Cloud Computing: de juridische aspecten. wie zijn wij? Alan Steele Nicholson. Jeroen van der Lee. Cloud en Grid Computing Symposium

Cloud Computing: Een e b bliksembezoek se be oe aan aa de juridische aspecten Alan Steele Nicholson Jeroen van der Lee

– wie zijn wij? KENMERKEN Š onafhankelijk Š sinds 1991 Š beëdigd informaticadeskundigen Š best practices

ONAFHANKELIJK IT – ADVIESBUREAU VANUIT DISCIPLINES: Š bedrijfskundig Š technisch bedrijfsŠ juridisch kundig

technisch

ITIL / ISPL / PRINCE2

Š kwaliteitsaanpak (MIRKA)

Cloud en Grid Computing Symposium 21 April 2009

juridisch

21 April 2009

Š professioneel netwerk Š huisleverancier IT-advies IT advies

Cloud- en Grid Computing Symposium

2

1

Juridische aandachtspunten

21 April 2009

Cloud- en Grid Computing Symposium

Juridische aandachtspunten

3

21 April 2009

Cloud- en Grid Computing Symposium

4

2

Agenda

Inleidende kenmerken

Š Š Š Š Š

Š Een Cloud Computing leverancier is een serviceorganisatie die: Š via het internet of andere datanetwerk Š IT-middelen (functionaliteit en/of gevirtualiseerde systeem g y componenten) p ) Š op een zeer flexibele wijze Š ter beschikking stelt aan klanten Š welke betalen op basis van gebruik.

Inleiding Ontbreken van fysieke controle Flexibiliteitsvraagstukken Exit- / transitievraagstukken g Onbehandelde kwesties / vragen

21 April 2009

Cloud- en Grid Computing Symposium

5

21 April 2009

Cloud- en Grid Computing Symposium

6

3

Verschillende soorten clouds

Inleidende kenmerken Š Een Cloud Computing leverancier is een serviceorganisatie die: Š via het internet of andere datanetwerk Š IT-middelen (functionaliteit en/of gevirtualiseerde systeemcomponenten) g y p ) Š op een zeer flexibele wijze Š ter beschikking stelt aan klanten Š welke betalen op basis van gebruik Š Verschillende soorten clouds

User Level “software as a service”

Developer Level

Cloud- en Grid Computing Symposium

• Developers can design, build and test applications that run on the Cloud provieder’s infrastructure and then deliver those applications to end-users from the provider’s servers

“platform as a service”

IT Level “Infrastructure as a service”

21 April 2009

• Companies host applications in the cloud that many users access through Internet Connections. The service being sold or offered is a complete end-user application.

7

21 April 2009

• System administrators optain general processing, storage, database, management and other resources and applications through the network and pay only for what gets used.

Cloud- en Grid Computing Symposium

8

4

Ontbreken van fysieke controle

Ontbreken van fysieke controle Š Beveiliging

Š Beveiliging Š Opschortingsrecht - retentierecht Š Compliance

21 April 2009

Cloud- en Grid Computing Symposium

9

21 April 2009

Cloud- en Grid Computing Symposium

10

5

Š Beveiliging Š Afscheiding van andere afnemers Š Data-integriteit

Š Beveiliging Š Afscheiding van andere afnemers Š Data-integriteit Š Beveiliging uitbesteden? Š Opschortingsrecht/retentierecht Š Compliance 1. Privacy 2. Financieel toezicht (DNB / AFM) 3. Licentiekwesties

ƒ Due Diligence: -

21 April 2009

What’s in the contract? What backup systems are in place? Data recovery? How long? Tested? Often? Audit rights? Upgrade effects? Long-term viability?

