Onderzoek
Onderzoek cloud computing in Nederland (1)
Toepassing
cloud computing verder dan gedacht
Afgelopen najaar voerde CloudWorks, in samenwerking met het organisatieadviesbureau Quint Wellington Redwood en het advocatenkantoor Hogan Lovells, een onderzoek uit naar het gebruik en de acceptatie van cloud computing in ons land. 54 bedrijven en instellingen verleenden hun medewerking aan de enquête en de verdiepingsinterviews. Hierin werden zowel IT- als financiële en juridische aspecten aan de orde gesteld. De onderzoekers zullen in de komende nummers van CloudWorks het onderzoek in een aantal artikelen bespreken. In deze eerste aflevering staat de huidige toepassing van cloud computing centraal, alsmede de huidige en toekomstige investeringen. Door Frank de Vries en Arnoud van Gemeren Uit de befaamde hype cycle van Gartner blijkt dat cloud computing zich momenteel op de piek van de hype bevindt. De fase van de teleurstelling – ofwel het ontzenuwen van overspannen verwach-
tingen – staat voor de deur. Volgens dezelfde hype cycle zal cloud computing over twee tot vijf jaar realiteit zijn. De onderzoeksresultaten weerspiegelen dit beeld ten dele, maar lijken er op te
Nu
wijzen dat de acceptatie van cloud computing eerder een kwestie van twee dan van vijf jaar is.
Toepassing nu In de eerste plaats hebben de onderzoekers de huidige stand van zaken in kaart gebracht. Daaruit blijkt dat twee derde van de respondenten zich actief oriën-
2011
2012 Niet
Eerste gesprekken met leveranciers, markt in de gaten houden
65%
6%
4%
25%
Pilotproject(en) ‘ter leering ende vermaeck’
43%
24%
2%
31%
Ontwikkeling en operationalisering niet-kritieke applicaties
29%
18%
20%
33%
Ontwikkeling en operationalisering kritieke bedrijfsapplicaties
25%
10%
18%
47%
Figuur 1. Wat is de status van de introductie van cloud computing in organisaties? En hoe is deze naar verwachting in 2011 en 2012? (Door overlap en afrondingen zijn totalen niet altijd 100 procent.)
16 - cloudworks - december 2010
teert, dat wil zeggen: de markt volgt en verkennende gesprekken met leveranciers voert. Een CIO van een financiële instelling gaf het volgende aan: “We hoeven niet per se morgen volledig in de cloud te zitten. De leveranciersmarkt is zelf nog volop aan het kijken wat het onderscheidend vermogen is en wat de deliverymodellen zijn. Wel moeten we het concept zo snel mogelijk begrijpen en zorgen dat we er klaar voor zijn.” Uit het onderzoek blijkt dat ruim 40 procent al pilotprojecten uitvoert. Enkele organisaties gaven als feedback voorop te willen lopen om gebruik te kunnen maken van het concurrentievoordeel. Eén deelnemer, directeur van een ict-dienstverlener, maakt er – beroepshalve – wel heel veel werk van en meldt: “We
volgen het op de voet en testen dagelijks nieuwe toepassingen.” De early adopters zijn flink vertegenwoordigd, maar we mogen al wel spreken over een early majority (zie figuur 2). 29 procent houdt zich namelijk al bezig met de ontwikkeling en operationalisering van niet-kritieke cloudtoepassingen en 25 procent durft dit zelfs al aan met bedrijfskritieke applicaties! Dit betreft dan met name organisaties uit het midden- en kleinbedrijf.
De komende twee jaar In 2011 en 2012 is het afgelopen met de marktoriëntatie, zoals uit figuur 1 wel blijkt. Slechts een klein percentage verwacht zich dan nog te zullen oriënteren. Ook het aantal respondenten dat ver-
wacht pilotprojecten te zullen uitvoeren, daalt dan scherp. De innovators, early adopters en early majority van dit jaar krijgen dan gezelschap van kleine aantallen nieuwe cloudgebruikers of breiden zelf nog wat uit. Het is wel duidelijk dat het peloton nu al van start is gegaan. We zien dat in 2011 in totaal bijna de helft van de organisaties niet-kritieke toepassingen zal hebben ontwikkeld of al geoperationaliseerd; een percentage dat in 2012 zal stijgen naar zo’n twee derde. Een directeur Infrastructure & Operations van een verzekeringsmaatschappij gaf daarbij aan: “Ik wil eerst de IT-omgeving verder virtualiseren, applicatieafhankelijkheid elimineren, een selfserviceportal bouwen, monitoring op orde hebben en
december 2010 - cloudworks - 17
Onderzoek Figuur 2. De Gauss-curve van Rogers met betrekking tot adoptie van innovatie (bron: Wikipedia). Aangezien 29 procent van de respondenten op een of andere manier van start is gegaan met cloud computing, kunnen we stellen dat binnen de onderzoekspopulatie inmiddels al de early majority actief is geworden.
100
75 Market share %
50
25
tal deelnemers dat verwacht niet in de cloud te zullen investeren, daalt in zowel 2011 als 2012. Een van de deelnemers verwoordt het zo: “We geven momenteel ongeveer 30 procent van ons ITbudget uit aan de cloud. Ik zie dat in de toekomst alleen maar omhooggaan.” Volgend jaar zal bijna 80 procent in elk geval een deel van het IT-budget ‘in de cloud’ steken, een percentage dat over twee jaar oploopt naar bijna 90 procent!
Onderzoek prijsmodellen Innovators 2,5 %
Early Early adopters majority 13,5 % 34%
Late majority 34%
informatiebeveiliging anders inrichten, voordat ik de kosten- en flexibiliteitsvoordelen van cloud computing kan oogsten.” Een derde van de organisaties geeft aan te verwachten zich in het geheel niet
Laggard 16%
0
De huidige investeringen zijn ogenschijnlijk beperkt te noemen. Ruim de helft van de deelnemers geeft momenteel niets uit aan de cloud en een kwart beperkt de uitgaven tot een tiende deel van het IT-budget. Toch kan schijn ge-
In 2011 en 2012 is het afgelopen met de marktoriëntatie hiermee bezig te zullen houden. Mogelijk komt de komende jaren nog verandering in dit percentage, als de rest van de late majority en de laggards zich aansluiten. Ook bij de bedrijfskritieke cloudapplicaties gaan de percentages omhoog. Een flink percentage stelt echter op dit gevoelige gebied niets te zullen ondernemen. (In het derde artikel in deze reeks zullen we overigens ingaan op de drijfveren en drempels die de respondenten hebben aangegeven.)
Budgetten Behalve de mate van acceptatie en de plannen daarvoor, zijn de respondenten bevraagd over het percentage van hun IT-budget dat ze in 2010, 2011 en 2012 aan cloud computing besteden. Een CEO van een internationaal verpakkingsbedrijf gaf hierbij in een verdiepingsinterview aan, dat zijn organisatie dankzij adoptie van de cloud circa 15 procent van het IT-budget kon heralloceren naar businessinnovatie.
makkelijk bedriegen, aangezien een kwart van de organisaties nu al aanzienlijke delen van het IT-budget in cloud computing investeert (zie figuur 3). Wat gaat er in de komende twee jaar gebeuren met het IT-budget? Het aan-
Percentage IT-budget
Als groot voordeel van de introductie van cloud computing wordt vaak genoemd dat dit een verschuiving van kapitaalinvesteringen naar operationele uitgaven mogelijk maakt (‘van capex naar opex’). Ook in absolute zin kan de cloud goedkoper uitpakken, zo beaamt een van de respondenten: “Het was niet makkelijk uit te rekenen, maar vergeleken met een on-premisetoepassing is de cloudtoepassing zeker 200 tot 300 procent goedkoper!” Een terechte vraag is of de respondenten ook onderzoek hebben gedaan naar de prijsmodellen die cloudserviceproviders hanteren. Het kan hierbij gaan om een prijs per gebruiker, al of niet gestaffeld, een prijs gebaseerd op benodigde capaciteit, al of niet getrapt, en zo verder. De antwoorden op deze vraag geven te denken. Slechts 40 procent van de respondenten heeft zich in de beprijzing verdiept. Meer dan de helft heeft dit nog niet gedaan en enkele respondenten hebben deze vraag niet beantwoord.
Percentage respondenten
2010
2011
2012
nul
51%
22%
12%
tien
25%
41%
29%
twintig
8%
12%
24%
dertig
4%
6%
10%
veertig
2%
8%
8%
vijftig
2%
0%
4%
zestig
2%
4%
4%
zeventig
0%
2%
4%
tachtig
2%
2%
0%
negentig
2%
2%
4%
honderd
2%
2%
2%
Figuur 3. Het percentage van het IT-budget dat de respondenten in 2010, 2011 en 2012 aan cloud computing zullen besteden.
Meer klantwaarde realiseren begint met beter luisteren. (En meestal is dat ook beter voor uw portemonnee)
Goed luisteren is volgens ons essentieel bij ICT-projecten. Dan lever je pas echt oplossingen waar een opdrachtgever behoefte aan heeft. Ook dat maakt de mensen van Sogeti tot ideale partners. Of het nu gaat om ontwerpen, bouwen, implementeren of beheren. In testen en architectuur lopen wij door onze aanpak zelfs voorop. Sogeti kan opdrachtgevers in alle sectoren verder helpen. Voor vandaag, morgen en overmorgen. Dankzij mensen met Passie voor ICT.
18 - cloudworks - december 2010
december 2010 - cloudworks - 19
sogeti.nl
Staat voor resultaat.
Onderzoek Een IT-manager bij een overheidsinstantie vermeldt nog wel: “Dit wordt eind 2010 gestart.” Mogelijk wijst dit onderzoeksresultaat er op dat het vraagstuk van de werkelijke kosten van cloud computing nog niet voor alle bedrijven en instellingen makkelijk te doorgronden is. Tijdens de due diligence – net zo hard nodig bij cloud computing als bij reguliere outsourcing– moet er goed gekeken worden welke activiteiten de leverancier uitvoert en welke activiteiten de onderneming zelf dient uit te voeren. IAAS-leveranciers leveren bijvoorbeeld niet standaard alle diensten. Voorbeelden hiervan zijn management over virtuele machines, informatiebeveiliging, netwerkmonitoring, technisch applicatiebeheer, et cetera.
Intels zoek zichzelf in zekere zin hebben geselecteerd: wie niets met cloud computing heeft, zal wellicht niet snel aan een onderzoek op dat terrein deelnemen. Toch lijken de onderzoeksresultaten er op te wijzen dat cloud computing eerder binnen twee dan vijf jaar gemeengoed wordt. Men oriënteert zich volop en menigeen is al bezig met een pilot-
Cloud computing lijkt al door de early majority te worden geaccepteerd Conclusie We mogen voorzichtig concluderen dat cloud computing in ons land ook al door de early majority wordt geaccepteerd. We zijn zo voorzichtig met deze conclusie omdat de deelnemers aan dit onder-
project. De investeringen zijn voor het merendeel van de respondenten nog bescheiden, maar groeien de komende jaren gestaag door. Het tweede artikel in deze reeks zal in het teken staan van de vele verschillen-
de vormen en toepassingen van cloud computing in 2010, 2011 en 2012. Wat doet het goed en wat minder goed? CW Frank de Vries (F.de.Vries@quintgroup. com) is partner bij Quint Wellington Redwood, een bureau voor organisatieadvies op het raakvlak van organisatie en IT. Arnoud van Gemeren (
[email protected]) is uitgever van CloudWorks. Komend voorjaar zullen CloudWorks, Quint Wellington Redwood en Hogan Lovells een boekje uitgeven, met daarin deze artikelreeks, plus de uitgebreide onderzoeksresultaten. Wanneer u belangstelling hebt voor dit boekje of meer informatie over dit onderzoek wilt weten, kunt u een mail sturen naar
[email protected].
