Cloud Works www.cloudworks.nu | nummer 4 | mei 2011 | jaargang 2
HET Vakblad over cloud computing
WET- EN REGELGEVING in de cloud JURIDISCHE HOOFDLIJNEN in kaart
Leren van
HET AMAZONDEBACLE
EN VERDER: GRENZEN, WETTEN EN DE CLOUD | DATAREGULATIE IN DE EU | CLOUD VEREIST HELDER JURIDISCH KADER | ONDERZOEK: CONTRACTEN | UITWISSELING VAN GEVOELIGE INFORMATIE | OFFICE 365 | DE MOOISTE CLOUD-APP | TECHNET DAYS | KIEZEN TUSSEN CLOUD OF EIGEN DATACENTER | WETGEVING KAN CLOUDAANBIEDERS HELPEN | CLOUD IN HET ONDERWIJS
Colofon
Geen wolkje
aan de lucht?
Begin mei was ik, namens CloudWorks, op bezoek bij Business News Radio (BNR) voor een discussie over cloud computing. De aanleiding was de storing bij Amazon.com, waardoor de diensten van honderden bedrijven dagenlang niet of slecht bereikbaar waren. Ik was daar samen met mr. Walter van Holst, die IT-advies geeft vanuit juridisch oogpunt. Aan het begin van de uitzending, geleid door Herbert Blankesteijn, kwam Mathys van Abbe van het Nederlandse Mobypicture telefonisch in de uitzending. Mobypicture is een dienst waarmee je heel eenvoudig een foto van je mobiele telefoon online kunt zetten (of rechtstreeks twitteren). De EC2-tak van Amazons AWS lag er maar liefst drie dagen uit, waardoor ook Mobypicture vrijwel onbereikbaar was. Volgens Van Abbe is de schade moeilijk in geld uit te drukken. Op de vraag of het Amazon-debacle consequenties heeft voor de samenwerking, reageerde Van Abbe ontkennend: “Amazon heeft eigenlijk het bestaansrecht van Mobypicture gefaciliteerd.” Hij stelde dat Mobypicture te maken heeft met grote pieken en dalen wat betreft bezoek. Daar zitten soms flinke pieken bij als iemand iets bijzonders twittert, wat vervolgens wereldwijd wordt overgenomen. “Als je alles in huis draait, moet je dus een hele berg servers aan hebben staan om die piekmomenten op te vangen en daarvoor heb je heel diepe zakken nodig. Juist de schaalvoordelen van de cloud zijn voor ons essentieel.” Op onze vraag of de uitval voorkomen had kunnen worden door betere spreiding over de verschillende datacenters van Amazon (oostkust VS, westkust VS, EU/Ierland), reageerde Van Abbe dat destijds bewust voor de oostkust van de VS is gekozen omdat daarmee de Amerikaanse en Aziatische markt het snelst bediend kunnen worden. De diensten van Moby worden vanaf nu wel ondergebracht in verschillende ‘availability zones’. De problemen bij Amazon vormen niet de eerste grote cloudstoring, maar wel een van de ernstigste, met een onvoorspelbare impact op het vertrouwen in cloud computing. Reden voor CloudWorks-medewerker Michiel van Blommestein om een aantal bedrijven te polsen en na te gaan hoe de bekende 99,9 procent uptime (dus 0,01 procent uitval) kan worden voorkomen. Stof tot nadenken, op pagina 42. Los hiervan staat dit nummer in het teken van wet- en regelgeving. Een heikel punt, omdat clouddiensten meestal wereldwijd beschikbaar zijn, terwijl de lokale wetgeving specifieke eisen stelt – met name op het gebied van privacy. De centrale vraag daarbij is of cloud computing nu gebaat is bij meer of minder regels. U leest het in deze editie van CloudWorks.
CloudWorks maakt onderscheid tussen feit en fictie op het gebied van cloud computing en helpt organisaties om cloud computing optimaal in te zetten. Toezending van CloudWorks vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via
[email protected]. Hoofdredacteur: Jeroen Horlings,
[email protected] Uitgever: Arnoud van Gemeren,
[email protected] +31 (0)6 53 57 34 90 Postadres redactie: Maredijk 17, 2316 VR Leiden e-mail:
[email protected] Vormgeving: Ron Rossen Media Services Uitgeest B.V. Druk: Drukkerij Profeeling Kopij kan worden ingezonden in overleg met de redactie. Geplaatste artikelen vertegenwoordigen niet noodzakelijkerwijs de mening van de redactie. De redactie noch de uitgever aanvaarden enige aansprakelijkheid voor de inhoud van artikelen van derden, ingezonden mededelingen, advertenties en de juistheid van genoemde data en prijzen. Het kopiëren of overnemen van artikelen, geheel of gedeeltelijk, wordt aangemoedigd, maar is uitsluitend toegestaan na schriftelijke toestemming van de uitgever en onder vermelding van: ‘Overgenomen uit CloudWorks, de publicatie over cloud computing’, plus jaargang en nummer. © Copyright 2011 FenceWorks BV. CloudWorks is een uitgave van FenceWorks BV.
Jeroen Horlings, hoofdredacteur CloudWorks
[email protected]
mei 2011 - cloudworks -
Inhoud THEMA: Wet- en regelgeving 8-11 Grenzen, wetten en de cloud 12-13 Juridische hoofdlijnen in kaart 20-21 Cloud computing vereist helder juridisch kader
12 Juridische
hoofdlijnen in kaart
Wie cloud computing zegt, hoort telkens twee kanttekeningen. Zowel informatiebeveiliging als het rechtskader baart kennelijk dusdanige zorgen dat de weg naar het nieuwe leveringsmodel voor ict niet met rozen is geplaveid. Cloud computing blijft echter vooralsnog een bewegend doel nu deze dienstenmatrix verder evolueert en de Europese wetgever met geheel nieuwe privacyregels komt.
30-31 Dataregulatie in de EU
8
36
36-38 Liever wetgeving schrappen dan toevoegen
48
ONDERZOEK 13-18 Cloud computing: contracten
SECURITY 32-34 Uitwisseling van gevoelige informatie in de cloud
EVENTS 26-27 Office 365 29 De mooiste cloud-app
14 Onderzoek cloud
computing: contracten
Zodra er sprake is van tot natuurlijke personen te herleiden gegevens, is er sprake van persoonsgegevens. In nogal wat toepassingen van cloud computing is er sprake van verwerking van zulke gegevens en daarop is specifieke privacywetgeving. In dit slotartikel wordt aan de hand van dit onderzoek een aantal aspecten van deze wetgeving nader belicht.
40
20
TechNet Days
INTERVIEWS 24-25 APC: Kiezen tussen cloud of eigen datacenter
34
48-49 Rain Systems: Wet- en regelgeving
32
kan cloudaanbieders helpen
VASTE RUBRIEKEN 6-7 Nieuws 41
30 42 Het Amazon-debacle
COLUMNS
32
45 Gert Brouwer
Analisten, vakmedia en zelfs zwaargewichten als het Britse opinieblad The Economist hebben na de recente storing bij Amazon grote vraagtekens gezet bij de toekomst van cloud computing. Maar volgens specialisten maakt de crash vooral duidelijk dat klanten zelf verantwoordelijk zijn voor het robuust inrichten van hun ict-omgeving. Ook als ze voor cloud computing kiezen.
EN VERDER 23 Google Cloud Connect 42-44
Het Amazon-debacle
46-47 Cloud computing in het onderwijs:
- cloudworks - mei 2011
The Legal Look
46
geen toekomstmuziek mei 2011 - cloudworks -
Nieuws
UPC komt met werkplekken in de cloud Telecomdienstverlener UPC Business gaat werkplekken in de cloud aanbieden op basis van Microsoft Office 365. De oplossing is gericht op het MKB. De oplossing van UPC Business verzamelt de functionaliteiten van Office, SharePoint Online, Exchange Online en Lync Online in één cloudpakket. Het is nog onduidelijk wat de werkplekken gaan kosten, maar waarschijnlijk gaat UPC per gebruiker per maand afrekenen. UPC is niet het enige bedrijf dat werkplekken in
‘De cloud is
het hart van de IT-strategie’ De cloud is het hart van de IT-strategie van veel organisaties. Dit blijkt uit een onderzoek van Brocade en het Cloud Industry Forum. 48 procent van de ondervraagde Europese bedrijven zegt bezig te zijn met de implementatie van een cloudarchitectuur. Daarnaast verwacht 31 procent van de respondenten zich volgend jaar te gaan richten op planning en migratie naar een gedistribueerd computingmodel. Van de bedrijven die de cloud al ingezet hebben, zegt 85 procent dat ze cloud computing in de komende twaalf maanden gaan uitbreiden naar kritische bedrijfsprocessen zoals back-updiensten. Ook blijkt dat voor ruim 50 procent van de respondenten flexibiliteit de belangrijkste factor is om voor de cloud te kiezen. Operationele kostenbesparing is voor 16 procent van de organisaties de belangrijkste factor, terwijl voor 14 procent kapitale kostenbesparing de doorslag geeft. www.brocade.com www.cloudindustryforum.org
•
de cloud op basis van Office 365 gaat aanbieden. Eerder maakte KPN al be-
•
Grote storing treft
clouddiensten Amazon AWS
Een datacenter van Amazon dat wordt ingezet voor met name de EC2-dienst uit Amazon Web Services heeft recentelijk met grote problemen te maken gehad. Hierdoor waren onder andere de internetdiensten Quora, Reddit en Foursquare slecht of niet te bereiken. Het voorval is een pijnlijke situatie voor Amazon, dat Amazon Web Services aanbiedt als ‘pay per use’-model. Klanten betalen Amazon enkel voor het gebruik van capaciteit en doen zelf geen investeringen in hardware. Door deze manier van werken zijn klanten zelf niet verantwoordelijk voor de hardware en kunnen in geval van problemen enkel wachten tot de cloudprovider de problemen heeft opgelost. Extra pijnlijk is dat een deel van de data die verloren is gegaan tijdens de storing, niet meer terug te halen is. Amazon heeft gemeld dat 0,07 procent van de data in het datacenter in Virginia niet meer te herstellen is. Het bedrijf is nog bezig met informeren van alle betrokken klanten. Het is onduidelijk hoeveel mensen hierdoor data hebben verloren.