Cloud- en Grid Computing Symposium

11

21 April 2009

Cloud- en Grid Computing Symposium

Bron: Cloudsecurity.org

Ontbreken van fysieke controle Bron: Cloudsecurity.org

Ontbreken van fysieke controle

12

6

Privacy

Ontbreken van fysieke controle Bron: Cloudsecurity.org

Š Beveiliging Š Afscheiding van andere afnemers Š Data-integriteit Š Beveiliging uitbesteden? Š Opschortingsrecht/retentierecht Š Compliance 1. Privacy ƒ NL Privacy regels (CBP, WGBO) ƒ Financiele instanties (DNB/“Patriot Act”) (SWIFT) ƒ (EU) Grensoverschrijdende verwerking

21 April 2009

Cloud- en Grid Computing Symposium

13

Wet Bescherming Persoonsgegevens: Š Passend beveiligingsniveau Š gelet op: Š risico’s en Š aard van gegevens Š rekening houdend met: Š stand van de techniek en Š kosten van de tenuitvoerlegging

21 April 2009

Cloud- en Grid Computing Symposium

14

7

Ontbreken van fysieke controle

Licentiekwesties: “Normale” setting

ƒ ƒ ƒ

Bron: Cloudsecurity.org

Š Beveiliging Š Afscheiding van andere afnemers Š Data-integriteit Š Beveiliging uitbesteden? Š Opschortingsrecht p g - retentierecht Š Compliance 1. Privacy (vervolg)

Licentiegever

Licentienemer (Klant)

CBP, WGBO DNB/“Patriot Act” (SWIFT) (EU) Grensoverschrijdende verwerking

2. Financieel 2 Fi i l ttoezicht i ht (DNB / AFM) 3. Licentiekwesties 21 April 2009

Cloud- en Grid Computing Symposium

15

21 April 2009

Cloud- en Grid Computing Symposium

16

8

Licentiekwesties – SaaS setting

Licentiegever

Licentiekwesties – Cloud setting ?

Licentienemer (SaaS Provider)

Licentienemer (Klant?)

Licentiegever

? ?

Sublicense?

21 April 2009

Functionaliteitsafnemer (Klant)

Cloud- en Grid Computing Symposium

Cloud Provider

17

21 April 2009

Cloud- en Grid Computing Symposium

18

9

Flexibiliteit

Exit / Transitie

Š Schaalbaarheid en elasticiteit Š Ruimte voor maatwerk op applicatieniveau? Š Interoperabiliteit met systemen van klant/andere leveranciers: Cloud Cloud-to-cloud to cloud standaarden Š Multi-tenancy - overboeking

Š Š Š Š Š

21 April 2009

Cloud- en Grid Computing Symposium

19

Migratie naar een andere Cloud Dataconversie Licentiekwesties Dataretentie / archiveren (Her)bouwen van een nieuwe infrastructuur?

21 April 2009

Cloud- en Grid Computing Symposium

20

10

Onbehandelde aandachtspunten

Vragen? Š Per e-mail:

Overige informatie Š Internet:

21 April 2009

Cloud- en Grid Computing Symposium

21

21 April 2009

[email protected] [email protected]

www.mitopics.nl www.twobirds.com

Cloud- en Grid Computing Symposium

22

11

Comparison Grid vs. Cloud Computing Feature

Grid

Cloud

Resource Sharing

Collaboration (VOs, fair share).

Assigned resources are not shared.

Resource Heterogeneity

Aggregation of heterogeneous resources.

Aggregation of heterogeneous resources.

Virtualization

Virtualization of data and computing resources.

Virtualization of hardware and software platforms.

Security

Security through credential delegations.

Security through isolation.

High Level Services

Plenty of high level services.

No high level services defined yet.

Architecture

Service orientated.

User chosen architecture.

Software Dependencies

Application domain-dependent software.

Application domain-independent software.

Platform Awareness

The client software must be Grid Grid-enabled. enabled

The SP software works on a customized environment environment.

Software Workflow

Applications require a predefined workflow of services.

Workflow is not essential for most applications.

Scalability

Nodes and sites scalability.

Nodes, sites, and hardware scalability.

Self-Management

Reconfigurability.

Reconfigurability, self-healing.

Centralization Degree

Decentralized control.

Centralized control (until now).

Usability

Hard to manage.

User friendliness.

Standardization

Standardization and interoperability.

Lack of standards for Clouds interoperability.

User Access

Access transparency for the end user.

Access transparency for the end user.

Payment Model

Rigid.

Flexible.

QoS Guarantees

Limited support, often best-effort only.

Limited support, focused on availability and uptime.

Source: “A Break in the Clouds: Towards a Cloud Definition”, Vaquero, Rodero-Merino, Caceres, Lindner, 1/09

21 April 2009

Cloud- en Grid Computing Symposium

23

12