In juni vond het seminar “Cloud Computing – Zwevend de hemel in of zwervend de weg kwijt?” plaats op het hoofdkantoor van Mitopics in Gouda. Tijdens het seminar, dat tot stand is gekomen door de samenwerking tussen Mitopics en IDentity.Next, namen deelnemers vanuit de overheid, cloudleveranciers, IT-specialisten, juristen en privacydeskundigen deel aan een paneldiscussie. Daarnaast zijn de resultaten besproken van de vooraf uitgevoerde online mini-survey die door Mitopics en IDentity.Next was opgesteld.
Een aantal quotes uit het seminar:
‘De Facebook generatie is de wetgever voor morgen’ – Willem Guensberg
‘Regel de dingen vooraf goed voordat je begint aan een cloud dienst’ – Eva Kassenaar
‘Kijk vooruit en anticipeer op zaken – specifiek voor cloud diensten’ – Alan Steele Nicholson
‘Gebruik van zelfbeschikkingsrecht – Je bepaalt zelf wat je wel of niet aan informatie ter beschikking wilt stellen – Deelnemer
Cloud, SaaS, PaaS, IaaS?
Tijdens het seminar werd eerst stilgestaan bij de verschillende begrippen en definities die onder Cloud Computing vallen. Cloud Computing is een vaak gebruikte term in IT-land. Zelfs zo vaak dat veel fabrikanten hun huidige producten zo vermarkten of aanbieden dat het ook een clouddienst te noemen is. Dit fenomeen wordt cloud washing genoemd en zorgt ervoor dat een duidelijke definitie van dit begrip erg lastig te geven is. Om meer duidelijkheid te creëren heeft Mitopics de begrippen Cloud, SaaS, PaaS en IaaS recent gedefinieerd en er duidelijke voorbeelden bij gegeven. U kunt dit whitepaper hier downloaden.
Resultaten online mini-survey
De begrippen SaaS en Cloud stonden ook centraal in de gehouden mini-survey. Belangrijke vragen hierbij waren: “Hoe kun je grip houden op je gegevens in de cloud?” en “Kun je deze gegevens zomaar kwijtraken?”. De vraag is natuurlijk of deze zorgen ook echt terecht zijn. De markt maakt zich nauwelijks zorgen over de rechtsbescherming en waarborgen op het gebied van privacy. Moet de zakelijke gebruiker zich hier niet zorgen over maken? Of maakt de markt zich überhaupt wel zorgen?
Met deze vragen in het achterhoofd zijn we gestart met een online mini-survey. Deze mini-survey bevatte vragen over privacy- en beveiligingsaspecten voor afnemers van clouddiensten. De mini-survey is ingevuld door 19 deelnemers. Een aantal van de geanonimiseerde uitkomsten vindt u hieronder per aandachtsgebied.
Privacy
- Uit de mini-survey bleek dat ruim 71% van de deelnemers zich zorgen maakten over het waarborgen van privacy in the cloud;
- Tevens bleek 57% niet te weten in welk land de cloudserver staat waar zij gebruik van maken, terwijl dat toch van belang is voor de toepasselijke rechtsbescherming op het gebied van privacy
Quote:
- “Bijvoorbeeld toen ik in India was, kreeg ik een berichtje van mijn cloud e-mail provider Yahoo dat ze de gehele content van mijn mailbox naar India zouden kunnen kopiëren, zodat ik een snellere service had. Ze waarschuwden mij tegelijk dat India een minder ontwikkelde privacy wetgeving had dan BTYAHOO in de UK dus bedankte ik er voor (was snel genoeg overigens)”
Beveiliging
- Op de vraag ‘Maakt u zich wel eens zorgen over de veiligheid/bescherming van uw gegevens? Zijn deze wel goed genoeg beschermd tegen inbreuken van buitenaf of vanuit de interne organisatie van de cloud dienstverlener?’ antwoord ruim 71% dat zij zich daar zorgen over maken
- Uit de quotes blijkt echter ook dat sommigen dat juist niet doen: ‘Ik denk dat het gevaar niet groter is, misschien wel kleiner zelfs, dan bij mijn interne IT afdeling.’
Toegang
- Ruim 64% van de deelnemers maakt zich zorgen over hun toegang/bescherming tot hun gegevens in the cloud
- Veel deelnemers geven aan hun gegevens deels te back-uppen via mail, dat kan natuurlijk niet in alle gevallen
- Op de vraag: ‘Heeft u afspraken gemaakt of wilt u deze gaan maken met uw leverancier over de bereikbaarheid/toegankelijkheid van uw gegevens?’ antwoord maar ruim 35% met een ‘ja’.