De deelnemers 54 bedrijven en instellingen namen aan het onderzoek deel. Opvallend is de vrij sterke vertegenwoordiging van Cleveldeelnemers. Meer dan een derde acteert op het hoogste niveau – enkele DGA’s meegerekend. De categorie ITmanagement (senior en mid-level) is tevens sterk vertegenwoordigd. Tellen we de deelnemende IT-topmanagers op bij de C-levelgroep, dan blijkt dat bijna de helft van alle deelnemers op hoog niveau binnen de organisatie werkzaam is. We mogen concluderen dat cloud computing voor de meeste organisaties een behoorlijk strategisch onderwerp is. De onderzoekers hebben ook gekeken naar de verdeling over de verschillende branches (zie figuur 4). Opvallend is de sterke vertegenwoordiging van IT-dienstverleners, met vijftien deelnemende organisaties. Deze branche zal ‘de cloud’ tot realiteit moeten maken en
20 - cloudworks - december 2010
Event
onderschrijft blijkbaar het motto ‘practice what you preach’. Ook de financiële sector, die traditioneel vooroploopt met de toepassing van IT, is goed vertegenwoordigd. Verder is er een mooie spreiding met deelnemers uit zeer diverse sectoren: van overheid tot bouw, van onderwijs tot transport. De omvang van de deelnemende organisaties in termen van fte’s en omzet is behoorlijk. Ruim een derde heeft meer dan 2.500 medewerkers en een derde van deze groep (zo’n 11 procent van het totaal dus) zelfs meer dan 10.000. Ook het middenbedrijf is goed vertegenwoordigd. Ruim 31 procent heeft tussen de 100 en 2.500 medewerkers. Ook het kleinbedrijf, waar SaaS aardig in trek is, blaast met een derde van het aantal deelnemers een aardig deuntje mee. Als we naar de bruto omzet van de responderende organisaties kijken, gaat 20 procent over de 250 miljoen euro per
jaar heen (zes organisaties boeken meer dan een miljard). 18,5 procent behaalt omzetten tussen 50 en 250 miljoen, 18,5 procent minder dan 50 miljoen en een derde minder dan tien miljoen euro per jaar. Branche
Percentage
Bouw
7,4%
Detailhandel
0,0%
Financiële dienstverlening
14,8%
IT-dienstverlening
27,8%
Gezondheidszorg
9,2%
Groothandel
0,0%
Horeca/recreatie
1,8%
Industrie
7,4%
Transport
5,5%
Centrale overheid
9,2%
Decentrale overheid Ander
3,7% 12,8%
Figuur 4. Percentage respondenten per branche.
‘Cloud 2015’-visie Tijdens een evenement bij het onderzoeksinstituut Cern in Zwitserland heeft Intel zijn ‘Cloud 2015’-visie gepresenteerd: een reeks initiatieven die ervoor moeten zorgen dat clouds beter met elkaar samenwerken en dat cloud computing veiliger en makkelijker wordt. De oprichting van de Open Data Center Alliance moet de realisatie van de Cloud 2015-visie een stap dichterbij brengen. Door de redactie Intels Cloud 2015-visie bevat drie kernelementen: • Een cloudinfrastructuur waarmee organisaties gemakkelijk informatie kunnen uitwisselen tussen interne en externe clouds (federation). • Een ‘geautomatiseerd’ netwerk waarmee toepassingen en middelen veilig en automatisch kunnen worden verplaatst van de ene naar de andere server. • ‘Clientbewuste’ clouds die weten welke applicaties, opdrachten en processen in de cloud zouden moeten draaien, en welke op de laptop, smartphone of op een ander apparaat. De Open Data Center Alliance is een samenwerkingsverband van ruim zeventig grote ondernemingen die
samen jaarlijks ruim 50 miljard dollar investeren in IT, en die momenteel bezig zijn met cloudprojecten of gerelateerde onderzoeksprojecten. Tot de leden behoren onder meer BMW, Deutsche Bank, Lockheed Martin, Shell en Terremark. De alliantie zal de vereisten voor toekomstige hard- en software vaststellen, die moeten leiden tot opencloud- en datacenteroplossingen die beter met elkaar samenwerken. Om deze vereisten in te vullen met concrete oplossingen heeft Intel het Cloud Builders-programma in het leven geroepen. Het programma telt op dit moment twintig referentiearchitecturen, terwijl er nog diverse worden ontwikkeld. Deelnemers aan het programma zijn onder andere Canonical, Cisco, Citrix, Dell, EMC, HP, IBM, Intel, Microsoft, NetApp, Novell, Parallels, Red Hat en VMware.
Cloud Buildersprogramma Intel is van plan om hiervoor producten en oplossingen te leveren. Daartoe zal Intel samenwerken met zijn hardware- en softwarepartners, om samen met de industrie tot innovaties op het gebied van open standaarden te komen. Zo zal de volgende fase van het internet sneller worden bereikt, met een open, interoperabele en veilige cloud die een nieuwe generatie van zakelijke diensten, films, gaming, social media en andere, nog niet uitgevonden webdiensten mogelijk zal maken. Het doel van het Cloud Builders-programma is een technologieroadmap te bieden voor de Cloud 2015-visie. Intel heeft een aanzienlijke uitbreiding van dit programma aangekondigd, dat grote systeem- en softwarepartners bij elkaar brengt om bewezen recepten te bieden voor het bouwen van clouds, evenals praktische richtlijnen voor het uitrollen, onderhouden en optimaliseren van cloudinfrastructuren. “De industrie heeft de kans om het potentieel van cloud computing sneller te realiseren, en deze transformatie zal leiden tot meer rendabiliteit”, zegt Kirk Skaugen, vicepresident en general manager van Intel Data Center Group. “Met de Open Data Center Alliance zijn topbedrijven wereldwijd nu gefocust en actief betrokken om samen met Intel en de hightechindustrie oplossingen voor de belangrijkste clouduitdagingen sneller te realiseren. De serverindustrie heeft sinds de introductie van de Pentium Pro in 1995 een verbazingwekkende transformatie ondergaan. Het is ons doel om ervoor te zorgen dat cloud computing optimaal rendement blijft bieden op basis van hetzelfde fundamentele principe: innovatie op basis van open, interoperabele standaarden.” CW
december 2010 - cloudworks - 21
Onderzoek
Onderzoek cloud computing in Nederland (2)
Kiezen uit
vormen en smaken
Eind vorig jaar voerde CloudWorks, in samenwerking met het organisatieadviesbureau Quint Wellington Redwood en het advocatenkantoor Hogan Lovells, een onderzoek uit naar het gebruik en de acceptatie van cloud computing in ons land. 54 bedrijven en instellingen verleenden hun medewerking aan de enquête en de verdiepingsinterviews. Hierin werden zowel IT- als financiële en juridische aspecten aan de orde gesteld. De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek. In deze tweede aflevering staan de specifieke inrichtingsvormen en dienstverleningsmodellen van cloud computing centraal. Waarin investeren de respondenten, als het de inrichtingsvormen public, private of hybride cloud betreft? En waarin als het om de dienstverleningsmodellen SaaS, PaaS en IaaS gaat? Door Frank de Vries en Arnoud van Gemeren
10 - cloudworks - februari 2011
februari 2011 - cloudworks - 11
Onderzoek Een bekend probleem bij cloud computing is het definitievraagstuk. Cloud computing is een algemene term voor het leveren van hosted services via het internet. Deze diensten zijn over het algemeen onderverdeeld in drie categorieën: infrastructuur as a service (IaaS), platform as a service (PaaS) en software as a service (SaaS). Een clouddienst heeft drie verschillende kenmerken die het onderscheiden van de traditionele hosting. De dienst wordt verkocht per eenheid – zoals bijvoorbeeld per minuut
alleen een pc en internetaansluiting te hebben. Bij dit onderzoek is verder gekozen om de definities van de OpenCrowd Cloud Taxonomy1 te hanteren. Hier zijn de respondenten bij het invullen van de enquête ook op gewezen.
Public, private of hybride In de eerste plaats is in kaart gebracht of er wordt gekozen voor een public of een private cloud, dan wel een hybride inrichtingsvorm. Een public cloud levert diensten aan iedereen op internet. Een
IaaS wordt momenteel volop betrokken bij de vormgeving van sourcingsstrategieën of uur, per gebruiker of per transactie – de dienst is elastisch – een gebruiker kan op ieder moment zo veel of zo weinig van een dienst afnemen als wenselijk – en de dienst wordt volledig beheerd door de aanbieder. De afnemer hoeft
private cloud is kleinschaliger, is op maat gebouwd met behulp van virtualisatietechnieken voor één of een beperkt aantal organisaties. Private clouds maken gebruik van een aantal basiskenmerken van cloud computing (dienstverlening,
100%
19%
90% 80%
20%
70%
17%
20%
13%
9%
13%
60% 50%
30%
31%
40% 30%
57%
20%
41%
30%
10% 0%
2010 Niet
2011 Private cloud
Public cloud
2012 Hybride cloud
Figuur 1. Wanneer verwacht men cloud computing voor het eerst in te zetten? De cijfers in deze figuur geven aan wanneer men cloud computing voor het eerst wenst in te zetten en in welke inrichtingsvorm. De grafiek geeft dus niet een optelling van het feitelijk gebruik van de verschillende cloudvarianten per jaar aan, maar de verwachte voorkeur voor de inrichtingsvorm wanneer respondenten eenmaal in een betreffend jaar tot een bepaalde cloudoplossing overgaan. Zo denkt 20 procent van de respondenten in 2012 een hybride cloud in te gaan richten.
12 - cloudworks - februari 2011
flexibele capaciteit), maar leveren in het algemeen minder kostenvoordelen op in vergelijking tot de andere inrichtingsvormen. Een hybride cloud is een mengvorm van deze beide varianten, waarbij sommige diensten zich in een private cloud bevinden en andere in een public cloud. Of de keuze nu valt op private of public: het doel van cloud computing blijft om eenvoudige, schaalbare toegang tot computing resources en ITdiensten te leveren. Het zal niet verbazen dat private cloud het over de gehele linie wat beter doet dan de andere inrichtingsvormen: niemand neemt graag risico’s met een min of meer publiek domein in een markt waar open standaards voor interoperabiliteit en industriebrede privacystandaards nog ontbreken. Het privacyniveau binnen de Europese Unie is op een hoger niveau vastgesteld dan in de rest van de wereld en geen enkele overheidsinstelling of onderneming neemt graag privacyrisico’s. Veel cloudproviders leveren daarbij niet de noodzakelijke loggingen audit-trailinformatie die vanuit weten regelgeving of vanuit de eigen organisatie geëist wordt. Hierdoor kan cloud computing voor sommige organisaties om complianceredenen ongeschikt zijn. Toch verwachten respondenten ook in 2011 van de public cloud gebruik te maken. Volgend jaar zal private cloud de dominante vorm zijn, op enige afstand gevolgd door hybride varianten. In verdiepingsinterviews kwam naar voren dat de meeste ict-omgevingen van grote ondernemingen en overheden in de toekomst zullen groeien naar een private of hybride inrichtingsvorm. Dit gegeven de grote, hedendaagse mix van dienstverlening, applicaties, databases en platformen. Niet alles wordt gemigreerd naar de cloud, voorbeelden hiervan zijn legacy-omgevingen. Niet alle applicaties zijn daarnaast beschikbaar of geschikt voor een gedistribueerde en gevirtualiseerde omgeving. Een applicatie die veel data moet verwerken, kan in de cloud bijvoorbeeld tegen grenzen aanlopen. De hoeveelheid benodigde bandbreedte wordt hier niet alleen een uitdaging – het bijbehorende kostenniveau doet veel businesscases eruit zien als een financiële wanprestatie –, maar ook de bezorgdheid over het gebrek aan controle over activa en het geboden niveau van veiligheid en privacy bij
gebruikmaking van public clouds speelt een belangrijke overweging om te gaan voor een private of hybride inrichtingsvorm.