Menselijke fout tijdens upgrade Amazon heeft inmiddels aangegeven dat de problemen waarschijnlijk door een menselijke fout in een upgradeproces zijn ontstaan. Tijdens het upgraden werd dataverkeer tijdelijk via een andere router geleid. Helaas bleek deze router niet in staat de hoeveelheid da-
- cloudworks - mei 2011
kend dit soort werkplekken in samenwerking met Microsoft op de markt te willen brengen. Het bedrijf biedt dit aan onder de naam MKB Werkplek, dat onderdeel is van het zakelijke ictportfolio van KPN. De dienst is gericht op ondernemers in het MKB en biedt 1 tot 150 werkplekken aan. KPN rekent voor de dienst 50 euro per maand per gebruiker. Dit is inclusief beveiliging en back-up. www.upc.nl
taverkeer door te sturen, waardoor de router crashte. Door deze crash raakten verschillende onderdelen van het Elastic Block Store-opslagsysteem in de war, waardoor deze niet langer goed functioneerde. Hierbij bleven instances nieuwe spiegelbestanden aanmaken. Het kostte uiteindelijk enkele dagen voordat alle problemen waren verholpen.
Virtuele load balancers als clouddienst
Rackspace gaat virtuele load balancers aanbieden als clouddienst. Een ‘instance’ op basis van load-balancingsoftware van Zeus is beschikbaar vanaf 11 dollar per maand. Door gebruik te maken van de virtuele load balancers van Rackspace hoeven klanten deze niet meer zelf op een virtuele server te installeren. De virtuele instances worden kant-en-klaar geleverd. De instances zijn beschikbaar vanaf 11 euro per maand. Daarnaast brengt Rackspace kosten in rekening voor de hoeveelheid gelijktijdige verbindingen die per uur worden gelegd. Hierbij kost één verbinding 0,015 dollarcent. Helaas is de dienst nog niet beschikbaar in Europa, noch is duidelijk wanneer de dienst naar Europa komt. www.rackspace.nl
•
Wijzigingen moeten nieuwe storing AWS voorkomen Aangezien de problemen waarschijnlijk door een menselijke fout zijn veroorzaakt, wil Amazon het upgradeproces van haar clouddiensten verder automatiseren. Hierdoor moet de kans op herhaling kleiner worden, aangezien de kans op een menselijke fout wordt verminderd. Daarnaast biedt het bedrijf zijn klanten excuses aan en compenseert het deze groep door hen de mogelijkheid te geven tien dagen gratis gebruik te maken van de clouddiensten. Zie ook het artikel op pagina 42
•
Kabinet kiest voor gesloten cloud Het kabinet kiest er definitief voor een gesloten overheidscloud op te zetten. Dit zegt minister Donner van Binnenlandse Zaken en Koninkrijksrelaties in een brief aan de Tweede Kamer. In de brief geeft Donner aan dat de risico’s die verbonden zijn aan de publieke cloud nog te groot zijn om deze in te zetten voor de overheid. De risico’s waar het kabinet op doelt, hebben met name te maken met beveiliging. Hierbij speelt de opslag van data buiten Nederland een belangrijke rol, aangezien de Nederlandse wetgeving voor privacybescherming niet van toepassing is op data die in het buitenland wordt opgeslagen. Wel geeft Donner aan op kleine schaal te willen experimenteren met de public cloud. Hierbij denkt de minister onder andere aan in-
formatiediensten voor zowel burgers als bedrijven. Deze experimenten moeten worden geëvalueerd met behulp van een kosten-batenanalyse. Deze analyse moet de financiële gevolgen van de eventuele invoering van een public cloud in kaart brengen.
•
‘Google misleidt Amerikaanse overheid over clouddienst’
Google heeft de Amerikaanse overheid misleidt over de beveiligingsvoordelen van Google Apps. Dat claimt concurrent Microsoft in een aantal verklaringen op zijn website. Het Amerikaanse ministerie van Binnenlandse Zaken koos vorig jaar voor de cloudoplossing van Microsoft. Google besloot hierop de overheid aan te klagen. Deze rechtszaak moest leiden tot meer concurrentie tussen de aanbieders van clouddiensten. Tijdens deze rechtszaak gaf Google aan dat Google Apps Federal Information Security Ma-
nagement Act (FISMA) gecertificeerd is. Ook op zijn website geeft Google dit aan. Microsoft stelt nu dat dit niet klopt aangezien Google de FISMA-certificering alleen voor Google Apps Premier heeft gekregen. Deze certificering is niet geldig voor de versie van Google Apps die is gericht op overheden. Daarnaast stelt Microsoft dat Google weet dat deze certificering niet geldig is voor de overheidsversie van Google Apps,
aangezien het bedrijf hier een losse certificering voor heeft aangevraagd. Microsoft stelt daarom dat Google het Amerikaanse ministerie van Binnenlandse zaken heeft misleid. In een reactie laat Google weten dat de beschuldigingen vals zijn en dat de FISMA-certificering wel degelijk geldig is voor Google Apps voor overheden. Het bedrijf zegt dat Google Apps Premier en Google Apps Government identieke pakketten zijn, waarbij de overheidversie over twee extra veiligheidsfuncties beschikt. Hierdoor heeft de General Service Administration volgens Google besloten dat deze versie geen aparte certificering nodig heeft en de certificering dus voor beide pakketten geldig is. Microsoft blog: http://bit.ly/i4AJHs
•
mei 2011 - cloudworks -
Thema
Over grenzen, wetten en de cloud
de ‘nationale manoeuvreerruimte’. Maar zoals hieronder zal blijken, wordt er hard gewerkt om deze obstakels voor cloud computing inderdaad te verwijderen.
Cloud blijkt
Wetgeving uit 1995 De problemen worden veroorzaakt door verouderde wetgeving. Het directief waarin Brussel de regels voor digitale privacybescherming vastlegt – Directief Databescherming 95/46/EC genaamd – dateert in zijn oorspronkelijke vorm van 24 oktober 1995. Dat was het begin van het publieke internet, de tijd van modems en inbellijnen en betalen per minuut voor de verbinding. Online overheidsdiensten bestonden niet of nauwelijks. In die tekst wordt al nadrukkelijk ingegaan op de bestaande verschillen in digitale privacywetgeving binnen de diverse lidstaten, die ‘Brussel natuurlijk niet zo maar van tafel kan vegen. Inmiddels zijn we ruim vijftien jaar verder en ziet de digitale wereld er anders, maar dan ook héél anders uit: sociale netwerken, software as a service, mogelijkheden voor online dataopslag, digitale patiëntendossiers, internettelefonie, cloudoplossingen en dat alles draaiend over glasvezelnetwerken. Deze nieuwe constellatie doet de bestaande wetgeving uiteraard in zijn voegen kraken.
juridisch mijnenveld Allemaal leuk en aardig die clouds van tegenwoordig, maar er kleven wel bezwaren aan op het gebied van onder meer privacybescherming en bescherming van intellectueel eigendom. Dit komt vooral doordat Europese regelgeving daaromtrent dateert van 1995, toen internet net van de grond begon te komen. In dit artikel kijken we naar enkele juridische haken en ogen van de cloud en naar de oplossingen die worden aangedragen. Door Paul Matthijsse, freelance journalist Werken met een cloudomgeving roept nogal wat vragen op. Bijvoorbeeld mógen persoonsgegevens van Nederlandse burgers wel worden opgeslagen op harde schijven die zich fysiek in Duitsland bevinden? En welk economisch risico loopt een Nederlands bedrijf dat zijn ontwerptekeningen ‘ergens’ in de cloud opslaat op het moment dat een Britse rechter besluit dat de AmerikaansBritse cloudprovider inzage in zijn harde schijven moet geven, omdat deze provider verdacht wordt strafbare content op zijn servers te hosten? Krijgt iemand die tekeningen daardoor ook onder ogen? En hoe vertrouwelijk wordt daarmee omgesprongen? Dan is er nog het auditverhaal. Kan een bedrijf onomstotelijk aantonen dat de toegang tot gegevens die in de cloud zijn opgeslagen overeenkomstig het gevoerde veiligheidsbeleid verloopt? Een recent onderzoek van Courion, waarover later meer, geeft alvast het antwoord: dat kan steeds en steeds minder. Op juridisch gebied blijkt onze onvolprezen cloud dus nogal wat haken en ogen te hebben. Volgens EuroCloud, de club die zich opwerpt
- cloudworks - mei 2011
als belangenbehartiger van Europese cloudgebruikers, vormt de huidige situatie dan ook niets minder dan een juridisch mijnenveld. Voor sommige bedrijven en overheidsinstellingen reden genoeg om gevoelige gegevens op dit moment niet in een openbare cloud onder te brengen. Maar dit betekent weer dat deze groep gebruikers niet over de praktische voordelen van een cloudaanpak kan beschikken en dat remt weer potentiële innovatie.