Quotes:
- “Je accepteert, wat er is”
- “Wij kunnen te allen tijde inzicht krijgen in gebruikers en de autorisaties. Hieraan zijn geen verdere kosten verbonden. We hebben ervaren dat als je deze afspraken niet maakt het veel geld kost om deze gegevens aangeleverd te krijgen”
- “Nog niet, maar het is wel een belangrijk punt in de nabije toekomst”
Exitprocedure
- Ruim 71% zegt niet te weten hoe zij tijdens een exit procedure hun gegevens terug kunnen krijgen uit de cloud.
Quotes:
- “Ik denk dat alle cloud leveranciers hier wel aan gedacht hebben, maar het zal zeker ook wel enige inspanning van mezelf vergen”
- “De cloud provider verwacht m.i. dat de user door een bepaalde inertia hier niet snel gebruik van zal maken”
- “Ik denk dat ik die gegevens niet kan terughalen en ook niet kan laten verwijderen”
Paneldiscussie
Tijdens het seminar is er een paneldiscussie gevoerd onder leiding van Eva Kassenaar. Tijdens het panel werden onder andere de bovenstaande onderwerpen besproken. De discussie maakte duidelijk dat er nog veel vraagstukken zijn omtrent het gebruik van clouddiensten in relatie tot de informatie.
Als trend is inmiddels wel zichtbaar dat middelgrote organisaties dit soort diensten al gebruiken. Volgens Willem Guensberg ontbreekt helaas veelal nog de regie binnen deze organisaties en zorgt dit voor een wildgroei aan diensten. Ook merkt hij op dat het belangrijk is om vooraf de impact en de risico’s te bepalen van het gebruik van deze diensten. Het blijkt dat dit vaak nog niet het geval is. De risico’s worden onderschat en zelfs niet bepaald.
Volgens Alan Steele Nicholson is het duidelijk dat elke op de cloud gebaseerde dienst leidt tot een “custom made agreement” (maatwerkcontract). Hierbij benadrukt hij dat dit voornamelijk voor multinationals geldt. Bedrijven van deze omvang stellen namelijk zeer specifieke eisen aan de afname van deze diensten.
Bij de uitvoering van clouddiensten bij dergelijke multinationals blijkt dat het vooral gaat om private cloud implementaties. Dit houdt in dat de cloud dienst wordt gehost binnen de muren van de datacenter van de multinational zelf.
Conclusie
De gestelde onderzoeksvragen hebben geleid tot een interessant seminar. Op de vraag of de zakelijke gebruiker zich (terecht) zorgen maakt blijkt dat het accent van de zorgen nog verkeerd ligt. Want alhoewel men zich zorgen maakt over privacy weet 68% van de afnemers niet in welk land de server staat waarop hun gegevens zijn gehost, terwijl dit toch bepalend is voor de toepasselijke rechtsbescherming op het gebied van privacy.
Op het gebied van beveiliging blijkt dat de meeste afnemers zich daar zorgen over maken. Gelukkig wordt dit getemperd door de opmerking dat het risico op een inbreuk niet groter wordt geacht, maar zelfs kleiner dan in de eigen IT-omgeving. Bij grote leveranciers die zich richten op de zakelijke markt zal dit zeker het geval zijn. Helemaal alarmerend zijn de resultaten over de vraag naar een exit procedure, het merendeel levert zich daar volledig over aan de genade van de leverancier. Niet slim natuurlijk, vooral niet als het om bedrijfskritische gegevens gaat. Uit de paneldiscussie bleek dat grote cloudleveranciers zoals Verizon en Huawei wel degelijk ‘op maat’ gemaakte regelingen aanbieden. Je gaat dan al snel richting een private cloud en verliest daarbij natuurlijk het kostenvoordeel dat een gedeelde cloud met zich meebrengt.
De vraag is uiteindelijk wie verantwoordelijk is voor het goed regelen van toegang, beveiliging, privacy en exit-procedures. Is dat de leverancier, waar veel mensen vanuit gaan? Of is het slimmer om zelf te kijken wat voor eisen je stelt aan de dienst en deze (desnoods met meerdere leveranciers) vorm te geven? De aanschaf van clouddiensten brengt in ieder geval een grotere verantwoordelijkheid op dit vlak met zich mee.
Mitopics heeft als onafhankelijk adviseur vanuit zowel technisch, juridisch en bedrijfskundig oogpunt ruime ervaring met trajecten waarin Cloud Computing een grote rol speelt. Voor meer informatie over dit onderwerp of onze aansluitende diensten kunt u contact met ons opnemen.