SaaS Vervolgens zoomt het onderzoek in op software as a service en stelt de vraag welk type applicaties betrokken gaat worden van de cloud. SaaS wordt hierbij als volgt gedefinieerd: ‘Cloud based delivery of complete software applications that run on infrastructure the SaaS vendor manages. SaaS applications are accessed over the Internet and typically charged on a subscription basis.’ (Definitie: Cloud Taxonomy.) SaaS-leveranciers hebben de afgelopen jaren veel voordeel gehad van technologische innovaties op het gebied van bijvoorbeeld multitenancy, data- en webarchitecturen en niet te vergeten: webstandaarden. Hierdoor werd de kans groter dat meerdere browsers, platformen en end-users konden ‘inprikken’ op hun SaaS-toepassing. Van de drie dienstverleningsmodellen diende SaaS zich als eerste aan. Bekende voorbeelden van SaaS zijn Salesforce.com, SugarCRM, SAP By Design en Netsuite. De cijfers in figuur 2 geven per jaar aan wanneer men SaaS wenst in te zetten en voor welk functioneel domein. Zo denkt 19 procent van de respondenten pas in 2012 tools voor projectmanagement als SaaS-toepassing af te nemen. In de periode 2010-2012 verwacht 57 procent van de respondenten hier gebruik van te maken. Kijkend naar de uitkomsten zoals weergegeven in figuur 2, valt op dat respondenten softwareapplicaties voor kritieke processen zoals financials, security en in mindere mate ‘gevoelige’ processen als sales en HRM nog niet aan de cloud toevertrouwen. Implementatie van SaaS en plannen daartoe hebben vooral betrekking op pakketten voor collaboration, contentmanagement en projectmanagement. Kantooroplossingen van Nederlandse en Belgische bodem zijn ContactOffice en Viadesk. Andere bekende SaaS-spelers zijn Cisco WebEx Collaboration, Citrix GoToMeeting, Dimdim, Google Apps, Microsoft Office Live, Oracle Cloud Office, Zimbra en Zoho. Een andere constatering is dat SaaS nu al realiteit is.
Legenda: 1 = Billing 2 = Collaboration 3 = Content/document management
4 5 6 7
8 = Sales 9 = Security 10 = Social networks
= ERP = Financials = HRM = Projectmanagement
100% 90% 80%
44%
44%
48%
70% 60%
73%
73%
71%
77% 6% 19%
15%
40%
10%
19%
23%
30% 20%
6%
17% 6% 10%
25%
21%
10%
0%
63%
65%
8%
50%
44%
1
2 2010
3
21%
15%
8%
10%
8%
6%
10%
13%
15%
17%
17%
4
5
6
7
8
2011
15%
6%
4% 8%
2012
31%
10%
9
10
Niet
Figuur 2. Wanneer verwacht men SaaS voor het eerst in te zetten en voor welk domein?
PaaS Ook bij platform as a service is de definitie van Cloud Taxonomy aangehouden. PaaS wordt als volgt gedefinieerd: ‘Delivery of a virtualized application runtime platform that has a software stack for developing applications or application services. PaaS applications and infrastructure are run and managed by the services vendor’. Van de dienstverleningsmodellen is PaaS de jongste verschijningsvorm. Voorbeelden zijn: Microsoft Azure Services Platform, Google App Engine, Force.com door Salesforce. com, VMforce.com en Amazon Web Services. PaaS bleek in 2010 met name te worden ingezet voor schaalbare databasesystemen. Platformen voor softwareontwikkeling en testen komen in 2011 duidelijk in zwang: 22 procent van de respondenten geeft aan in 2011 cloudplatformen te gaan gebruiken. Een beleidsmedewerker van een overheidsinstelling gaf aan terughoudend te
zijn over zowel PaaS- als SaaS-dienstverleningsmodellen: “SaaS en PaaS kunnen tot een complete vendor lock-in leiden, omdat deze leveranciers bedrijfseigen, proprietary interfaces (API’s) gebruiken. Er is een gebrek aan standaards, de kosten om te switchen kunnen hoog zijn wanneer je er eenmaal aan vastzit.”
IaaS Infrastructure as a service is gedefinieerd als: ‘Delivery of raw, virtualized computing infrastructure such as servers- and storage-as-a-service to build applications. IaaS vendors let enterprises customize infrastructure to their application needs’. IaaS is een relatief nieuwe tak van sport in Nederland. Het wordt momenteel volop betrokken bij de formulering van sourcingsstrategieën en aangehaald voor OTA-omgevingen en back-up & disaster recovery. Veel ondernemingen en overheidsinstanties zijn al bezig om hun infrastructuur te virtualiseren wat een goede stap is richting IaaS.
februari 2011 - cloudworks - 13
Onderzoek
2010
2011
Business intelligence
10%
12%
2012 Niet 8%
71%
Database
18%
16%
12%
55%
Development & testing
8%
22%
12%
59%
Integratie
10%
14%
8%
69%
Figuur 3. Wanneer verwacht men PaaS voor het eerst in te zetten en voor welk domein? (Door afrondingen en overlap zijn totalen niet altijd 100 procent.)
2010
2011
2012 Niet
Back-up & disaster recovery
24%
14%
14%
49%
Cloud brokers
2%
6%
12%
80%
IT-servicemanagement
12%
12%
14%
63%
Servers
29%
22%
14%
35%
Storage
27%
24%
16%
33%
Virtuele werkplekken
29%
20%
22%
29%
Figuur 4. Wanneer verwacht men IaaS voor het eerst in te zetten en voor welk domein?
Bij IaaS is de klant in veel gevallen zelf verantwoordelijk voor onder andere uitgifte van virtuele machines, beveiliging, applicatiemanagement en netwerkmonitoring. Het is dan ook zaak om hier bij de vormgeving van businesscases en tijdens due diligence – maar ook tijdens de uitvoering van de pilot – rekening mee te houden. De indruk leeft overigens dat grote ict-leveranciers in Nederland met name zoekende zijn naar hun onderscheidend vermogen in de cloud ten opzichte van traditionele cloudleveranciers als Amazon Elastic Compute Cloud (EC2), AppLogic, Google Storage for Developers, en Rackspace JungleDisk.
Kritieke bedrijfsprocessen worden niet ‘ver-SaaS-t’ De onderzoeksresultaten laten een brede toepassing zien van IaaS (servers, storage, back-up & disaster recovery). Opvallend is dat de toepassing van ITservicemanagementtools om cloudinfrastructuren te beheren verhoudingsgewijs achterloopt. Deze tools bieden functies aan die cloudproviders niet bieden of zijn gespecialiseerd in het beheer van bepaalde applicatietechnologieën. Een voorbeeld hiervan is Ylastic om Amazon Web Services makkelijker te beheren.
Publicaties De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek naar cloud computing in Nederland. Artikel 1 – verschenen in CloudWorks nr 6/2010 De achtergrond van de respondenten, de status van de introductie van cloud computing in hun organisaties, en de bijbehorende investeringsplannen. Artikel 2 – in dit nummer De keuzes van de respondenten waar het gaat om de inrichtingsvormen public, hybride versus private cloud en de dienstverleningsmodellen SaaS, PaaS en IaaS. Artikel 3 – in CloudWorks nr 2/2011 Waarom overweegt men cloud com-
14 - cloudworks - februari 2011
puting? Welke drempels zijn er als het gaat om de toepassing van cloud computing? Artikel 4 – in CloudWorks nr 3/2011 Juridische aspecten van cloud computing, met name op het gebied van data in de cloud. (Mogelijk gevolgd door een vijfde artikel, eveneens van juridische aard.) Dit voorjaar geven CloudWorks, Quint Wellington Redwood en Hogan Lovells een boekje uit, met daarin deze artikelenreeks, plus de uitgebreide onderzoeksresultaten. Wanneer u belangstelling hebt voor dit boekje, kunt u een mail sturen naar Arnoud van Gemeren, uitgever van CloudWorks (arnoud@ cloudworks.nu).
Continuity of the Cloud TelecityGroup: solide basis TelecityGroup is een toonaangevende pan-Europese leverancier van netwerkonafhankelijke datacenters, en biedt een scala aan flexibele, schaalbare datacenters en waarde toevoegende services. TelecityGroup is gespecialiseerd in het ontwerpen, bouwen en beheren van veilige omgevingen met een hoge connectiviteit waar klanten hun web- en internetinfrastructuren kunnen vestigen. Elk datacenter fungeert als een connectiviteitsknooppunt waar het faciliteren van opslag, delen en distribueren van data, content en media mogelijk is. Het hoofdkantoor van TelecityGroup is gevestigd in Londen. De onderneming beschikt over 23 datacenters in zeven Europese landen. Deze datacenters zijn gevestigd op uitstekende A1-locaties in Amsterdam, Dublin, Frankfurt, London, Manchester, Milaan, Parijs en Stockholm.
Conclusie Uit de onderzoeksresultaten en verdiepingsinterviews komt naar voren dat grote organisaties en overheidsinstellingen een grotere voorkeur hebben voor private clouds of een hybride inrichtingsvorm. Het MKB durft en kan sneller schakelen naar de public cloud. Gezegd dient te worden dat zij ook relatief sneller voordeel halen uit de cloud, kijkend naar beperktere budgetten en -kennis om volledig zelf de IT-dienstverlening te leveren, beperkte aanwezigheid van legacy en de wereldwijd geboden flexibiliteit indien men gebruikmaakt van de cloud. Alle drie de dienstverleningsmodellen (SaaS, PaaS en IaaS) worden geadopteerd. IaaS lijkt hierbij het meest populair. Het derde artikel in deze reeks zal in het teken staan van de drijfveren en drempels voor cloud computing. CW Noten 1 Zie http://cloudtaxonomy. opencrowd.com/. Frank de Vries (F.de.Vries@quintgroup. com) is partner bij Quint Wellington Redwood, een bureau voor organisatieadvies op het raakvlak van organisatie en IT. Arnoud van Gemeren (arnoud@cloudworks. nu) is uitgever van CloudWorks.
februari 2011 - cloudworks - 15
Onderzoek
Onderzoek cloud computing in Nederland (3)
Drempels en
drijfveren
Eind vorig jaar voerde CloudWorks, in samenwerking met het organisatieadviesbureau Quint Wellington Redwood en het advocatenkantoor Hogan Lovells, een onderzoek uit naar het gebruik en de acceptatie van cloud computing in ons land. 54 bedrijven en instellingen verleenden hun medewerking aan de enquête en de verdiepingsinterviews. Hierin werden zowel IT- als financiële en juridische aspecten aan de orde gesteld. De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek. In deze derde aflevering staan de argumenten voor en tegen cloud computing centraal. Door Frank de Vries en Arnoud van Gemeren
Uit het onderzoek blijkt dat twee derde van de respondenten zich oriënteert op cloud computing, dat wil zeggen: de markt volgt en verkennende gesprekken met leveranciers voert. Ruim 40 procent van de respondenten voert reeds pi-
lotprojecten uit. 29 procent houdt zich bezig met de ontwikkeling en operationalisering van niet-kritieke cloudtoepassingen en 25 procent durft dit zelfs al aan met bedrijfskritieke applicaties. De investeringen zijn voor het merendeel
Argumenten tegen cloud computing
Percentage
Privacy van gegevens
42.5%
Angst voor afhankelijkheid leverancier
33.3%
Geboden niveau van informatiebeveiliging
31.4%
Ontbreken van wet- & regelgeving
27.7%
Onze huidige omgeving is nog niet geschikt
22.2%
Systemen niet willen delen met andere partijen (multi-tenancy)
20.3%
Gebrek aan kennis
18.5%
Onvoldoende in staat om dit zelf te regisseren
18.5%
Geboden dienstverleningsniveaus sluiten niet aan op wensen
16.6%
Onvoldoende mogelijkheden tot parametrisering of maatwerk
16.6%
Voldoet niet aan toepasselijke wet- & regelgeving
14.8%
Ontbreken van marktstandaards
14.8%
Noodzaak upgraden netwerkcapaciteit
12.9%
Beperking van innovatie
5.5%
Niet door onszelf ontwikkeld
1.8%
Noodzaak investeren in application delivery/network traffic management
1.8%
Ander
20.3%
Figuur 1. Percentage respondenten dat op grond van een specifiek argument niet voor cloud computing zou kiezen (respondenten is gevraagd een of meerdere argumenten te selecteren).
