In Cloud We Trust

De cloud belooft computerkracht, zonder dat je hoeft te investeren in dure apparatuur. Meer focus op je klant en op productiviteit; wie wil dat nu niet? Sprout-expert Arthur van der Wees is een cloud-believer, maar weet op welke risico's je moet letten. 

We zijn in een nieuw tijdperk aanbeland; sinds de opkomst van het internet is cloud computing de grootste, wereldwijde digitale revolutie. Niks geen hype; cloud is here to stay. De IT-uitgaven op het gebied van cloud computing nemen exponentieel toe, traditionele pc’s en pakketsoftware zullen de komende jaren steeds meer worden vervangen door mobile devices en cloud-applicaties. De Europese Commissie heeft cloud zelfs als een van haar speerpunten ter bevordering van economische groei, en probeert via speciale werkgroepen Europese standaarden te formuleren voor cloudcontracten.

Grip op de cloud

De mogelijkheden van cloud zijn duidelijk. Maar als je bijvoorbeeld je HR via de cloud wilt regelen, zijn vertrouwelijkheid en privacy van het grootste belang zijn. En aan vertrouwen ontbreekt het nogal eens als het om cloud computing gaat. Hoog tijd dus om risico’s in kaart te brengen en te managen, zodat een acceptabel (en tegenwoordig veelal zelfs verzekerbaar) restrisico gedefinieerd kan worden.
Ik heb hieronder een paar praktijkvragen en aandachtspunten op een rij gezet. Ze zijn natuurlijk niet uitputtend, een complete analyse moet van geval tot geval plaatsvinden.

Mag ik privacygevoelige gegevens van mijn klanten of werknemers in de cloud gebruiken?

Met cloud verandert er aan privacy wetgeving niets; het recht op privacy en eerbiediging van de persoonlijke levensfeer geldt zowel offline als online. In Nederland regelt de Wet Bescherming Persoonsgegevens dit. Als je zaken doet met cloudbedrijven in de VS bestaan de zogenaamde Safe Harbor principes; een eenzijdig afgelegde verklaring dat zij aan de Europese privacywetgeving voldoen.

Wat betreft data in de cloud verandert er in de praktijk ook niets, omdat data ook zonder de cloud al makkelijk wereldwijd verplaatst kon worden. Een onderneming hoort daar vat op, en controle over te hebben. En dat is mogelijk. Althans, net zozeer als bij een fysiek archief of laptop in een kantoorlade of kluis. Want diefstal, verlies en privacyinbreuk zijn van alle tijden. Een van de vragen is dan ook welke data wel en niet in de cloud zou moeten. Met logisch nadenken en adequate maatregelen op maat kan elke onderneming gecontroleerd data in de cloud gebruiken.

Hoe voorkom ik gegevensverlies en misbruik van gegevens?

Cybersecurity was een groot issue, en blijft dat ook in de cloud. Of het nu gaat om de beveiliging van een smartphone of laptop, een webbrowser, of software die je via het web gebruikt. Dit issue los je niet juridisch op, maar zal vooral vanuit de techniek en – voor wat betreft de resterende risico’s – met een verzekering moeten worden afgedekt. Er zijn veel producten beschikbaar die de beveiliging op een acceptabel niveau brengen. Het toverwoord hierbij is encryptie: het versleutelen van alle gegevens. Maar criminaliteit en beveiliging blijft een kat- en muisspelletje, en de menselijke fout is nog altijd het grootste risico, ook wat betreft cybersecurity.

Kan ik altijd bij mijn eigen data? En hoe voorkom ik vendor lock-in?

Wat gebeurt er als je afscheid van een leverancier neemt, of als die failliet gaat? Een voordeel van digitale data is dat die meestal makkelijk is op te slaan bij derden. Je kunt daardoor duidelijke afspraken maken over backups, het uitwijken bij calamiteiten en wat er met de data moet gebeuren als je afscheid neemt van je leverancier. Die afspraken moet je goed documenteren, en waar nodig zou je zelfs een derde partij kunnen inschakelen om op terug te kunnen vallen. Wachten totdat het te laat is, gebeurt in de praktijk vaker dan gedacht. Het dan nog juridisch proberen op te lossen, is een lijdensweg.

Hoe weet ik wanneer overheden toegang tot mijn data hebben, of mogen hebben? Is de Patriot Act een reëel risico?

Er is veel te doen over de Patriot Act. De Amerikaanse overheid heeft in bepaalde gevallen toegang tot data, ook in Europa, maar per saldo pas na rechtelijke toetsing. Wat vaak niet beseft wordt, is dat Europese overheden, waaronder de Nederlandse, altijd al zowel zelf als onderling (analoge en digitale) gegevens konden en kunnen vorderen. Sterker nog: zij kunnen dat in feite makkelijker en geruislozer dan onder de Patriot Act.
 
Opmerkelijk genoeg hebben maar weinig ondernemingen systemen die kunnen zien wanneer er wordt ingebroken op hun servers, en wat er dan wordt gestolen of ingezien. Oftewel: dit onderwerp is van alle tijden en komt door cloud computing opnieuw op de agenda. Bewustzijn, technische maatregelen, juridisch inzicht in de risico’s en procedures, en een praktisch draaiboek zijn voor een onderneming van levensbelang om zijn data én reputatie te beschermen.

Cloud value chain

Samengevat was het altijd al belangrijk om de hele waardeketen binnen je onderneming inzichtelijk te hebben, zo is het dus ook verstandig om de hele cloud value chain in kaart te brengen. Welke partijen zijn betrokken bij de clouddiensten die je gaat afnemen en hoe is hun beleid als het gaat om veiligheid, privacy en datatoegang? Zo maak je de cloud minder mistig en heb je in kaart wie verantwoordelijk is voor jouw opgeslagen data.
Cloud computing maakt de besproken onderwerpen actueel, maar ook in de analoge wereld verdienden en verdienen ze altijd al speciale aandacht. Uiteindelijk draait zakendoen om vertrouwen, dus wees goed geïnformeerd en voorbereid. Ga jij ook concurrentievoordeel halen uit de cloud of blijf je aan de zijlijn wachten?


Arthur van der Wees is oprichter en managing partner van Arthur’s Legal in Amsterdam. Zijn klanten zijn actief in technologiebranches als high-tech, Internet, IT & cloud computing, social media & marketing, pharmacie en (petro)chemie.