Data als geld
Actie vanuit Brussel Ook ‘Brussel’ heeft dit uiteraard al langere tijd in de gaten. In een toespraak in januari jongstleden tijdens het World Economic Forum in Davos beloofde
drijfsleven heeft daar belang bij en de Europese burger ook; bovendien past de juridische facilitering van cloud-com-
De nieuwe digitale wereld doet de bestaande wetgeving in zijn voegen kraken mevrouw Smit-Kroes dat Europa snel maatregelen zal nemen om deze juridische verwarring zo snel mogelijk de wereld uit te helpen. Het Europese be-
puting prima binnen de Digitale Agenda die onder meer ten doel heeft om elke Europeaan toegang tot internet te bieden. Vorig jaar drong een bedrijf als Mi-
crosoft al aan op een snelle wijziging van de Europese regels. Dat gebeurde bij monde van Brad Smith, de topjurist van het bedrijf. Hij beklaagde zich erover dat het voor een niet-Europees bedrijf vrijwel ondoenlijk is om clouddiensten in Europa aan te bieden, omdat het zich dan aan niet-geharmoniseerde wetgeving van 27 landen dient te houden. Smith wees er bijvoorbeeld op dat de regelgeving met betrekking tot dataretentie niet consistent is. Het ene EUland stelt als eis dat serviceproviders het
e-mailverkeer van hun klanten (alleen de adressen, niet de inhoud) gedurende zes maanden moeten bewaren, terwijl een ander EU-land deze termijn op twee jaar stelt. Dit betekent dat een aanbieder van een grensoverschrijdende e-maildienst die in de cloud draait volautomatisch over de schreef gaat. Dat deze wetgeving niet geharmoniseerd is, komt simpelweg door het feit dat de Europese landen een zekere ruimte hebben om de regels uit Brussel meer of minder strikt te interpreteren, oftewel de beken-
Peter Hustinx is de Europese supervisor voor databescherming, een onafhankelijke toezichthouder op de juiste toepassing van Europese privacyregels door de lidstaten. In een toespraak voor het Europees Parlement tijdens de derde Europese Cyber Security Awareness Day in april vorig jaar, ging hij uitgebreid in op het verschijnsel cloud computing en de uitdagingen die dat voor een wetgever met zich meebrengt. De centrale vraag was: biedt het huidige juridische raamwerk voldoende instrumenten om de privacy van persoonlijke data in de grensoverschrijdende cloud te waarborgen? Antwoord: dat is maar ten dele het geval. In principe zijn fysiek in Europa gevestigde cloudaanbieders gehouden aan de regels van genoemd Directief Databescherming. Maar Amerikaanse aanbieders van clouddiensten die Europese klanten willen bedienen, vallen weer niet onder de Europese regels. En dat maakt het voor Europese bedrijven weer onmogelijk om zaken te doen met een fysiek in de VS gevestigde cloudle-
mei 2011 - cloudworks -
Thema verancier, omdat daar andere privacyregels gelden die niet conform de Europese zijn. Een Amerikaans bedrijf als Rackspace heeft dit dilemma onlangs opgelost door een nieuw datacenter in het Verenigd Koninkrijk te openen. Rackspace kan daarmee zijn Europese klanten garanderen dat hun data de Europese ruimte niet verlaat. Vanuit cloudtechnisch oogpunt is het natuurlijk enigszins bizar dat een bedrijf vanwege regelgeving gedwongen wordt een nieuw datacenter te bouwen, terwijl dezelfde diensten al lang en breed via bestaande datacenters geleverd kunnen worden. De cloud is immers een grenzeloos concept – by design! In dit verband suggereert het eerder genoemde EuroCloud om data net zo te gaan behandelen als geld. Wie online een bankrekening opent en daar geld op stort, heeft ook geen flauw idee waar dat geld zich fysiek bevindt. Die locatie is niet belangrijk, het enige wat telt, is dat er een overeenkomst tussen bank en klant bestaat die aan nationale wetgeving onderhevig is. EuroCloud pleit er dus voor het hele verhaal over het belang van de locatie van de data los te laten. Daar zit zeker wat in. Hustinx stipte nog een ander punt aan dat van belang is om vast te stellen of een cloudaanbieder al dan niet aan Europese regels voldoet. Dat gaat er dan om wat een cloudaanbieder precies met de data doet. Dit geeft namelijk antwoord op de juridisch relevante vraag of de cloudaanbieder als een datacontroller (eigenaar) of als dataprocessor (verwerker) beschouwd moet worden. Afhankelijk van de geleverde
gelgeving aan te passen om cloud computing een juridisch dichtgetimmerd kader te bieden. Het beveelt vooralsnog aan om privacygevoelige overheidsdata op de duurdere privéclouds te bewaren en verwerken, terwijl minder gevoelige informatie in de publieke cloud kan worden geparkeerd.
WildWestCloud
formed decision genaamd, dateert van januari 2011 en wil – zoals de ondertitel al aangeeft – het senior management van de diverse lidstaten helpen de juiste afweging te maken om al dan niet met cloudtechnologie in zee te gaan en indien ja, welk type cloud voor welke situaties het best geschikt is. Het rapport is gebaseerd op de input van ruim twintig experts uit het bedrijfsleven en de technische wetenschappen en stelt dat cloudtechnologie een zeer interessante optie is voor overheidslichamen vanwege de schaalbaarheid, elasticiteit, snelheid en redundantie, gecombineerd met kostenvoordelen. Maar de belangrijkste uitdaging is om de risico’s op het gebied van privacy en redundantie goed te begrijpen, omdat het ‘aflevermodel’ door de cloud is veranderd. Dat heeft grote
De cloud van vandaag heeft veel weg van een wildwestsituatie dienst kan dat de een, de ander of beide zijn. Voor beide entiteiten gelden weer enigszins andere regels met betrekking tot privacybescherming.
ENISA Dan is er nog een zeer lijvig rapport van de European Network and Information Security Agency (ENISA) – ook wel bekend als de Europese cyberwaakhond – waarin wordt onderzocht of het cloudmodel ingezet kan worden door Europese overheden en overheidsinstanties. Dit rapport Security and Resilience in Governmental Clouds – Making an in-
10 - cloudworks - mei 2011
gevolgen voor de juridisch belangrijke vraag wie er op zeker moment verantwoordelijk is voor een bepaalde dataset (‘accountability’), bijvoorbeeld de gemeentelijke database van een middelgrote stad met de NAW-gegevens van alle inwoners van die stad. Het risico van de cloud is dat overheidsinstanties het zicht op en de controle over hun data kunnen verliezen. Daarom pleit de ENISA voor meer transparantie: in contracten met cloudaanbieders moet deze verantwoordelijksheidsvraag expliciet worden beantwoord. Het rapport eindigt met de oproep om de Europese re-
Dat de cloud op auditgebied voor de nodige onduidelijkheid zorgt, blijkt ook uit een onderzoek dat de Amerikaanse compliancespecialist Courion afgelopen oktober onder 384 businessmanagers heeft gehouden. Het overgrote merendeel van deze managers was werkzaam bij bedrijven met meer dan duizend werknemers over de hele wereld. Conclusie: cloudadoptie gaat sneller dan het bijstellen van de security controls en de cloud van vandaag heeft dan ook veel weg van een wildwestsituatie. De cijfers die uit deze 2010 Access Assurance Survey naar voren komen, zijn dan ook op z’n zachtst gezegd verontrustend. Bijna de helft van de ondervraagden zegt er geen vertrouwen in te hebben dat een compliance-audit van hun cloudapplicaties zou uitwijzen dat de toegangscontrole tot die applicaties – en dus de data – goed is geregeld. Meer dan driekwart van de ondervraagden geeft aan niet te weten wie er verantwoordelijk zou moeten zijn voor data die in de cloud is opgeslagen. 65 procent meent dat de eigenaar van de data, de applicatieleverancier en de cloudprovider alle drie verantwoording dragen voor de databescherming, terwijl 13 procent aangeeft hier niet zeker van te zijn. Er blijkt geen consensus te bestaan over welke partij de eindverantwoordelijkheid voor de data draagt. Maar liefst 61 procent zegt ‘weinig of geen zicht’ te hebben tot welke systemen of applicaties hun medewerkers toegang hebben. Het onderzoek concludeert dat met de komst van de cloud dit soort problematiek alleen maar is toegenomen. Uit bovenstaande zal duidelijk geworden zijn dat cloud computing wringt met de huidige wetgeving. Juist omdat het een grensoverschrijdend concept is en omdat het zo nieuw is, zitten wetgevers tijdelijk met de handen in het haar. Maar onder druk van de markt en van gebruikers zal dit ongetwijfeld snel ten goede veranderd zijn. CW
Thema
Juridische hoofdlijnen
tot doel heeft de persoon in kwestie te beschermen en een informationeel zelfbeschikkingsrecht te geven. Degene die verantwoordelijk is voor de gegevensverwerking moet onder meer ‘passende technische en organisatorische maatregelen ten uitvoer leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking’. De beveiligingsverplichting strekt zich uit tot alle onderdelen van het proces van gegevensverwerking – van het aanmaken tot de opslag, archivering en vernietiging – en betreft zowel de verantwoordelijke (de eigenaar) als de (cloudservice)verwerker.