10 - cloudworks - maart 2011
van de respondenten nog bescheiden, maar groeien de komende jaren gestaag door. Maar waarom kiest men voor de cloud – of juist niet?
Waarom niet? Er zijn behoorlijk wat argumenten tegen cloud computing aan te dragen. Vaak hebben die argumenten te maken met de relatieve onvolwassenheid van deze markt. Hiaten in het aanbod van leveranciers en de technologie moeten nog worden ingevuld. Er bestaat een bezorgdheid over leveranciersafhankelijkheid en de beveiliging van gegevens. De vraag is hoe zwaar deze argumenten wegen in de ogen van de respondenten. Het zwaarste argument tegen cloud computing blijkt met ruim 40 procent zonder meer de bewaking van de privacyrechten te zijn. Met name grote ondernemingen en overheidsinstellingen willen hun bedrijfskritieke of privacygevoelige gegevens niet in de public cloud hebben en kiezen mede daardoor liever voor een private of hybride variant. Bij het MKB weegt het privacyaspect minder zwaar en geven de te realiseren kostenvoordelen de doorslag. Clouds waarin allerlei data van bedrijven, maar in het bijzonder ook de clouds
waarin vooral data van personen worden verwerkt, trekken de aandacht van privacywaakhonden. Data wordt namelijk op vele manieren gebruikt en niet zelden grenzeloos opgeslagen zonder dat het precies duidelijk is wat er in welk land met de data gebeurt. Binnen de Europese Unie is de privacywetgeving geharmoniseerd. Dat betekent dat als in een van de landen van de EU aan de wettelijke voorwaarden voor de verwerking van data is voldaan, vrij verkeer van data mogelijk is van en naar de andere landen van de EU. De EU heeft deze vrijheid uitgebreid voor uitwisseling van data binnen enkele andere landen, waaronder alle landen van de Europese Economische Ruimte (EER). Dit zijn de EU-landen
aangevuld met IJsland, Liechtenstein en Noorwegen. Het probleem ontstaat echter wanneer data buiten deze landen wordt opgeslagen of verwerkt. (In het volgende artikel van deze reeks gaan we verder in op het juridische aspect van de bescherming van informatie.) Direct gelinkt aan het privacyargument komt – met ruim 30 procent – het geboden niveau van informatiebeveiliging. Informatiebeveiliging, of liever gezegd een gebrek daaraan, wordt in de praktijk vaak als argument gebruikt tegen cloud computing. Dit argument blijkt het meest aangevoerd te worden door met name grote organisaties en overheidsinstellingen. In de verdiepingsinterviews geeft
het MKB aan waarschijnlijk vooruit te gaan op het geboden niveau van informatiebeveiliging bij gebruikmaking van de cloud. Dit, gegeven de beperkte kennis en investeringsruimte die zij zelf hebben in vergelijking tot veel cloudleveranciers. De reputatieschade van een beveiligingsincident wordt voor een cloudleverancier daarbij groter geacht dan voor één individuele klant. “Goede beveiliging biedt een cloudleverancier onderscheidend vermogen”, aldus een chief security technology officer van een wereldwijd opererende netwerkleverancier. De klant heeft zelf echter ook iets te doen. Helemaal omdat plaats-, tijd- en
maart 2011 - cloudworks - 11
Onderzoek apparaatonafhankelijk kunnen werken, tevens voor veel organisaties hoog op de agenda staat. Beveiliging op alleen het netwerkniveau wordt bij cloud computing als niet meer toereikend gezien. De angst voor leveranciersafhankelijkheid wordt met ruim 30 procent tevens als een belangrijk tegenargument gezien. Leveranciersafhankelijkheid komt voor bij alle drie de clouddienstverleningsmodellen. Bij software as a service betreft het lock-in op dataniveau; bij platform as a service betreft het lock-in op application programming interfaces (API’s) en componentniveau. Bij infrastructure as a service kan het lock-in aangaande controle over en beheer van virtuele machines betreffen, maar ook (on)haalbaarheid van het naar buiten trekken van gegevens uit de cloud via internet. De lock-in is grosso modo het grootst bij SaaS en het kleinst bij IaaS. Andersom dienen organisaties meer onderhoud en kennis binnenshuis te hebben bij IaaS dan bij SaaS. Verder signaleren we een breed scala aan ‘argumenten tegen’, die telkens voor een minderheid van de respondenten belangrijk zijn.
Waarom wel? Kijkend naar de antwoorden van de respondenten, valt een aantal hoofdstromen te ontdekken die we hierna zullen bespreken. De hoogste score is weggelegd voor reductie en flexibilisering van kosten. De verwachte kostenreductie en de vervanging van kapitaalinvesteringen (CAPEX)
Het zwaarste argument tegen cloud computing is zonder meer het privacyaspect door operationele uitgaven (OPEX) oefent voor ruim 60 procent van de respondenten een grote aantrekkingskracht uit. De huidige economie maakt cloud computing aantrekkelijk voor organisaties die werk moeten uitvoeren maar geconfronteerd worden met een te klein IT-budget. De introductie van serviceportalen, doorbelasting aan de eindgebruiker, en flexibele op- en afschakeling van capaciteit hebben tevens een positief effect op het bewuste gebruik en derhalve uitnutting van het ITbudget van de organisatie. Niet ver daarna komt – met ruim 55 procent – het elasticiteitsaspect van cloud computing, ofwel het ‘pay as you go’-karakter ervan. Cloud computing stelt ondernemingen in staat om hun businessmodel, producten en diensten sneller aan te passen. Het maakt dienstverlening flexibeler en efficiënter in vergelijking tot traditionele IT-omgevingen. SaaS-applicaties kunnen bijvoorbeeld in een fractie van de tijd worden ingezet in vergelijking tot de benodigde tijd van traditionele on-premiseapplicaties. IaaSresources kunnen direct gebruikt worden, zonder traditioneel inkoopproces en uitvoerig installatie- en testproces. Circa 45 procent geeft aan dat een bedrijfsstrategie van beperken tot kernactiviteiten een argument voor cloud com-
Argumenten voor cloud computing
Percentage
Kostenreductie en -flexibiliteit
60.3%
Eenvoudige schaalbaarheid
56.6%
Vereenvoudiging onderhoud hardware en software
47.1%
Onderdeel bedrijfsstrategie (beperken tot kernactiviteiten)
45.2%
Regelen van continuïteit / disaster recovery
20.7%
Kennisgebrek / personeelsgebrek (vergrijzing)
13.2%
Voorkomen van langdurige migratieprojecten
9.4%
MVO (green IT)
7.5%
Uitfaseren legacy
5.6%
Ander
15.0%
Figuur 2. Percentage respondenten dat op grond van een specifiek argument voor cloud computing zou kiezen (respondenten is gevraagd een of meerdere argumenten te selecteren).
12 - cloudworks - maart 2011
puting is. Hier draait het dus om een afweging ten aanzien van sourcing. Veel organisaties heroverwegen periodiek hun benadering van het sourcingsvraagstuk. Strategische sourcing omvat meer dan alleen uitbesteding: het richt zich vooral op de optimale inzet van mensen en middelen binnen en tussen organisaties. Een adjunct-directeur van een verzekeringsconcern gaf het volgende aan: “We voelden er niets voor om opportunistisch een aantal keuzes ten aanzien van sourcing te maken. Zoiets doe je voor een periode van meerdere jaren. Bovendien moet sourcing bij het bedrijf en vooral de maturity van de business passen. Je kunt je behoorlijk in de vingers snijden als je niet datgene krijgt wat je nodig hebt. We hebben ervoor gekozen om op een gedegen manier de sourcingsstrategie vorm te geven.” Opvallend laag scoren uitfaseren van legacy en het voorkomen van langdurige migratietrajecten, aangegeven door respectievelijk 5,6 procent en 9,4 procent van de respondenten. Blijkbaar wordt de cloud niet ingezet om snel van ‘oud zeer’ af te kunnen komen. Kennis- of personeelsgebrek – al of niet in relatie tot de oprukkende vergrijzing – speelt ook niet zo’n grote rol met een score van 13 procent. De oplossing voor het recent in de pers breed uitgemeten potentiële gebrek aan ict’ers – en de verwachte druk op de Nederlandse kenniseconomie – wordt nog niet herkend in cloud computing. Dit is een opvallende uitkomst, omdat anderzijds maar liefst 47,1 procent van de respondenten op zoek is naar vereenvoudiging van het onderhoud aan hardware en software. Mogelijk is dit meer een kostenkwestie dan een gebrek aan deskundige medewerkers. Een van de hekkensluiters als argument voor cloud computing is ‘green IT’. De relatieve energiezuinigheid van de grootschalige cloudomgevingen bij providers wordt blijkbaar nog niet vaak aangegrepen om maatschappelijk verantwoord ondernemen voor wat betreft het energiegebruik van IT te realiseren.
