet beschikbaar. Extra voordelen van het opbouwen van loyaliteitspunten of het vertrouwen in de dienstverlening die een groot internationaal merk biedt, ook niet.
De laatste keuze is een lokaal boetiekhotel dat al vele jaren operationeel is in een bepaald gebied en dat een ervaring op maat biedt. Dit hotel verschilt van de eerste twee opties in die zin dat het samen met de gasten specifieke pakketten van activiteiten en diensten samenstelt. Dit is per saldo duurder en arbeidsintensiever omdat het hotel zich echt inspant om zijn gasten te begrijpen en een relevant pakket van activiteiten en diensten op maat te maken.
Vijf bepalende factoren
Net als bij een cloudprovider zijn er voor- en nadelen. De hamvraag is: welke kiezen we? Het antwoord is niet eenvoudig en hangt samen met verschillende factoren.
● Mensen (personeel en boekingsbeheerders) – Gegevensbeheerders moeten zich ervan bewust zijn dat bepaalde niveaus van gegevens alleen door bepaalde soorten personen mogen worden beheerd.
● Toegang (ondersteunende diensten) – Belangrijk voor het begrijpen van de keuze van de soevereine cloud en hoe alle bijbehorende account- en service metagegevens met betrekking tot die klantgegevens worden behandeld.
● Proces (gemak van boeken, autonomie bij het afnemen van diensten en het geven van feedback aan de aanbieder) – De systemen die worden gebruikt om de mensen te helpen bij het uitvoeren van hun taken.
● Activiteiten (wat je krijgt) – Dit heeft betrekking op wat mensen, via toegang en het gebruik van processen, kunnen doen met de gegevens, zowel klant- als accountgegevens, en metagegevens over diensten. Inzicht in de gegevensclassificatie en hoe die gegevenstypen toegankelijk moeten zijn, is van belang voor de keuze van de juiste soevereine cloud.
● Technologie (de accommodatiestructuur en ergonomie) – De noodzaak van een robuuste en veerkrachtige architectuur. De faciliteiten moeten worden beveiligd en gebruikt op het hoogste niveau. Omdat de gegevens ook altijd beschikbaar moeten zijn, is er behoefte aan back-ups en hersteloplossingen.
Juiste keuze
Als uw aanbieder van een soevereine cloud een vakantieverblijf was, welke zou u dan kiezen? Zoals voor alle gezinnen is er niet één oplossing die voor iedereen geschikt is. Wat voor sommigen werkt, werkt niet voor anderen. Het classificeren en begrijpen van de gegevenstypen van een bedrijf is de eerste stap die u als gegevensbeschermer moet nemen tijdens de selectie van de juiste soevereine cloud voor uw bedrijf.
Tragikomisch, die cloudparadox: locatie opeens belangrijk maar wel op somebody elses computer, en je opeens af gaan vragen wat ze ermee doen he…
“Om te voorkomen dat dit een saai, technisch verhaal wordt, gebruiken we de analogie van het boeken van een vakantie voor het hele gezin” :
’t Is een beetje je kostbare juwelen meenemen naar een hotel en ze daar in het meegehuurde standaard kluisje plaatsen.
En maar hopen dat de schoonmakers de code niet weten.
Wordt de boel toch gestolen, dan is het overmacht.
Heb je zelf voor getekend.
Ik zie de rechter al vragen.
Maar waarom neemt u uw hebben en houwen ook mee naar het hotel?
Waarom laat u die niet thuis on prem?
En dan antwoorden: euh, nou die andere gasten deden het ook allemaal 😛
Wat is nu eigenlijk de probleemstelling als we kijken naar de openingszin:
“De soevereine cloud is geen nieuw concept, maar neemt in belang toe door een veranderend geopolitiek landschap en nieuwe regelgeving.”
Dat Microsoft met veel marketing weer zoiets presenteert als ‘Trustworthy Computing’ (TwC) in de cloud veranderd niks aan het feit dat er nog altijd geen zeggenschap over de data is. En 5 genoemde factoren zijn een helder verhaal want één van de punten waar ik al jaren op wijs is een classificatie van gegevens. Want het gaat bij de GDPR/AVG vooral om immateriële zaken zoals herinneringen, niet zo zeer de kostbare juwelen welke je kunt verzekeren tegen diefstal.
“You can check out any time you like but you can never leave.”
Aangaande een paradox in cloud moeten we misschien daarom eens onze blik verplaatsen naar de (meta)data. Want een soevereine cloud als vakantieverblijf gaat uiteindelijk om de landingsrechten van data, al dan niet tijdelijk. En het recht om vergeten te worden geldt ook de back-up terwijl het eigenaarschap hiervan vaak nog onduidelijk is.