cloud computing in kaart Wie cloud computing zegt, hoort telkens twee kanttekeningen. Zowel informatiebeveiliging als het rechtskader baart kennelijk dusdanige zorgen dat de weg naar het nieuwe leveringsmodel voor ict niet met rozen is geplaveid. Waarschijnlijk ligt de oorzaak mede in onwetendheid. Cloud computing blijft echter vooralsnog een bewegend doel nu deze dienstenmatrix verder evolueert, standaarden en best practices volop in ontwikkeling zijn, en de Europese wetgever met geheel nieuwe privacyregels komt. Toch helpt de identificatie van waterscheidingen bij een pragmatische aanpak om wolkenautomatisering juridisch te benaderen. Door Mr. V.A. de Pous, bedrijfsjurist en industrieanalist We beseffen niet altijd dat ontwikkelingen rap gaan en bovendien divers van aard zijn: technisch, organisatorisch, financieel, bedrijfseconomisch en maatschappelijk. Verder weegt mee dat tot voorheen strak gescheiden zaken tegenwoordig door elkaar lopen of zich vermengen. Neem de verhouding tussen werk en privé of het handelen als consument of uit hoofde van een beroep of bedrijf. Samenvattend constateren we verwarring alom; ook over cloud computing als nieuwe leveringswijze voor ict, het juridisch raamwerk incluis. Software, rekenkracht en gegevensopslag worden als een automatisch schaalbare en elastische dienst op afroep geleverd en zijn door middel van virtualisatietechnieken losgekoppeld van de fysieke computerfaciliteiten in datacenters. Hierdoor krijgt deze op internet gebaseerde gegevensverwerking een ‘vloeibaar’ en vaak grensoverschrijdend karakter, terwijl de gebruikersorganisatie vooral bij uitbesteding zeggenschap en controle inlevert. Deze kenmerken kunnen met rechtsnormen botsen.
12 - cloudworks - mei 2011
Zelf doen of uitbesteding Volgens het National Institute of Standards and Technology (NIST) in de Verenigde Staten betreft cloud computing de elastische schaalbaarheid van de verwerkings-, netwerk- en opslagcapaciteiten (computerbronnen), die worden gedeeld en op afroep door middel van automatische zelfbediening geleverd. Hoewel voorstanders als regel de positieve financiële en budgettaire aspecten benadrukken die door technologische efficiencyverbetering ontstaan, faciliteert dit leveringsmodel tijd- en plaatsonafhankelijk handelen in optima forma. Denk aan werken, besturen, zakendoen en natuurlijk activiteiten voor en in ons privéleven. Het feit dat cloud computing zowel technologisch als bedrijfsmatig fundamenteel iets anders is, wil daarom niet zeggen dat de rechtsaspecten afwijken. Maar wie al denkend de Amerikaanse definitie in het vizier houdt, begrijpt al snel dat het juridische raamwerk voor cloud computing zich daadwerkelijk onderscheidt van dat
voor het klassieke leveringsmodel voor gegevensverwerking – vooral wanneer we het over een uitbestedingsrelatie hebben, dus wanneer een gebruikersorganisatie een dienst afneemt van een cloudserviceprovider. In dit geval heeft de gebruikersorganisatie in de regel: - geen controle over en kennis van de geleverde ict-onderdelen en het virtuele informatiesysteem als geheel; - geen controle over en kennis van de exacte locatie van de geleverde ictonderdelen en het virtuele informatiesysteem; - een sterke afhankelijkheidssituatie ten opzichte van de cloudserviceprovider en de gebruikte technologie, mede omdat met name bij SaaS, zowel de ict-onderdelen als de bedrijfsinformatie letterlijk in handen van deze leverancier en hun toeleveranciers zijn.
Nationaal of grensoverschrijdend
Product of dienst Zowel de feitelijke en technologische aspecten van het leveringsmodel zorgen voor juridische veranderingen. Zo wordt er immers geen product, maar een dienst geleverd, ontvangt de gebruiker doorgaans geen fysiek exemplaar van de software die hij op afstand gebruikt, en vraagt de licentieverlening van computerprogramma’s bij virtualisatie om andere modellen nu de een-op-eenrelatie met apparatuur en besturingssysteem niet langer bestaat. Of we ons nu tot de ´klassieke´ dienstenmatrix beperken – software, platform en infrastructuur – of uitgaan van ´everything as a service´, per definitie zijn contracten voor cloud computing duurovereenkomsten. Bij gebreke van contractuele of wettelijke bepaling is de duurovereenkomst alleen opzegbaar wanneer er een voldoende zwaarwegende grond voor opzegging bestaat of wanneer er een redelijke opzegtermijn in acht wordt genomen. Hierbij moeten alle relevante omstandigheden van het geval in aanmerking worden genomen, waaronder de duur van de overeenkomst.
Technologie of gegevens Elektronische technologie ziet toe op de notoire bits en bytes, uiteindelijk zelfs op enen en nullen. Maar er is wel degelijk verschil. Gaat het om een computerprogramma of om gegevens? Die vraag speelt niet alleen in technologisch perspectief een centrale rol; het rechtskader brengt scherp onderscheid aan tussen softwarecode en informatie in digitale vorm. Met deze juridische waterscheiding hebben aanbieders en afnemers van cloud-computingdiensten in al haar omvang te maken. Zo gelden er legislatief bezien (beschermings)regels voor computerprogramma´s die primair ten goede komen aan de producenten, met uitzondering van enkele basisrechten voor gebruikers (licentienemers), zoals het recht op het maken van een reservekopie. Voor informatie is de aard van de gegevens bepalend voor het toepasselijke wettelijke kader.
Het fiscaal recht ziet bedrijfsinformatie nogal ruim. Zo geldt op grond van het Burgerlijk Wetboek en de Algemene wet inzake rijksbelastingen (AWR) de algemene fiscale bewaarplicht van zeven jaar voor alle bedrijfsinformatie die van belang is voor de belastingheffing, facturen en meer, zoals contracten en correspondentie.
Gegevens of persoonsgegevens Een belangrijke piketpaal vormt het onderscheid tussen persoonsgegevens – klantengegevens en personeelsinformatie – en andere bedrijfsinformatie. Denk aan technische en commerciële bedrijfsgeheimen, financiële gegevens en voorraadinformatie. Een persoonsgegeven is volgens de wet een gegeven dat herleidbaar is tot een identificeerbaar natuurlijk persoon. Daarvoor geldt een omvangrijk juridisch kader dat
Nog een waterscheiding: op grond van het Nederlandse recht mogen persoonsgegevens niet zonder toestemming van het ministerie van Justitie buiten de Europese Economische Ruimte (EER) worden verwerkt. Deze jurisdictie ziet toe op de 27 lidstaten van de EU plus IJsland, Noorwegen en Liechtenstein. Maar ook het communautaire binnenland vraagt om extra aandacht. We constateren namelijk verschillen bij de uitvoering van de Europese privacyregels (onderscheid in de regelgeving zelf, bijvoorbeeld ten aanzien van bewaartermijnen) en onduidelijkheid over de vraag van welke lidstaat de regels in het concrete geval gelden (welk nationaal recht is van toepassing?)