Drie perspectieven Vanuit het perspectief dat de bezwaren tegen cloud sourcing kunnen worden overwonnen, is het belangrijk dat organisaties die nu of in de toekomst gebruik wensen te maken van de mogelijkheden van cloud sourcing, zich hierop gaan voorbereiden. Uit de praktijk blijkt dat deze voorbereiding in ieder geval gericht moet zijn op de organisatorische inbedding van clouddiensten vanuit drie perspectieven: architectuur, sourcingsstrategie en regievoering. Cloud onder architectuur Een belangrijke stap in de voorbereiding op de cloudevolutie is nadenken over een gedegen architectuur. Om ervoor te zorgen dat gevraagde diensten en bijbehorende performance ook in de toekomst gehaald worden tegen optimale kosten met maximale flexibiliteit, is het belangrijk het (gewenste) bedrijfsproces en IT-landschap te beschrijven in een enterprisearchitectuur, zodat cloud sourcing ingepast kan worden. Zeker bij organisaties die kiezen voor een hybride inrichtingsvorm (57 procent van de respondenten), zal heel bewust gekeken moeten worden naar aandachtsgebieden als integratie, portabiliteit, interoperabiliteit, toepassing van standaarden, latency en redundantie. Informatiebeveiliging verdient hierbij extra aandacht. Voorheen werd een grote ‘muur’ geplaatst rondom de IT-infrastructuur van de organisatie. Bij cloud sourcing moet echter de bedrijfsinfrastructuur een opener karakter krijgen om diensten uit de cloud te kunnen combineren met de eigen IT-voorzieningen. De bestaande beveiligingskaders zullen vaak vanwege verouderde principes aangepast moeten worden. Concreet zal de ‘muur’ rondom organisaties vervangen moeten worden door gerichte beveiliging van de aparte onderdelen van de informatievoorziening. Kennis van het applicatielandschap is hiervoor onontbeerlijk. Dit proces van gerichte beveiliging wordt ‘deperimetrisatie’ of ‘eindpuntbeveiliging’ genoemd. Een gegevenshuishouding in de cloud vereist dat een organisatie haar identity, authenticatie- en accessmanagement op orde heeft en dat die vormen van management geïntegreerd zijn in die van de cloudleverancier.
Cloudsourcing als onderdeel van sourcingsstrategie Bij de formulering van een sourcingsstrategie maakt men bewust een afweging tussen het zelf leveren dan wel het uitbesteden van dienstverlening. Hierbij zijn kwaliteit, flexibiliteit, kosten en risico’s terugkerende onderwerpen. Clouddiensten moeten worden ingepast in het palet van in en uit te besteden diensten. De eerdergenoemde enterprisearchitectuur dient als richtinggevend kader voor de wijze van inpassen van clouddiensten als onderdeel van een toekomstbestendige sourcingsstrategie. Het gebruik van architectuur behoedt organisaties voor significante risico’s als het gaat om eventuele introductie van nieuwe diensten, releases en wijzigingen in het – deels ‘gecloudsourcete’ – IT-landschap. De selectie van mogelijke clouddiensten en -leveranciers verschilt in de kern niet van de aanpak van meer traditionele uitbestedingen. Wat wel veranderd is, is het traditionele leveranciersveld – dat is aanzienlijk vergroot – en ook heeft cloudsourcing gevolgen voor de contractering. De wijze van integratie van de clouddiensten en ook de gekozen clouddienstverleningsmodellen (SaaS, PaaS en IaaS) kennen hun specifieke
juridische aandachtspunten. Afhankelijk van het model verdienen onderwerpen als privacyrechten, geschillenbeslechting, impact van leveranciersafhankelijkheid, exitmogelijkheden en licentie-eigendom extra aandacht. Regie en management van clouddiensten Cloudsourcing vraagt, net als ‘traditionele IT-dienstverlening’ om regievoering vanuit de afnemende organisatie. Het wordt een kunst om een balans te vinden tussen enerzijds de snelheid en flexibiliteit die het gebruik van cloudsourcing biedt aan eindgebruikers, en anderzijds de noodzaak om vanuit IT-management toch de ‘vinger aan de pols’ te houden en indien nodig zelfs bij te sturen als het gaat om zaken als beveiliging, integratie, portabiliteit en interoperabiliteit. Het vinden en vooral behouden van de balans vraagt om een goede voorbereiding. Onder het motto ‘regeren is vooruitzien’ moeten de clouddiensten vooraf worden ingepast in het dienstverleningsmodel, in de bijbehorende producten- en dienstencatalogus (met af te nemen IT-producten en -diensten) en in gerelateerde kosten(doorbelastings)-
maart 2011 - cloudworks - 13
Onderzoek modellen. Door dit goed op elkaar af te stemmen is het mogelijk de voordelen van de cloud (lage kosten, snelle levering en maximale schaalbaarheid) te combineren met de noodzaak om overzicht op en beheersbaarheid van het totale IT-landschap te behouden. Behalve het inpassen van clouddiensten richting de gebruiker is het belangrijk de (toe)levering van deze diensten ook in te passen in de bestaande beheerorganisatie die verantwoordelijk is voor het gehele IT-landschap. De uitvoering van processen als configuratie-, beschikbaarheids- en capaciteitsmanagement verandert omdat (delen van) de IT-diensten vanuit een cloud (en dus extern) geleverd worden. Daar waar clouddiensten in samenhang met ‘interne IT-diensten’ worden geleverd – bijvoorbeeld applicaties gehost vanuit een IaaS-omgeving – moet de beschikbaarheid van de end-toenddienstverlening toch kunnen worden geborgd en worden gemonitord. Niet iedere cloudleverancier biedt rapportagefunctionaliteit of servicemanagementtooling aan als onderdeel van zijn diensten. Dit in tegenstelling tot de meer traditionele leveranciers. De onderzoeksresultaten laten zien dat de door cloudleveranciers aangeboden servicemanagementfunctionaliteit inderdaad achterloopt. Inmiddels springen bedrijven in op deze behoefte. Een
Column
‘Het faillissement van de cloud’
Privacy is een van de reden waarom mensen weerstand hebben tegen cloud computing.
Denk na over de regie van de dienstverlening na de inrichting Door Gert Brouwer, onafhankelijk adviseur en storage architect bij Brouwer Storage Consultancy voorbeeld hiervan is Ylastic, een (via de cloud) aangeboden tool voor het beheer van Amazon Web Services.
TEN SLOTTE De cloud biedt veel voordelen, maar evenzoveel nadelen en onzekerheden. Wereldwijde cloudstandaarden beginnen zich langzaam te ontwikkelen. Nederlandse leveranciers herpositioneren
Publicaties De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek naar cloud computing in Nederland. Artikel 1 – verschenen in CloudWorks nr. 6/2010 De achtergrond van de respondenten, de status van de introductie van cloud computing in hun organisaties en bijbehorende investeringsplannen. Artikel 2 – verschenen in CloudWorks nr. 1/2011 De keuzes van de respondenten waar het gaat om de inrichtingsvormen public, hybride versus private cloud en de dienstverleningsmodellen SaaS, PaaS en IaaS. Artikel 3 – in dit nummer Waarom overweegt men cloud com-
14 - cloudworks - maart 2011
puting? Welke drempels zijn er als het gaat om de toepassing van cloud computing? Artikel 4 – in CloudWorks nr. 3/2011 Juridische aspecten van cloud computing, met name op het gebied van data in de cloud. Artikel 5 – in CloudWorks nr. 4/2011 Over contractuele aspecten van cloud computing. Dit voorjaar geven CloudWorks, Quint Wellington Redwood en Hogan Lovells een boekje uit, met daarin deze artikelreeks, plus de uitgebreide onderzoeksresultaten. Wanneer u belangstelling hebt voor dit boekje, stuurt u dan een mail naar Arnoud van Gemeren, uitgever van CloudWorks (arnoud@ cloudworks.nu).
zich in lijn met de ontwikkelingen die de cloudevolutie met zich meebrengt. Licentievoorwaarden worden beter afgestemd op de cloud, delivery- en afrekenmodellen worden verfijnd. Zakelijke gebruikers beginnen zich te roeren door de aandacht die het onderwerp krijgt. De Tweede Kamer heeft daarnaast de regering verzocht voor de hele Nederlandse overheid een strategie voor cloudsourcing te ontwikkelen. Inmiddels worden de mogelijkheden voor de inrichting van een overheidscloud geïnventariseerd. Zakelijke gebruikers doen er goed aan zich alvast voor te bereiden op de cloudevolutie. Niet om per se morgen al volledig over te gaan naar de cloud, wel om het concept en de mogelijkheden (en bezwaren) ervan zo snel mogelijk te begrijpen en te zorgen dat men er klaar voor is om voordelen te oogsten. Architectuur, sourcingsstrategie en inrichting van regie zijn hierbij de primaire aandachtsgebieden. Het vierde artikel in deze reeks staat in het teken van juridische aspecten van cloud computing. CW Frank de Vries (F.de.Vries@quintgroup. com) is partner bij Quint Wellington Redwood, een bureau voor organisatieadvies op het raakvlak van organisatie en IT. Arnoud van Gemeren (
[email protected]) is uitgever van CloudWorks.
Veelgehoorde motieven om data in de public cloud te plaatsen zijn kosten en gemak. Een aantal storagespecialisten, waaronder ondergetekende, roept al jaren dat dit nog valt te bezien als de eisen die men stelt aan beschikbaarheid en beveiliging vergelijkbaar zijn met die in de tijd voordat men gebruik ging maken van een public cloud. Veel gebruikers hebben hier geen oren naar. Het gaat immers altijd goed, zo redeneert men. ‘Ik maak al jaren gebruik van gmail en ben nog nooit iets kwijtgeraakt.’ Onlangs ging het echter goed mis. Op 8 februari jongstleden werd Info Technology in staat van faillissement gesteld. Info Technology is een dienstverlener die een groot aantal huisartsenpraktijken, apotheken, fysiotherapiepraktijken, de geestelijke gezondheidszorg en talloze werving- en selectieorganisaties tot zijn klanten rekent. Ook diverse ziekenhuizen zijn erbij betrokken, omdat het zogenaamde VeCoZo-systeem bij Info Technology gehost wordt. Dit VeCoZo-systeem zorgt voor het uitwisselen van verzekeringsgegevens. De curator heeft er voor kunnen zorgen dat de data voor de komende dagen wordt veilig gesteld en voor de langere termijn wordt er naar een oplossing gezocht met de diverse betrokken leveranciers. De data zelf staat op verschillende locaties en er lijkt te worden gebruikgemaakt van de gangbare be-
veiligingstechnieken zoals replicatie en back-up. Info Technology kwam in de problemen omdat men niet genoeg geld kon ophalen om de broodnodige vernieuwingen en uitbreidingen te kunnen financieren. Iets waar veel ondernemers last van hebben in jaren waarin de economie het moeilijk heeft en de bankiers hun hand op de knip houden. De
‘Het aantal willekeurige hostingpartijen is zo groot, dat er wel een shakeout moet plaatsvinden’ persberichten, voor zover die er zijn, spreken over het verloren gaan van 1,5 à 2 miljoen EPD’s (elektronische patiëntdossiers), maar dit lijkt schromelijk overdreven. EPD-gegevens staan niet alleen daar. Voor veel klanten die alleen over een thin client beschikken, kan het wel heel vervelend uitpakken. Gezien het grote maatschappelijke belang zal Info Technology uiteindelijk wel gered worden, maar dat geldt niet voor elke willekeurige hostingpartij die op de fles
gaat. Het aantal daarvan is zo groot – zo schreef ik al eerder – dat er wel een shakeout moét plaatsvinden. Opvallend is wel dat ondanks alle aandacht die er altijd is voor clouddiensten, dit verhaal nauwelijks werd opgemerkt. Storagespecialisten beschouwen de cloud als ‘just another storage tier’, en daarbij zorg je altijd voor een kopietier. Het is niet meer dan logisch dat je niet alle eieren in één mandje moet leggen. In een aantal businesscases heb ik kunnen constateren dat cloudoplossingen lang niet altijd renderend zijn. Als je er bovendien nog vanuit moet gaan dat je zelf altijd een kopie moet hebben, dan wordt het voor velen minder of zelfs niet meer interessant om de public cloud te gaan gebruiken. Van het faillissement van de (privat) cloud lijkt vooralsnog geen sprake, maar toch is het meer dan storm in een glas water. Aanbieders van clouddiensten zullen voortaan niet alleen moeten aantonen dat zij hun zaken technisch op orde hebben, ook zal aannemelijk gemaakt moeten worden dat zij voldoende continuïteit kunnen waarborgen. Gebruikers zullen zich beter moeten afvragen wat de consequenties zijn als zij hun data verliezen omdat ze hun eieren in één mandje hebben gelegd. Met andere woorden: een gedegen risico-analyse is op zijn plaats. CW maart 2011 - cloudworks - 15
Meer Privacybeleid klantwaarde realiseren begint met beter luisteren.