Tot slot De vraag of nieuwe wetgeving met het oog op cloud computing gewenst is, is voor wat betreft de (harmonisatie van) regels voor de verwerking van persoonsgegevens in Europa een gepasseerd station. De Europese Commissie werkt aan een grondige herziening van het privacyrecht, waarvan we de blauwdruk nog dit jaar onder ogen krijgen. Daarnaast onderzoekt Brussel of overheden een grotere rol moeten spelen bij standaardisatie van cloudtechnologie, zoals interfaces, gegevensindelingen (data formats), om interoperabiliteit te realiseren. Welke wetgeving er komt en wat voor impact dat heeft op cloud computing, valt nog te bezien. CW
mei 2011 - cloudworks - 13
Onderzoek
Onderzoek cloud computing in Nederland (5)
Nog veel te winnen bij
contractering Voor cloud computing bestaat geen specifieke wet- en regelgeving. Dit betekent dat de rechtsverhouding tussen de aanbieder en de afnemer van clouddiensten vrijwel geheel wordt bepaald door het contract dat beide partijen zijn aangegaan. Maar waar moet een afnemer van cloud-computingdiensten zoal rekening mee houden en dus afspraken over maken? Is algemeen bekend wat in een contract over clouddiensten zoal zou moeten worden vastgelegd, of moet er nog een en ander aan de bewustwording worden gedaan? Afgelopen najaar voerde CloudWorks, in samenwerking met het organisatieadviesbureau Quint Wellington Redwood en het advocatenkantoor Hogan Lovells, een onderzoek uit naar het gebruik en de acceptatie van cloud computing in ons land. Hierin werden zowel IT- als financiële en juridische aspecten aan de orde gesteld. De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek. In deze vijfde aflevering worden een aantal aspecten rondom contracteren nader belicht. Door Rik Zagers en Frank de Vries Bij het aangaan van de contractuele relatie over clouddiensten is het van belang wat de onderhandelingspositie is van partijen. Zo zal een kleinere partij vaak genoegen moeten nemen met het standaardcontract of de standaardbepalingen van een grotere partij. Daarbij speelt overigens ook de inrichtingsvorm een rol (private, hybride, public) maar ook de mate van standaardisatie van de geboden dienst. Hoe meer men neigt naar een private cloud, hoe meer men contractueel sturing kan geven. Hoe meer gestandaardiseerd de dienst, hoe minder men kan sturen. Regelmatig zijn het overigens de bepalingen van de aanbieder van de clouddiensten die standaard worden overgenomen.
Standaardcontract Bij het afnemen van clouddiensten geeft 29,6 procent van de respondenten van het onderzoek aan gebruik te maken van een standaardcontract dat afkomstig is van de cloudleverancier. 31,4 procent vult een dergelijk standaardcontract aan met maatwerk, en in 33,3 procent van de gevallen komt de overeenkomst geheel
14 - cloudworks - mei 2011
als maatwerk tot stand. Ongeveer een derde van de afnemers van clouddiensten, al met al een groot deel, laat zich dus geheel leiden door de leverancier. Op zichzelf hoeven standaardcontracten niet per definitie nadelig te zijn, maar de opsteller van de standaardtekst – doorgaans de aanbieder van de clouddienst – zal zich vooral door zijn eigen belang hebben laten leiden, en niet zozeer zijn afgegaan op het belang van de andere partij.
Belang van het contract Als er sprake is van het verwerken van persoonsgegevens in de cloud, is de afnemer van de dienst doorgaans verantwoordelijk voor het in acht nemen van de privacywetgeving. Dit betekent in gevallen van verwerking van persoonsgegevens dat de afnemer van de clouddienst bij het aangaan van een contract aandacht moet besteden aan het vraagstuk of hij aan alle wettelijke plichten ten aanzien van de privacywetgeving kan voldoen. Maar ook als er geen sprake is van het verwerken van persoonsgegevens is het voor de afnemer van belang
op een aantal algemene aspecten goed te letten. Het belang van een evenwichtige overeenkomst is uiteraard groter naarmate het belang van de in de cloud ondergebrachte toepassing groter is, laat staan als de toepassing bedrijfskritisch is. Het verdient aanbeveling om bij het opstellen of het beoordelen van een contract advies in te winnen bij een ter zake kundige jurist. Als er door de aanbieder van de clouddiensten een mogelijkheid wordt geboden de standaardovereenkomst aan te passen, verdient het aanbeveling het contract als geheel mee te laten wegen in de keuze voor een bepaalde leverancier en toepassing.
Nadenken over beëindiging Aangezien veel van de geschillen over een contract gaan over de toestand die ontstaan is vlak na of door de (wens tot) beëindiging van de contractuele relatie, is het van het grootste belang tevoren al na te denken over hoe de overeenkomst kan worden beëindigd. Het contract moet waarborgen bieden dat aan
het eind van de relatie de continuïteit van de activiteiten van de afnemer van de dienst is gegarandeerd. Het is dus raadzaam vooraf al stil te staan bij een exitstrategie en hoe de afhankelijkheid van de aanbieder van de clouddienst beperkt wordt (zie het kader ‘Vragen omtrent exitstrategie’).
Afspraken gemaakt? 50 procent van de respondenten van het onderzoek geeft aan dat er niet is nagedacht hoe in geval van een dispuut de uitbestede diensten en data (snel) bij een andere aanbieder van clouddiensten zou kunnen worden ondergebracht. 44 procent van de respondenten heeft hierover wel afspraken gemaakt. Het spreekt verder voor zich dat als er eigen functionaliteit wordt ontwikkeld, dat de afnemer van de clouddiensten ook waarborgen zou moeten afspreken over de continuïteit van deze functionaliteit. Doet bijvoorbeeld de functionaliteit
het nog steeds als het platform van de aanbieder een upgrade krijgt? 33 procent van de respondenten geeft aan dat er voor dit soort gevallen afspraken zijn gemaakt, maar een even grote groep van 35 procent geeft aan dat dergelijke afspraken er niet zijn.
Risico’s en aansprakelijkheden Een ander belangrijk aspect betreft risico’s en aansprakelijkheden. Dit is door-
gaans maatwerk en hangt af van de wederzijdse belangen die er bij de betreffende clouddienst zijn. Stel bijvoorbeeld dat in de cloud een bedrijfskritieke toepassing wordt ondergebracht: Wat gebeurt er als deze toepassing voor een bepaalde periode niet toegankelijk is of – erger nog – als er bijvoorbeeld gegevens in handen van derden raken, verdwijnen of beschadigd raken door toedoen van de aanbieder? Wat als de afnemer van de clouddiensten aanspra-
Vragen omtrent exitstrategie Enkele vragen die men zich kan stellen met betrekking tot de exitstrategie: - Is duidelijk in welke gevallen, op welke manier en binnen welke termijnen er een einde gemaakt kan worden aan de contractuele relatie? - Is duidelijk bepaald wie deze relatie kan beëindigen? - Zijn er aan het beëindigen kosten verbonden of nadere voorwaarden? - Kan de afnemer van de clouddiensten aan het einde van de contractuele relatie beschikken over zijn gegevens en de functionaliteit? - In welke vorm, binnen welke termijn en tegen welke kosten krijgt hij daar dan de beschikking weer over of kan hij bij een ander terecht?
mei 2011 - cloudworks - 15
Onderzoek kelijk wordt gesteld door zijn klanten, kan hij op zijn beurt de aanbieder van de clouddiensten aansprakelijk stellen? En neemt de aanbieder dan mogelijk de vergoeding van de gehele schade op zich, of wordt dat door een contractbepaling gelimiteerd, of zelfs geheel uitgesloten? Er kunnen hierbij grote belangen en bedragen op het spel staan, en vaak kan tevoren al een goede inschatting worden gemaakt over hoe groot de waarde van een aansprakelijkheidsbepaling is. En wat zijn de verplichtingen van de aanbieder van de diensten bij kleine en grotere storingen of ten aanzien van onderhoud? Hoe is de bereikbaarheid van de aanbieder van de diensten? Heeft de aanbieder van de diensten bepaalde inspannings- of resultaatverplichtingen, bijvoorbeeld ten aanzien van de bevei-
de andere kant geeft nog steeds een aanzienlijk deel van de respondenten aan dat dit niet het geval is (zie figuur 1). De afnemer doet er goed aan hier op zijn minst heldere afspraken over te maken, en – beter nog – te bedingen dat de intellectuele eigendom alleen hem toekomt. Er kunnen ook werken waarop een recht van intellectuele eigendom rust, worden ondergebracht in de cloudtoepassing – zo kan een bepaalde innovatieve functionaliteit, door de klant ontwikkeld, worden gekoppeld aan een cloudplatform van de leverancier. Vooral bij IaaS en PaaS zal dat het geval kunnen zijn. De afnemer moet zich in dat geval ervan verzekeren dat zijn rechten worden gerespecteerd zonder dat daarbij op het kwaliteitsniveau wordt ingeboet.
Nogal eens worden de bepalingen van de aanbieder standaard overgenomen liging van de cloud? Het is zaak heldere en gedetailleerde afspraken te maken over het niveau van de dienstverlening (‘service level agreement’).
Intellectuele eigendom Het is ook noodzakelijk in het contract afspraken te maken op wie de intellectuele eigendom rust, vooral als er een nieuw recht van intellectuele eigendom kan voortvloeien uit de clouddienst. Dit kan bijvoorbeeld het geval zijn als de afnemer zelf functionaliteit ontwikkelt (platform as a service), of als de verzameling gegevens door een verwerking in de cloud een toegevoegde waarde krijgt waarop een recht van intellectuele eigendom rust. 44 procent van de respondenten geeft aan dat de intellectuele eigendom van zelfontwikkelde functionaliteit goed is beschermd, aan Ja
44.4%
Nee
24.0%
Anders
20.3%
Geen antwoord
11.1%
Het contract is bij voorkeur ook duidelijk over wie verantwoordelijk is voor het respecteren van de (intellectuele eigendoms-) rechten van derden. In de praktijk betekent dat: wie neemt waarop de benodigde licenties. De afnemer van diensten zal bijvoorbeeld onaangenaam verrast zijn door een derde te worden aangesproken op inbreuk voor (onderdelen van) diensten die hij afneemt van de aanbieder van de clouddiensten, die daar kennelijk geen licentie voor heeft. Dergelijke situaties kunnen overigens ook omgekeerd voorkomen.