Onderzoek
Onderzoek cloud computing in Nederland (4)
van providers onvoldoende bekend
Zodra er sprake is van tot natuurlijke personen te herleiden gegevens, is er sprake van persoonsgegevens. In nogal wat toepassingen van cloud computing is er sprake van verwerking van zulke gegevens. Op de verwerking van persoonsgegevens is specifieke privacywetgeving van toepassing. Afgelopen najaar voerde CloudWorks, in samenwerking met het organisatieadviesbureau Quint Wellington Redwood en het advocatenkantoor Hogan Lovells, een onderzoek uit naar de acceptatie van cloud computing, waarbij onder meer aandacht werd besteed aan bekendheid met privacywetgeving. In dit artikel wordt aan de hand van dit onderzoek een aantal aspecten van deze wetgeving nader belicht. Door Rik Zagers, advocaat bij advocatenkantoor Hogan Lovells
Bij een vraag wat iemand zou kunnen weerhouden van het toepassen van cloud computing, geeft 43 procent van de respondenten aan dat privacyaspecten daarbij een rol kunnen spelen. Daarnaast geeft 28 procent aan dat het ontbreken van wet- en regelgeving een mogelijke belemmering vormt. Ongeacht of deze angst terecht is of niet, zijn er wettelijke aspecten van toepassing.
Toepasselijkheid wetgeving
(En meestal is dat ook beter voor uw portemonnee)
Goed luisteren is volgens ons essentieel bij ICT-projecten. Dan lever je pas echt oplossingen waar een opdrachtgever behoefte aan heeft. Ook dat maakt de mensen van Sogeti tot ideale partners. Of het nu gaat om ontwerpen, bouwen, implementeren of beheren. In testen en architectuur lopen wij door onze aanpak zelfs voorop. Sogeti kan opdrachtgevers in alle sectoren verder helpen. Voor vandaag, morgen en overmorgen. Dankzij mensen met Passie voor ICT.
sogeti.nl
Staat voor resultaat.
Om te zien of privacywetgeving van toepassing is, is het van belang te weten of er persoonsgegevens worden verwerkt. Onder een persoonsgegeven wordt ieder gegeven verstaan dat tot een natuurlijke persoon te herleiden is. Daar komt nog bij dat de wetgeving over de bescherming van persoonsgegevens al van toepassing is op een verzameling gegevens zodra in die verzameling ook maar één persoonsgegeven voorkomt. Een gegeven is hiermee al snel een persoonsgegeven. Ook ‘verwerking’ is voor de wetgever een ruim begrip. Het is niet nodig dat er sprake moet zijn van allerlei complexe bewerkingen voordat er sprake is van een verwerking. Alleen al opslag van gegevens in een database valt onder
het begrip verwerken. De respondenten lijken goed te weten of er in hun geval sprake is van verwerking van persoonsgegevens in cloudtoepassingen. Slechts ruim 7 procent van de respondenten geeft aan dat niet te weten – zie figuur 1.
Rechten en plichten
De respondenten lijken zich er ook goed van bewust dat de Wet bescherming persoonsgegevens (Wbp) regels geeft voor het verwerken van persoonsgegevens. 70 procent van de respondenten geeft aan dat hun organisatie zich bij het verwerken van persoonsgegevens conformeert aan de Wbp. 6 procent van de respondenten weet dat zij slechts gedeeltelijk aan de Wbp voldoet. 13 procent weet het niet. Toch is maar 35 procent van de respondenten bekend met de rechten en plichten die de aanbieder van de cloudNee
46.2%
Ja
44.4%
Weet niet
7.4%
Geen antwoord
1.8%
diensten heeft. 58 procent van de respondenten is zich hiervan niet bewust. Om vast te stellen wat de rechten en de plichten zijn, is het allereerst nodig om te bepalen wat de onderlinge rolverdeling is van de partijen bij een cloudtoepassing. De Wbp legt de meeste verplichtingen op aan de zogenaamde verantwoordelijke van de verwerking. In de breedste zin kunnen deze verplichtingen zo worden samengevat dat de verantwoordelijke voor de verwerking een passend beschermingsniveau moet aanbieden. Tot de verplichtingen behoren onder andere de meldplicht bij het College bescherming persoonsgegevens, het informeren van de betrokkenen – dat is iedereen van wie persoonsgegevens worden verwerkt – en wijzen op en aanbieden van de mogelijkheid de persoonsgegevens te wijzigen, en het zorgen voor beveiligingsmaatregelen.
Figuur 1: De mate waarin er bij de respondenten sprake is van verwerking of opslag van persoonsgegevens in cloudtoepassingen of -omgevingen.
april 2011 - cloudworks - 13
Onderzoek De afnemer van de clouddiensten kan dan immers een vergunning aanvragen voor de verwerking in die landen. 40,7 procent van de respondenten geeft aan dat dergelijke afspraken ook daadwerkelijk zijn gemaakt. 25,9 procent geeft echter aan dat dergelijke afspraken niet zijn gemaakt en nog eens 25,9 procent van de respondenten weet niet of deze afspraken zijn gemaakt.
Als de verwerking van de persoonsgegevens buiten de EU plaatsvindt, moet de verantwoordelijke ervoor zorgen dat hij over de eventueel benodigde vergunning beschikt.
Privacybeleid Alhoewel de afnemer van de clouddiensten veelal de verantwoordelijke is in de zin van de Wbp (zie het kader ‘Verantwoordelijke en bewerker’), en er daarom op de afnemer van de clouddiensten de meeste verplichtingen rusten die voortvloeien uit de Wbp, geeft een krappe meerderheid van 52 procent tegen 46 procent van de respondenten aan niet te weten wat het privacybeleid is van hun aanbieder van cloudcomputingdiensten. Daarnaast geeft 41 procent aan niet te weten of er sprake is van passende maatregelen in geval van een incident dat de privacy of de veiligheid beïnvloedt. 37 procent is hier wel zeker van. In deze laatste categorie is er een gelijke verdeling van zij die een inspanningsplicht hebben afgesproken met hun aanbieder van clouddiensten, en zij die een resultaatverplichting hebben afgesproken. In dit verband kan worden opgemerkt dat de Wbp eist dat de privacy wordt gewaarborgd en niet dat men daar alleen zijn best voor doet.
niet verboden, maar de verantwoordelijke – dat is doorgaans de afnemer van de clouddiensten – heeft wel de verplichting aan de betrokkenen te informeren dat er buiten zijn blikveld nog een en
Ruim de helft van de respondenten kent het privacybeleid van zijn cloudaanbieder niet Van de respondenten geeft ruim 7 procent aan dat de aanbieder van clouddiensten zelf iets met de persoonsgegevens in de cloud doet. Dit is op zichzelf
ander gebeurt met de persoonsgegevens. Daarnaast is voor die extra verwerking de aanbieder van de clouddiensten zelf de verantwoordelijke, met alle ver-
Verantwoordelijke en bewerker In de zin van de Wbp is de verantwoordelijke degene die het doel en de middelen van de verwerking van de persoonsgegevens vaststelt. Doorgaans is dat de afnemer van de cloudtoepassingen. Als de aanbieder van de cloudtoepassing met de persoonsgegevens in de cloud eigen verwerkingen doet en andere toepassingen vindt, is de aanbieder van de cloudtoepassing voor die verwerkingen de verantwoordelijke.
14 - cloudworks - april 2011
De meeste regels betreffen de verantwoordelijke, maar de Wbp stelt ook enkele regels aan de zogenaamde bewerker. De bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan het rechtstreekse gezag van de verantwoordelijke te zijn onderworpen. In cloudtoepassingen zal doorgaans de aanbieder van clouddiensten de bewerker zijn in de zin van de Wbp.
plichtingen van dien. 52 procent van de respondenten heeft afgesproken dat de afnemer van de clouddiensten zelf niets met de persoonsgegevens mag doen. Toch nog altijd 37 procent van de ondervraagden weet het antwoord op deze vraag niet. Hoewel de afnemer van de clouddiensten veelal de verantwoordelijke is in de zin van de Wbp, en er daarom op de afnemer van de clouddiensten de meeste verplichtingen rusten die voortvloeien uit de Wbp, geeft een krappe meerderheid van 52 procent tegen 46 procent van de respondenten aan niet te weten wat het privacybeleid van hun cloudleverancier is.
Europese richtlijn De Wbp is de Nederlandse implementatie van een Europese richtlijn. De andere EU-landen hebben deze richtlijn ook geïmplementeerd. Deze opzet zorgt ervoor dat in ieder EU-land vrijwel dezelfde privacyregels gelden. De EU heeft naast de resterende landen van de Europese Economische Ruimte nog maar van een klein aantal andere landen aangegeven dat deze landen een voldoende beschermingsniveau voor de bescherming van de persoonsgegevens bieden1. Zodra persoonsgegevens wor-
den verwerkt buiten de EU of dat kleine aantal landen dat een passend beschermingsniveau biedt, zijn er extra regels. In het algemeen heeft de verantwoordelijke een vergunning nodig om de persoonsgegevens te mogen verwerken buiten de EU en het kleine aantal door de EU aangewezen landen. Voor bewerkers uit de Verenigde Staten geldt nog dat aangenomen wordt dat deze een passend beschermingsniveau bieden als zij over de zogenaamde ‘Safe Harbor’verklaring beschikken die afgegeven wordt door het Amerikaanse Ministerie van Handel. Overigens kan het ook nog eens zo zijn dat naast de Nederlandse wetgeving, ook nog de privacywetgeving van toepassing is van het land waar de verwerking plaatsvindt. Bij de public cloud is het vaak niet duidelijk in welke landen de verwerking precies plaatsvindt. In private of hybride varianten is dit overigens vaak beter inzichtelijk dan wel afdwingbaar. Toch is het voor de afnemer van de clouddiensten – die doorgaans verantwoordelijk zal zijn en op wie dus de meeste verplichtingen rusten – van belang van de leverancier te weten in welke landen de persoonsgegevens worden verwerkt of mogelijk worden verwerkt.
Op de vraag of men een vergunning heeft als vaststaat dat de verwerking plaatsvindt in een land buiten de EU of in een land waarvan vaststaat dat het geen passend beschermingsniveau biedt, antwoordt toch maar 5,5 procent van de respondenten bevestigend. 27,7 procent van de respondenten heeft een dergelijke vergunning niet. Maar liefst 51,8 procent van de respondenten weet het niet. De afnemer van clouddiensten is zoals gezegd doorgaans de verantwoordelijke. Het is om die reden aan te raden om als afnemer bij de leverancier een controle- of auditmogelijkheid op het naleven van de privacywetgeving te bedingen. 42,5 procent van de respondenten heeft afgesproken dat een dergelijke audit ook mogelijk is, 9,2 procent niet en 40,7 procent van de respondenten weet niet of hierover afspraken zijn gemaakt.
Publicaties De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek naar cloud computing in Nederland. Artikel 1 – verschenen in CloudWorks nr. 6/2010 De achtergrond van de respondenten, de status van de introductie van cloud computing in hun organisaties en de bijbehorende investeringsplannen. Artikel 2 – verschenen in CloudWorks nr. 1/2011 De keuzes van de respondenten waar het gaat om de inrichtingsvormen public, hybride versus private cloud en de dienstverleningsmodellen SaaS, PaaS en IaaS. Artikel 3 – verschenen in CloudWorks nr. 2/2011 Waarom overweegt men cloud computing? Welke drempels zijn er als het gaat om de toepassing van cloud computing? Artikel 4 – in dit nummer Juridische aspecten van de bescherming van persoonsgegevens in de cloud. Artikel 5 – in CloudWorks nr. 4/2011 Over de contractuele aspecten van cloud computing.
Conclusie Over de bekendheid met de wetgeving ten aanzien van de privacy van persoonsgegevens laat het onderzoek grofweg een tweedeling zien. Een grote groep van de respondenten van het onderzoek geeft aan goed op de hoogte te zijn van hun wettelijke verplichtingen die rusten op de verwerking van persoonsgegevens in hun cloud-computingtoepassing. Daarnaast is er een ongeveer even grote groep respondenten die wat dat Weet niet
40.7%
Ja, met inspanningsplicht
18.5%
Ja, met resultaatverplichting
18.5%
Nee
9.2%
Anders
7.4%
Geen antwoord
5.5%
betreft nog een slag te maken heeft. In het volgende artikel over de bekendheid van de juridische aspecten van cloud computing zal het contracteren worden belicht. CW Noten: 1 Dat zijn Andorra, Argentinië, Canada, Guernsey, Island of Man, Israël, Jersey, Uruguay en Zwitserland.
Figuur 2. Antwoorden van de respondenten op de onderzoeksvragen: ‘Zijn er processen die passende maatregelen ondersteunen, in geval van een incident dat de privacy of veiligheid beïnvloedt? Is er sprake van een inspanningsplicht aan de zijde van de leverancier, of een resultaatverplichting?’
april 2011 - cloudworks - 15
Onderzoek
Onderzoek cloud computing in Nederland (5)
Nog veel te winnen bij
contractering Voor cloud computing bestaat geen specifieke wet- en regelgeving. Dit betekent dat de rechtsverhouding tussen de aanbieder en de afnemer van clouddiensten vrijwel geheel wordt bepaald door het contract dat beide partijen zijn aangegaan. Maar waar moet een afnemer van cloud-computingdiensten zoal rekening mee houden en dus afspraken over maken? Is algemeen bekend wat in een contract over clouddiensten zoal zou moeten worden vastgelegd, of moet er nog een en ander aan de bewustwording worden gedaan? Afgelopen najaar voerde CloudWorks, in samenwerking met het organisatieadviesbureau Quint Wellington Redwood en het advocatenkantoor Hogan Lovells, een onderzoek uit naar het gebruik en de acceptatie van cloud computing in ons land. Hierin werden zowel IT- als financiële en juridische aspecten aan de orde gesteld. De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek. In deze vijfde aflevering worden een aantal aspecten rondom contracteren nader belicht. Door Rik Zagers en Frank de Vries Bij het aangaan van de contractuele relatie over clouddiensten is het van belang wat de onderhandelingspositie is van partijen. Zo zal een kleinere partij vaak genoegen moeten nemen met het standaardcontract of de standaardbepalingen van een grotere partij. Daarbij speelt overigens ook de inrichtingsvorm een rol (private, hybride, public) maar ook de mate van standaardisatie van de geboden dienst. Hoe meer men neigt naar een private cloud, hoe meer men contractueel sturing kan geven. Hoe meer gestandaardiseerd de dienst, hoe minder men kan sturen. Regelmatig zijn het overigens de bepalingen van de aanbieder van de clouddiensten die standaard worden overgenomen.
Standaardcontract Bij het afnemen van clouddiensten geeft 29,6 procent van de respondenten van het onderzoek aan gebruik te maken van een standaardcontract dat afkomstig is van de cloudleverancier. 31,4 procent vult een dergelijk standaardcontract aan met maatwerk, en in 33,3 procent van de gevallen komt de overeenkomst geheel
14 - cloudworks - mei 2011
als maatwerk tot stand. Ongeveer een derde van de afnemers van clouddiensten, al met al een groot deel, laat zich dus geheel leiden door de leverancier. Op zichzelf hoeven standaardcontracten niet per definitie nadelig te zijn, maar de opsteller van de standaardtekst – doorgaans de aanbieder van de clouddienst – zal zich vooral door zijn eigen belang hebben laten leiden, en niet zozeer zijn afgegaan op het belang van de andere partij.
Belang van het contract Als er sprake is van het verwerken van persoonsgegevens in de cloud, is de afnemer van de dienst doorgaans verantwoordelijk voor het in acht nemen van de privacywetgeving. Dit betekent in gevallen van verwerking van persoonsgegevens dat de afnemer van de clouddienst bij het aangaan van een contract aandacht moet besteden aan het vraagstuk of hij aan alle wettelijke plichten ten aanzien van de privacywetgeving kan voldoen. Maar ook als er geen sprake is van het verwerken van persoonsgegevens is het voor de afnemer van belang
op een aantal algemene aspecten goed te letten. Het belang van een evenwichtige overeenkomst is uiteraard groter naarmate het belang van de in de cloud ondergebrachte toepassing groter is, laat staan als de toepassing bedrijfskritisch is. Het verdient aanbeveling om bij het opstellen of het beoordelen van een contract advies in te winnen bij een ter zake kundige jurist. Als er door de aanbieder van de clouddiensten een mogelijkheid wordt geboden de standaardovereenkomst aan te passen, verdient het aanbeveling het contract als geheel mee te laten wegen in de keuze voor een bepaalde leverancier en toepassing.
Nadenken over beëindiging Aangezien veel van de geschillen over een contract gaan over de toestand die ontstaan is vlak na of door de (wens tot) beëindiging van de contractuele relatie, is het van het grootste belang tevoren al na te denken over hoe de overeenkomst kan worden beëindigd. Het contract moet waarborgen bieden dat aan
het eind van de relatie de continuïteit van de activiteiten van de afnemer van de dienst is gegarandeerd. Het is dus raadzaam vooraf al stil te staan bij een exitstrategie en hoe de afhankelijkheid van de aanbieder van de clouddienst beperkt wordt (zie het kader ‘Vragen omtrent exitstrategie’).
Afspraken gemaakt? 50 procent van de respondenten van het onderzoek geeft aan dat er niet is nagedacht hoe in geval van een dispuut de uitbestede diensten en data (snel) bij een andere aanbieder van clouddiensten zou kunnen worden ondergebracht. 44 procent van de respondenten heeft hierover wel afspraken gemaakt. Het spreekt verder voor zich dat als er eigen functionaliteit wordt ontwikkeld, dat de afnemer van de clouddiensten ook waarborgen zou moeten afspreken over de continuïteit van deze functionaliteit. Doet bijvoorbeeld de functionaliteit
het nog steeds als het platform van de aanbieder een upgrade krijgt? 33 procent van de respondenten geeft aan dat er voor dit soort gevallen afspraken zijn gemaakt, maar een even grote groep van 35 procent geeft aan dat dergelijke afspraken er niet zijn.
Risico’s en aansprakelijkheden Een ander belangrijk aspect betreft risico’s en aansprakelijkheden. Dit is door-
gaans maatwerk en hangt af van de wederzijdse belangen die er bij de betreffende clouddienst zijn. Stel bijvoorbeeld dat in de cloud een bedrijfskritieke toepassing wordt ondergebracht: Wat gebeurt er als deze toepassing voor een bepaalde periode niet toegankelijk is of – erger nog – als er bijvoorbeeld gegevens in handen van derden raken, verdwijnen of beschadigd raken door toedoen van de aanbieder? Wat als de afnemer van de clouddiensten aanspra-
Vragen omtrent exitstrategie Enkele vragen die men zich kan stellen met betrekking tot de exitstrategie: - Is duidelijk in welke gevallen, op welke manier en binnen welke termijnen er een einde gemaakt kan worden aan de contractuele relatie? - Is duidelijk bepaald wie deze relatie kan beëindigen? - Zijn er aan het beëindigen kosten verbonden of nadere voorwaarden? - Kan de afnemer van de clouddiensten aan het einde van de contractuele relatie beschikken over zijn gegevens en de functionaliteit? - In welke vorm, binnen welke termijn en tegen welke kosten krijgt hij daar dan de beschikking weer over of kan hij bij een ander terecht?
mei 2011 - cloudworks - 15
Onderzoek kelijk wordt gesteld door zijn klanten, kan hij op zijn beurt de aanbieder van de clouddiensten aansprakelijk stellen? En neemt de aanbieder dan mogelijk de vergoeding van de gehele schade op zich, of wordt dat door een contractbepaling gelimiteerd, of zelfs geheel uitgesloten? Er kunnen hierbij grote belangen en bedragen op het spel staan, en vaak kan tevoren al een goede inschatting worden gemaakt over hoe groot de waarde van een aansprakelijkheidsbepaling is. En wat zijn de verplichtingen van de aanbieder van de diensten bij kleine en grotere storingen of ten aanzien van onderhoud? Hoe is de bereikbaarheid van de aanbieder van de diensten? Heeft de aanbieder van de diensten bepaalde inspannings- of resultaatverplichtingen, bijvoorbeeld ten aanzien van de bevei-
de andere kant geeft nog steeds een aanzienlijk deel van de respondenten aan dat dit niet het geval is (zie figuur 1). De afnemer doet er goed aan hier op zijn minst heldere afspraken over te maken, en – beter nog – te bedingen dat de intellectuele eigendom alleen hem toekomt. Er kunnen ook werken waarop een recht van intellectuele eigendom rust, worden ondergebracht in de cloudtoepassing – zo kan een bepaalde innovatieve functionaliteit, door de klant ontwikkeld, worden gekoppeld aan een cloudplatform van de leverancier. Vooral bij IaaS en PaaS zal dat het geval kunnen zijn. De afnemer moet zich in dat geval ervan verzekeren dat zijn rechten worden gerespecteerd zonder dat daarbij op het kwaliteitsniveau wordt ingeboet.
Nogal eens worden de bepalingen van de aanbieder standaard overgenomen liging van de cloud? Het is zaak heldere en gedetailleerde afspraken te maken over het niveau van de dienstverlening (‘service level agreement’).
Intellectuele eigendom Het is ook noodzakelijk in het contract afspraken te maken op wie de intellectuele eigendom rust, vooral als er een nieuw recht van intellectuele eigendom kan voortvloeien uit de clouddienst. Dit kan bijvoorbeeld het geval zijn als de afnemer zelf functionaliteit ontwikkelt (platform as a service), of als de verzameling gegevens door een verwerking in de cloud een toegevoegde waarde krijgt waarop een recht van intellectuele eigendom rust. 44 procent van de respondenten geeft aan dat de intellectuele eigendom van zelfontwikkelde functionaliteit goed is beschermd, aan Ja
44.4%
Nee
24.0%
Anders
20.3%
Geen antwoord
11.1%
Het contract is bij voorkeur ook duidelijk over wie verantwoordelijk is voor het respecteren van de (intellectuele eigendoms-) rechten van derden. In de praktijk betekent dat: wie neemt waarop de benodigde licenties. De afnemer van diensten zal bijvoorbeeld onaangenaam verrast zijn door een derde te worden aangesproken op inbreuk voor (onderdelen van) diensten die hij afneemt van de aanbieder van de clouddiensten, die daar kennelijk geen licentie voor heeft. Dergelijke situaties kunnen overigens ook omgekeerd voorkomen.