Vertrouwelijkheid Ook de vertrouwelijkheid speelt een rol. Wat als de aanbieder, bedoeld of onbedoeld, iets openbaar maakt wat de afnemer van de clouddiensten als vertrouwelijk in de cloud heeft gestopt? En wat
Figuur 1. Is de intellectuele eigendom van door de klant zelf op een platform van de cloudprovider ontwikkelde functionaliteit goed beschermd?
16 - cloudworks - mei 2011
gebeurt er bij overtreding van de vertrouwelijkheidsbepaling? Staat daar een boete op? Welke maatregelen worden er getroffen ter bescherming en beveiliging van de gegevens in de cloud? Bij de hierna te bespreken persoonsgegevens komt daar nog eens de mogelijkheid van aansprakelijkheidsstelling door overheden of de betrokken personen in kwestie bij.
Locatie Het is van groot belang om te weten waar de (onderliggende hardware van de) clouddienst feitelijk is ondergebracht en waar gegevens in de cloud feitelijk worden opgeslagen, en dat ook contractueel vast te leggen. Er kan immers wet- en regelgeving van toepassing zijn van de landen waar de servers van de clouddiensten feitelijk staan. In sommige sectoren, denk bijvoorbeeld aan de financiële sector, kan dat gaan om uiteenlopende en verstrekkende weten regelgeving. Pas als bekend is welke landen betrokken zijn, kan bepaald worden welke wet- en regelgeving voor alle relevante jurisdicties van toepassing is. In dit algemene artikel zal verder niet op sectorspecifieke voorwaarden worden ingegaan, maar het onderstreept de noodzaak om juridisch kundig advies in te winnen bij het afnemen van een clouddienst. Het kennen van de landen waar de clouddienst daadwerkelijk plaatsvindt, geldt overigens in het bijzonder voor de verwerking van persoonsgegevens.
Persoonsgegevens Een bijzondere, maar wel zeer gangbare categorie van gegevens zijn de zogenaamde persoonsgegevens. Persoonsgegevens zijn alle gegevens die zijn te herleiden tot natuurlijke personen. Op het verwerken van persoonsgegevens is privacywetgeving van toepassing. In het vorige artikel is hierop al uitvoerig ingegaan (zie CloudWorks #3, april 2011). De Wet bescherming persoonsgegevens (Wbp) legt de meeste verplichtingen ten aanzien van de verwerking van persoonsgegevens op aan de zogenaamde verantwoordelijke, en daarnaast ook enkele verplichtingen aan de zogenaamde bewerker. De verantwoordelijke is degene die het doel en de middelen van de verwerking van persoonsgegevens vaststelt. Bij cloud computing is dat doorgaans de afnemer van de dienst.
Als de aanbieder van de dienst zelf nog verwerkingen uitvoert op de persoonsgegevens van de afnemer, dan is de aanbieder voor die verwerkingen ook verantwoordelijk in de zin van de Wbp, met alle verplichtingen van dien. Doorgaans zal de aanbieder van clouddiensten alleen als bewerker moeten worden beschouwd, dat wil zeggen degene die de verwerking van persoonsgegevens voor de verantwoordelijke uitvoert, zonder aan diens directe gezag te zijn onderworpen.
Welke bepalingen? Zoals eerder al gememoreerd maakt liefst 30 procent van de respondenten gebruik van een standaardcontract van de aanbieder van clouddiensten. Op welke bepalingen moet de verantwoordelijke, dus de afnemer van de diensten, toezien? In de eerste plaats op een passend beschermingsniveau. Gaat het in de cloud mis met de persoonsgegevens, bijvoorbeeld omdat zij door een hack bij een derde terechtkomen, of doordat de bewerker de persoonsgegevens onzorgvuldig behandelt, dan is de verantwoordelijke daar in beginsel voor aansprakelijk. Voor het bieden van een passend beschermingsniveau moeten er afdoende organisatorische en technische beveiligingsmaatregelen zijn getroffen. Het is zaak dat in het contract hier expliciet aandacht aan wordt besteed en dat de feitelijke situatie ook voldoet aan deze bepalingen. De afnemer van de clouddienst moet zich er zeker van kunnen stellen dat deze maatregel in acht worden genomen. Het verdient daarom aanbeveling om een mogelijkheid tot het doen van een audit vast te leggen in het contract. Bij het afsluiten van het contract met de aanbieder van de diensten, zal de afnemer zich dus van zijn verantwoordelijke rol bewust moeten zijn. Het verdient daarom aanbeveling dat de afnemer juist over het privacybeleid sturend optreedt in de onderhandelingen over het contract. Maar alhoewel de afnemer van de clouddiensten veelal de verantwoordelijke is in de zin van de Wbp, en er daarom op de afnemer van de clouddiensten de meeste verplichtingen rusten die voortvloeien uit de Wbp, geeft een krappe meerderheid van 52 tegen 46 procent van de respondenten aan
niet eens te weten wat het privacybeleid is van hun aanbieder van clouddiensten. Hoe concreter de afspraken over de beveiliging van de persoonsgegevens, hoe beter. Toch geeft 41 procent van de respondenten aan niet te weten of er sprake is van passende maatregelen in geval van een incident dat de privacy of de veiligheid beïnvloedt. 37 procent is hier wel zeker van, en van deze groep heeft de helft een inspanningsplicht afgespro-
ken met hun aanbieder. De andere helft heeft een resultaatverplichting. De Wbp eist overigens dat de privacy wordt gewaarborgd; een inspanningsverplichting volstaat niet!
Modelcontracten EU Overigens heeft de EU modelcontracten opgesteld voor wat betreft de waarborging van de privacy in de relatie tussen de verantwoordelijke en de bewerker.1 In de cloud komt dat doorgaans neer op
Safe harbor Het nevenstaande aangaande het privacybeleid is helemaal van belang als de verwerking van de persoonsgegevens buiten de Europese Economische Ruimte plaatsvindt, en ook buiten het kleine aantal landen waarvan de EU verder nog heeft bepaald dat deze landen een voldoende beschermingsniveau voor de bescherming van de persoonsgegevens bieden (zie CloudWorks #3, april 2011). Worden de persoonsgegevens buiten dit territorium gebracht en verder verwerkt, dan zal de verantwoordelijke ervoor moeten zorgen dat hij over de eventueel benodigde toestemming dan
wel vergunning voor de verwerking in dat buitenland beschikt, of in het geval van verwerkingen in de Verenigde Staten, dat hij een bewerker inschakelt die beschikt over een ‘Safe Harbor’-verklaring, afgegeven door het Amerikaanse ministerie van Handel. Bij de aanvraag voor een dergelijke vergunning, wordt concreet gekeken naar de maatregelen en afspraken die zijn gemaakt ten aanzien van de privacy. Overigens kan het ook nog eens zo zijn dat naast de Nederlandse wetgeving, ook nog de privacywetgeving van toepassing is van het land waar de verwerking plaatsvindt.
mei 2011 - cloudworks - 17
Connectivity of the Cloud
Onderzoek de relatie tussen de afnemer en de aanbieder van de clouddiensten. Bij de beoordeling van een vergunningsaanvraag wordt nauwkeurig gekeken in hoeverre de gemaakte afspraken afwijken van die in de door de EU opgemaakte standaardcontracten. Om het verkrijgen van een vergunning zo soepel mogelijk te maken wordt daarom aangeraden deze contracten zoveel als mogelijk over te nemen. Ook als er geen vergunning nodig is, is het raadzaam deze contracten in ieder geval erop na te slaan en als mogelijk ook te gebruiken, omdat de bepalingen van deze contracten in ieder geval waarborgen bieden voor een voldoende beschermingsniveau van de privacy bij de verwerking van persoonsgegevens.
Geschillen Als er een geschil ontstaat tussen de aanbieder en de afnemer van de clouddienst dat voorgelegd zou moeten worden aan een rechter (of arbiter), is de vraag aan welke instantie het geschil moet worden voorgelegd en volgens welk recht het geschil zal moeten worden beslecht. Cloud computing wordt beschouwd als een dienst en als hierover niets is afgesproken, zal volgens het Nederlandse (en overigens Europese) recht de bevoegde rechter de rechter zijn van de plaats waar de kenmerkende prestatie van die clouddienst wordt geleverd. Zonder duidelijke afspraken zou zomaar de rechter van de plaats waar de
Het is raadzaam tevoren stil te staan bij de exitstrategie servers staan zichzelf bevoegd kunnen achten voor een geschil en dat kan niet in het belang zijn van de afnemer van de clouddiensten. Het is zaak om in het contract een bepaling over forum- en rechtskeuze op te nemen.
Conclusie De relatie tussen de aanbieder en de afnemer van de clouddienst wordt voor een groot deel beheerst door de afspraken tussen beide. Het aangaan van een
Publicaties De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek naar cloud computing in Nederland. Artikel 1 – verschenen in CloudWorks nr. 6/2010 De achtergrond van de respondenten, de status van de introductie van cloud computing in hun organisaties en bijbehorende investeringsplannen.