Vertrouwelijkheid Ook de vertrouwelijkheid speelt een rol. Wat als de aanbieder, bedoeld of onbedoeld, iets openbaar maakt wat de afnemer van de clouddiensten als vertrouwelijk in de cloud heeft gestopt? En wat
Figuur 1. Is de intellectuele eigendom van door de klant zelf op een platform van de cloudprovider ontwikkelde functionaliteit goed beschermd?
16 - cloudworks - mei 2011
gebeurt er bij overtreding van de vertrouwelijkheidsbepaling? Staat daar een boete op? Welke maatregelen worden er getroffen ter bescherming en beveiliging van de gegevens in de cloud? Bij de hierna te bespreken persoonsgegevens komt daar nog eens de mogelijkheid van aansprakelijkheidsstelling door overheden of de betrokken personen in kwestie bij.
Locatie Het is van groot belang om te weten waar de (onderliggende hardware van de) clouddienst feitelijk is ondergebracht en waar gegevens in de cloud feitelijk worden opgeslagen, en dat ook contractueel vast te leggen. Er kan immers wet- en regelgeving van toepassing zijn van de landen waar de servers van de clouddiensten feitelijk staan. In sommige sectoren, denk bijvoorbeeld aan de financiële sector, kan dat gaan om uiteenlopende en verstrekkende weten regelgeving. Pas als bekend is welke landen betrokken zijn, kan bepaald worden welke wet- en regelgeving voor alle relevante jurisdicties van toepassing is. In dit algemene artikel zal verder niet op sectorspecifieke voorwaarden worden ingegaan, maar het onderstreept de noodzaak om juridisch kundig advies in te winnen bij het afnemen van een clouddienst. Het kennen van de landen waar de clouddienst daadwerkelijk plaatsvindt, geldt overigens in het bijzonder voor de verwerking van persoonsgegevens.
Persoonsgegevens Een bijzondere, maar wel zeer gangbare categorie van gegevens zijn de zogenaamde persoonsgegevens. Persoonsgegevens zijn alle gegevens die zijn te herleiden tot natuurlijke personen. Op het verwerken van persoonsgegevens is privacywetgeving van toepassing. In het vorige artikel is hierop al uitvoerig ingegaan (zie CloudWorks #3, april 2011). De Wet bescherming persoonsgegevens (Wbp) legt de meeste verplichtingen ten aanzien van de verwerking van persoonsgegevens op aan de zogenaamde verantwoordelijke, en daarnaast ook enkele verplichtingen aan de zogenaamde bewerker. De verantwoordelijke is degene die het doel en de middelen van de verwerking van persoonsgegevens vaststelt. Bij cloud computing is dat doorgaans de afnemer van de dienst.
Als de aanbieder van de dienst zelf nog verwerkingen uitvoert op de persoonsgegevens van de afnemer, dan is de aanbieder voor die verwerkingen ook verantwoordelijk in de zin van de Wbp, met alle verplichtingen van dien. Doorgaans zal de aanbieder van clouddiensten alleen als bewerker moeten worden beschouwd, dat wil zeggen degene die de verwerking van persoonsgegevens voor de verantwoordelijke uitvoert, zonder aan diens directe gezag te zijn onderworpen.
Welke bepalingen? Zoals eerder al gememoreerd maakt liefst 30 procent van de respondenten gebruik van een standaardcontract van de aanbieder van clouddiensten. Op welke bepalingen moet de verantwoordelijke, dus de afnemer van de diensten, toezien? In de eerste plaats op een passend beschermingsniveau. Gaat het in de cloud mis met de persoonsgegevens, bijvoorbeeld omdat zij door een hack bij een derde terechtkomen, of doordat de bewerker de persoonsgegevens onzorgvuldig behandelt, dan is de verantwoordelijke daar in beginsel voor aansprakelijk. Voor het bieden van een passend beschermingsniveau moeten er afdoende organisatorische en technische beveiligingsmaatregelen zijn getroffen. Het is zaak dat in het contract hier expliciet aandacht aan wordt besteed en dat de feitelijke situatie ook voldoet aan deze bepalingen. De afnemer van de clouddienst moet zich er zeker van kunnen stellen dat deze maatregel in acht worden genomen. Het verdient daarom aanbeveling om een mogelijkheid tot het doen van een audit vast te leggen in het contract. Bij het afsluiten van het contract met de aanbieder van de diensten, zal de afnemer zich dus van zijn verantwoordelijke rol bewust moeten zijn. Het verdient daarom aanbeveling dat de afnemer juist over het privacybeleid sturend optreedt in de onderhandelingen over het contract. Maar alhoewel de afnemer van de clouddiensten veelal de verantwoordelijke is in de zin van de Wbp, en er daarom op de afnemer van de clouddiensten de meeste verplichtingen rusten die voortvloeien uit de Wbp, geeft een krappe meerderheid van 52 tegen 46 procent van de respondenten aan
niet eens te weten wat het privacybeleid is van hun aanbieder van clouddiensten. Hoe concreter de afspraken over de beveiliging van de persoonsgegevens, hoe beter. Toch geeft 41 procent van de respondenten aan niet te weten of er sprake is van passende maatregelen in geval van een incident dat de privacy of de veiligheid beïnvloedt. 37 procent is hier wel zeker van, en van deze groep heeft de helft een inspanningsplicht afgespro-
ken met hun aanbieder. De andere helft heeft een resultaatverplichting. De Wbp eist overigens dat de privacy wordt gewaarborgd; een inspanningsverplichting volstaat niet!
Modelcontracten EU Overigens heeft de EU modelcontracten opgesteld voor wat betreft de waarborging van de privacy in de relatie tussen de verantwoordelijke en de bewerker.1 In de cloud komt dat doorgaans neer op
Safe harbor Het nevenstaande aangaande het privacybeleid is helemaal van belang als de verwerking van de persoonsgegevens buiten de Europese Economische Ruimte plaatsvindt, en ook buiten het kleine aantal landen waarvan de EU verder nog heeft bepaald dat deze landen een voldoende beschermingsniveau voor de bescherming van de persoonsgegevens bieden (zie CloudWorks #3, april 2011). Worden de persoonsgegevens buiten dit territorium gebracht en verder verwerkt, dan zal de verantwoordelijke ervoor moeten zorgen dat hij over de eventueel benodigde toestemming dan
wel vergunning voor de verwerking in dat buitenland beschikt, of in het geval van verwerkingen in de Verenigde Staten, dat hij een bewerker inschakelt die beschikt over een ‘Safe Harbor’-verklaring, afgegeven door het Amerikaanse ministerie van Handel. Bij de aanvraag voor een dergelijke vergunning, wordt concreet gekeken naar de maatregelen en afspraken die zijn gemaakt ten aanzien van de privacy. Overigens kan het ook nog eens zo zijn dat naast de Nederlandse wetgeving, ook nog de privacywetgeving van toepassing is van het land waar de verwerking plaatsvindt.
mei 2011 - cloudworks - 17
Connectivity of the Cloud
Onderzoek de relatie tussen de afnemer en de aanbieder van de clouddiensten. Bij de beoordeling van een vergunningsaanvraag wordt nauwkeurig gekeken in hoeverre de gemaakte afspraken afwijken van die in de door de EU opgemaakte standaardcontracten. Om het verkrijgen van een vergunning zo soepel mogelijk te maken wordt daarom aangeraden deze contracten zoveel als mogelijk over te nemen. Ook als er geen vergunning nodig is, is het raadzaam deze contracten in ieder geval erop na te slaan en als mogelijk ook te gebruiken, omdat de bepalingen van deze contracten in ieder geval waarborgen bieden voor een voldoende beschermingsniveau van de privacy bij de verwerking van persoonsgegevens.
Geschillen Als er een geschil ontstaat tussen de aanbieder en de afnemer van de clouddienst dat voorgelegd zou moeten worden aan een rechter (of arbiter), is de vraag aan welke instantie het geschil moet worden voorgelegd en volgens welk recht het geschil zal moeten worden beslecht. Cloud computing wordt beschouwd als een dienst en als hierover niets is afgesproken, zal volgens het Nederlandse (en overigens Europese) recht de bevoegde rechter de rechter zijn van de plaats waar de kenmerkende prestatie van die clouddienst wordt geleverd. Zonder duidelijke afspraken zou zomaar de rechter van de plaats waar de
Het is raadzaam tevoren stil te staan bij de exitstrategie servers staan zichzelf bevoegd kunnen achten voor een geschil en dat kan niet in het belang zijn van de afnemer van de clouddiensten. Het is zaak om in het contract een bepaling over forum- en rechtskeuze op te nemen.
Conclusie De relatie tussen de aanbieder en de afnemer van de clouddienst wordt voor een groot deel beheerst door de afspraken tussen beide. Het aangaan van een
Publicaties De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek naar cloud computing in Nederland. Artikel 1 – verschenen in CloudWorks nr. 6/2010 De achtergrond van de respondenten, de status van de introductie van cloud computing in hun organisaties en bijbehorende investeringsplannen.
Artikel 3 – verschenen in CloudWorks nr. 2/2011 Waarom overweegt men cloud computing? Welke drempels zijn er als het gaat om de toepassing van cloud computing?
Artikel 2 – verschenen in CloudWorks nr. 1/2011 De keuzes van de respondenten waar het gaat om de inrichtingsvormen public, hybride versus private cloud en de dienstverleningsmodellen SaaS, PaaS en IaaS.
Artikel 4 – verschenen in CloudWorks nr. 3/2011 Juridische aspecten van de bescherming van persoonsgegevens in de cloud.
18 - cloudworks - mei 2011
Artikel 5 – in dit nummer Over de contractuele aspecten van cloud computing.
standaardcontract is soms de enige optie, zeker waar het cloud computing in zijn puurste, publieke vorm betreft. Dit heeft het voordeel van eenvoud. Maar er is een aantal aspecten, met name ten aanzien van de beëindiging, de continuïteit, de aansprakelijkheid, het dienstverleningsniveau en de intellectuele eigendom dat in het algemeen bijzondere aandacht verdient. Als er sprake is van de verwerking van persoonsgegevens, dienen de partijen er acht op te slaan dat voor de privacy een passend beschermingsniveau wordt geboden. Een grote groep respondenten blijkt in de praktijk al afspraken te maken over deze onderwerpen, maar daarnaast is er een aanzienlijke groep die nog niet op deze aspecten let. Er is dus nog veel te winnen. CW Rik Zager (
[email protected]) is advocaat bij advocatenkantoor Hogan Lovells. Frank de Vries (
[email protected]) is partner bij Quint Wellington Redwood, een bureau voor organisatieadvies op het raakvlak van organisatie en IT. Noten: 1 Zie beschikkingen van de Europese Commissie 2002/16/EG, 2004/915/EG en 2010/87/EU met modelcontractbepalingen voor de doorgifte van persoonsgegevens.
TelecityGroup is Europa’s toonaangevende provider van premium netwerkonafhankelijke datacenters. We zijn gespecialiseerd in het ontwerpen, bouwen en beheren van robuuste, veilige omgevingen met hoge connectiviteit waar bedrijven hun bedrijfskritische web- en internet infrastructuren kunnen vestigen. Onze datacenters bevinden zich op de belangrijkste Europese connectiviteitsknooppunten. Een TelecityGroup datacenter is een dynamisch ‘digital ecosystem’ met directe toegang tot talrijke telecomoperators en contentdistributienetwerken, de grootste breedbandnetwerken, Europese internet exchanges en cloud hubs, waar het faciliteren van opslag, delen en distribueren van data, content, applications en media mogelijk is.