Artikel 3 – verschenen in CloudWorks nr. 2/2011 Waarom overweegt men cloud computing? Welke drempels zijn er als het gaat om de toepassing van cloud computing?
Artikel 2 – verschenen in CloudWorks nr. 1/2011 De keuzes van de respondenten waar het gaat om de inrichtingsvormen public, hybride versus private cloud en de dienstverleningsmodellen SaaS, PaaS en IaaS.
Artikel 4 – verschenen in CloudWorks nr. 3/2011 Juridische aspecten van de bescherming van persoonsgegevens in de cloud.
18 - cloudworks - mei 2011
Artikel 5 – in dit nummer Over de contractuele aspecten van cloud computing.
standaardcontract is soms de enige optie, zeker waar het cloud computing in zijn puurste, publieke vorm betreft. Dit heeft het voordeel van eenvoud. Maar er is een aantal aspecten, met name ten aanzien van de beëindiging, de continuïteit, de aansprakelijkheid, het dienstverleningsniveau en de intellectuele eigendom dat in het algemeen bijzondere aandacht verdient. Als er sprake is van de verwerking van persoonsgegevens, dienen de partijen er acht op te slaan dat voor de privacy een passend beschermingsniveau wordt geboden. Een grote groep respondenten blijkt in de praktijk al afspraken te maken over deze onderwerpen, maar daarnaast is er een aanzienlijke groep die nog niet op deze aspecten let. Er is dus nog veel te winnen. CW Rik Zager (
[email protected]) is advocaat bij advocatenkantoor Hogan Lovells. Frank de Vries (
[email protected]) is partner bij Quint Wellington Redwood, een bureau voor organisatieadvies op het raakvlak van organisatie en IT. Noten: 1 Zie beschikkingen van de Europese Commissie 2002/16/EG, 2004/915/EG en 2010/87/EU met modelcontractbepalingen voor de doorgifte van persoonsgegevens.
TelecityGroup is Europa’s toonaangevende provider van premium netwerkonafhankelijke datacenters. We zijn gespecialiseerd in het ontwerpen, bouwen en beheren van robuuste, veilige omgevingen met hoge connectiviteit waar bedrijven hun bedrijfskritische web- en internet infrastructuren kunnen vestigen. Onze datacenters bevinden zich op de belangrijkste Europese connectiviteitsknooppunten. Een TelecityGroup datacenter is een dynamisch ‘digital ecosystem’ met directe toegang tot talrijke telecomoperators en contentdistributienetwerken, de grootste breedbandnetwerken, Europese internet exchanges en cloud hubs, waar het faciliteren van opslag, delen en distribueren van data, content, applications en media mogelijk is.
Thema
BSA:
cloud computing vereist helder juridisch kader
Cloud computing is een relatief nieuw concept. Er zijn nog veel technische, commerciële en juridische issues die om een oplossing vragen. De Business Software Alliance (BSA) – de pleitbezorger van het legale gebruik van software – presenteert met het oog hierop zijn cloud-computingbeleidsagenda voor Europa. In deze agenda stelt de BSA tien concrete wetgevende en niet-wetgevende maatregelen voor om de privacy van burgers te beschermen, de beveiliging te verbeteren en fraude en diefstal tegen te gaan. Deze maatregelen zijn er verder om gericht standaarden en infrastructuren te creëren en juridische helderheid te scheppen. Dit als stimulans voor investeringen in Europese cloud-computingdiensten. Door Francisco Mingorance, senior director government relations EMEA bij de BSA Tijdens het World Economic Forum 2011 in Davos bevestigde Neelie Kroes, Eurocommissaris Digitale Agenda, nog eens dat het ondersteunen van cloud computing een prioriteit is voor Europa. Cloud computing helpt bij het creëren van nieuwe diensten en leidt tot economische groei in tal van sectoren. Kroes zei verder dat het tijd is om bepaalde juridische, technische en commerciële kwesties die een obstakel vormen, aan te pakken. Zij bepleitte een brede Europese cloudstrategie.
Kansen voor Europa In haar toespraak in Davos zei Kroes dat veel bedrijven, maar ook steeds meer overheden een eigen benadering ontwikkelen voor de inzet van cloud computing. Zij merkte op dat de Europese Unie een rol moet spelen in het wegnemen van mogelijke drempels die het succes van cloud computing in de weg staan. Europa kan op die manier de weg
20 - cloudworks - mei 2011
effenen voor een nieuwe sector en enorme kansen creëren voor de Europese telecombedrijven en hightech MKB-bedrijven. Zij wees ook op de productiviteitsvoordelen voor de Europese economie als geheel. Volgens Kroes hebben de nationale regeringen een duidelijke taak om ervoor te zorgen dat effectieve databescherming en de open markt de groei van cloud computing niet in de weg staan. Daarom heeft de Europese Commissie in de afgelopen jaren onder meer onderzoek naar cloud computing gefinancierd. Ook zijn de beveiligingsrisico’s van cloud computing geanalyseerd en werkt de Commissie samen met de sector om cloud-computinginitiatieven te steunen.
Beveiliging De BSA heeft tegen deze achtergrond een aantal aanbevelingen opgesteld. Die moeten ervoor zorgen dat er een helder en concreet beleid komt voor
cloud computing in Europa. Als eerste is meer transparantie nodig over de beveiligingsaanpak bij clouddiensten. Acceptatie van deze dienstverlening is sterk afhankelijk van een goede informatievoorziening over beveiliging, zodat de gebruiker zich daarover een beeld kan vormen. Cloudleveranciers moeten concreet aangeven hoe ze de beveiliging aanpakken. Daarbij zijn initiatieven uit de sector van groot belang. Een voorbeeld is het Cloud Computing Information Assurance Framework, dat onlangs is aanbevolen door de European Network and Information Security Agency (ENISA), onderdeel van de EU. Daarnaast biedt de huidige revisie van het juridische raamwerk voor dataprotectie in Europa een ideale mogelijkheid om de wetgeving uit te breiden. Zo zou de verplichting om een inbreuk op de beveiliging openbaar te maken voor alle bedrijven moeten gelden, dus ook voor cloudleveranciers. Dat verstevigt de bescherming van gebruikers en het vertrouwen in de dienstverlening.
Fraude In Europa moet het verder mogelijk worden om een civiele procedure te starten bij een cyberaanval. Ook zijn strengere straffen op nationaal niveau nodig om fraude in de cloud tegen te gaan. Illegale activiteiten zoals diefstal, fraude en hacken zijn serieuze bedreigingen voor cloudgebruikers en serviceproviders. De bestaande wetgeving maakt het weliswaar mogelijk om straffen op te leggen bij cyberaanvallen, maar gebruikers en serviceproviders kunnen geen civiele zaak aanspannen tegen cybercriminelen of indringers. Cloudleveranciers zouden een actieve rol kunnen spelen als dat wel het geval zou zijn. Daarnaast zijn hogere straffen nodig als afschrikking. Deze hogere straffen passen bij de schade die een cyberaanval veroorzaakt in een datacenter, waar de gegevens van een groot aantal gebruikers opgeslagen zijn.
Privacy en datatransfers
Dialoog
Het volgende punt is de bescherming van privacy en datatransfers. Om het volle potentieel van cloud computing te kunnen benutten, is het essentieel dat het Europese raamwerk voor databescherming op lidstaatniveau geharmoniseerd wordt. De herziening van het raamwerk voor databescherming biedt de mogelijkheid om deze regels met het oog op cloud computing te verhelderen. Zo kunnen lidstaten één definitie van ‘persoonlijke data’ vaststellen en is het Data Protection Authority-waarschu-
Cloud computing heeft een duidelijke internationale dimensie. Data gaat immers de grens over. Het is zaak daarbij de juiste voorzorgsmaatregelen te nemen. Cloudleveranciers hebben in dit verband te maken met verschillende en soms conflicterende regels over hoe zij met data om moeten gaan. Daarom is het zaak dat Europese beleidsmakers de bilaterale of multilaterale dialoog aangaan over minimumregels met betrekking tot het beschermen en beveiligen van verzonden data. Ook is meer duide-
Niet alle bedrijfsinformatie heeft hetzelfde niveau van beveiliging nodig wingssysteem te vereenvoudigen. Tegelijkertijd is meer helderheid geboden over de toepassing van de dataretentieregels in Europa.
lijkheid nodig over de handelsregelgeving bij het bieden van clouddiensten. Vallen clouddiensten bijvoorbeeld onder de General Agreement on Trade in
Services (GATS) van de wereldhandelorganisatie WTO? Dan is beter in te spelen op het online aanbieden van software en services en is betere markttoegang mogelijk. Ook is zo duidelijk welke rol ‘Most Favoured Nations’ spelen en hoe landen clouddiensten binnen de nationale grenzen laten aanbieden.
Dataportabiliteit en cloudinteroperabiliteit Dataportabiliteit en het gebruik van applicaties die naadloos met elkaar samenwerken, zijn voor gebruikers essentieel. De Europese Unie heeft interoperabiliteit boven aan zijn digitale agenda gezet. Reden is dat uitwisselbaarheid van diensten en data cruciaal is voor de acceptatie van deze diensten. Europa moet daarom de dataportabiliteit verder versterken op basis van technologieneutrale beleidsmaatregelen. Cloudleveranciers moeten tegelijkertijd de ontwikkeling van standaarden promoten
mei 2011 - cloudworks - 21
Thema en ervoor zorgen dat interoperabiliteit en portabiliteit in open samenwerking tot stand komen. Deze principes behoren een plek te krijgen in de Europese initiatieven op het gebied van technologiestandaardisatie, waaronder de hervorming van het IT Standardization Framework door de Europese Com-
niet is gegeven, is bij de eindgebruiker waarschijnlijk niet bekend. Het is daarom cruciaal dat een Europees beleidsraamwerk stevige maatregelen neemt tegen diefstal van intellectueel eigendom door duidelijkheid over de regels en het krachtig afdwingen ervan. Justitie moet daarbij nauw samenwerken met de
Er is gerichte wetgeving nodig om illegaal softwaregebruik in de cloud tegen te gaan missie. Door dit technologieneutraal te benaderen en niet uit te gaan van bedrijfs- of sectorspecifieke standaarden, is de interoperabiliteit van diensten en oplossingen te stimuleren.
sector om illegale activiteiten te ontdekken en te bestrijden. Zo zijn gebruikers te beschermen tegen aanbieders van illegale diensten.
Cloud en copyright
Ook diefstal is mogelijk bij clouddiensten. Softwarepiraterij omvat traditioneel het maken van kopieën van beschermde software. Nationale auteursrechtwetgeving en richtlijnen van de EU maken het mogelijk hier tegen op te treden. Het ongeautoriseerde gebruik of de diefstal van softwarefunctionaliteit die in
De cloud is niet immuun voor de gevaren van softwarepiraterij. Het is met cloudtechnologie mogelijk om als individu of als bedrijf anderen toegang te bieden tot software, zonder dat de eigenaar van de sofware daar toestemming voor heeft gegeven. Het feit dat die toestemming
Piraterij
de cloud beschikbaar is, is niet onder alle omstandigheden noodzakelijkerwijs het ongeautoriseerd reproduceren van beschermd werk. In die gevallen waarin geen sprake is van een duidelijke inbreuk op de regels van de copyrightrichtlijnen, zijn eindgebruikers die profiteren van software in de cloud, op basis van bestaande regels niet altijd aan te spreken. Overheden moeten ervoor zorgen dat de bestaande regels voor het beschermen van intellectueel eigendom ook gelden in de cloudcontext. Er is gerichte wetgeving nodig om illegaal softwaregebruik in de cloud tegen te gaan. Ook is het nodig om lacunes in de bestaande wetgeving rond intellectueel eigendom op te sporen en te dichten. Gebeurt dat niet, dan gaat dit ten koste van innovatie. Door deze actiepunten op de agenda te plaatsen, is het mogelijk alle betrokkenen bij cloud computing te laten profiteren van de voordelen die dit concept biedt. Een helder juridisch raamwerk plaveit de weg voor privacy, beveiliging en een optimale bescherming van de investeringen in cloudtechnologie. CW www.bsa.org
Google
verbindt Microsoft Office met de cloud Veel bedrijven vinden het nog te vroeg om lokale Microsoft Office-installaties overboord te gooien en geheel online te werken. Microsoft biedt met haar nieuwe Office 365-dienst een manier om lokale software met de cloud te verbinden, maar ook Google heeft hiervoor nu een passend antwoord: Google Cloud Connect. Door Jeroen Horlings, hoofdredacteur van CloudWorks Google Cloud Connect is een gratis plug-in en kan overweg met Word-, Excel- en Powerpoint-bestanden uit de Office suite van Microsoft. Het installeren ervan is simpel met een druk op de knop vanuit de webbrowser. Vervolgens nestelt zich een blauwe balk onder de werkbalk. Zodra er een bestand wordt opgeslagen, wordt deze gesynchroniseerd met Google Documenten (via de Google account). Dat gaat geheel automatisch en werkt redelijk soepel. Wel neemt het opslaan een fractie extra tijd in beslag. Ook reageert Google Connect op het lokaal wijzigen van een bestandsnaam. Er wordt dan gevraagd of je het bestand als nieuw document wil opslaan, of wil samenvoegen met een eerder opgeslagen versie.
Delen Net zoals documenten in Google Docs, kun je bepaalde bestanden delen met
Informatie Systeemeisen:
Microsoft Office 2003, 2007, 2010 Windows: XP (met .NET Framework 2.0), Vista, 7 Office software: Word, Excel, PowerPoint Website: www.google.com/ apps/cloudconnect
22 - cloudworks - mei 2011
Software
anderen. Dat kan vanuit Google Docs, maar ook rechtstreeks vanaf de werkbalk via de knop ‘Delen’. Andere personen kunnen op die manier eenvoudig wijzigingen aanbrengen. Het document hoeft niet heen en weer gestuurd te worden, want het staat gewoon in de cloud. Zodra er opnieuw wordt gesynchroniseerd met Cloud Connect zijn de wijzigingen van anderen zichtbaar. Documenten kunnen worden gedeeld door simpelweg een e-mailadres in te typen. Ook het toegangsniveau is instelbaar, zoals ‘alleen lezen’ of het toestaan van bewerkingen. Bestanden in Google Docs worden automatisch geback-upt en krijgen een uniek webadres, waarmee ze snel op te vragen zijn – ook vanaf mobiele apparaten zoals smartphones of een iPad. Documenten zijn ook te bewerken vanuit Microsoft Office zelf, zolang alle auteurs Cloud Connect gebruiken. Zo is het mogelijk dat twee personen tegelijkertijd een Excel-document open hebben staan, waarbij één de data aanvult en de ander tegelijkertijd een grafiek daarvan produceert. Mocht er overlap ontstaan, waarbij beide personen hetzelfde onderdeel bewerken met een andere inhoud, dan wordt er nadien gevraagd welke bewerking bewaard moet worden.
Offline Net zoals documenten in Google Docs is het ook mogelijk om documenten uit de cloud offline te bewerken, zoals in een vliegtuig. Van te voren moet het document zijn geopend, waarna er doorgewerkt kan worden zonder internettoegang. Zodra het netwerk weer toegankelijk is, worden de bestanden gesynchroniseerd.
Probleem Tijdens onze test kwam het één keer voor dat er een probleem was met het online opslaan van een bestand. Het lijkt er op dat een document eerst online wordt opgeslagen en daarna pas lokaal. Toen het online opslaan een keer niet lukte, tijdens het opnieuw opstarten
van Windows (en dus het afsluiten van Word), bleek niet de laatste versie van het document te zijn bewaard.
Conclusie Het werken via de cloud maakt het mogelijk om met meerdere personen aan documenten te werken, zonder deze continu per e-mail heen en weer te sturen. Het verkleint bovendien de kans dat er per ongeluk een verkeerde versie wordt gebruikt. Dat kan dus met Office 365, maar ook met lokale Office-versie en Google Cloud Connect. CW
mei 2011 - cloudworks - 23
Kiezen tussen
cloud of eigen datacenter
Nagaan of het energie-efficiënter is om bepaalde taken in de cloud te laten verrichten of in het eigen rekencentrum: dat is mogelijk met de monitoringsoftware van APC. Tegelijk oefenen de commerciële cloudleveranciers druk uit op particuliere datacentra om slimmer met energie om te gaan, omdat de CIO’s eisen dat de automatisering goedkoper moet. En omdat energie een stijgende kostenpost is. Door Teus Molenaar, hoofdredacteur van AppWorks Soeren Brogaard Jensen, VP Enterprise Software, en Wim Hendriksen, Country Manager Benelux, beide van APC, zijn in Amsterdam tijdens de Datacenter Transformation Summit. Ze doen graag hun verhaal over de impact die cloud computing heeft op bestaande rekencentra. “In het verleden is er altijd een grote scheiding geweest tussen de fysieke infrastructuur van een datacenter en de rekentaken die er worden uitgevoerd, inclusief de dataopslag. Dat waren twee verschillende werelden; je had de fysieke infrastructuur en je had IT. Nu vrijwel alle datacenters servers virtualiseren, maar ook desktops, is dat onderscheid verwaterd. Het rekencentrum is eigenlijk één grote computer geworden. Dan moet je een holistische kijk hebben op het datacenter. Weten wat er allemaal gebeurt. Daar hebben wij datacenter-
plannen. Je krijgt antwoord op de vraag waar je het beste de volgende server kunt plaatsen, of je dan nog genoeg krachtstroom hebt of reservekoeling, of je de blades moet verspreiden om de betrouwbaarheid te vergroten, wat de impact is van een nieuwe server op de bestaande stroomvoorziening, of de veiligheidsmarges nog afdoende zijn, of de bestaande elektriciteitsvermogens en koelapparatuur afdoende zijn voor in te voeren nieuwe technologieën”, legt Brogaard Jensen kort en bondig uit. Hij neemt de grote cloudleveranciers als voorbeeld. “Die datacenters zijn gebouwd met energie-efficiëntie als uitgangspunt – dat is namelijk onderdeel van het verdienmodel – terwijl particuliere rekencentra van bedrijven veel ouder zijn en dus uitgerust met oudere apparatuur, maar bovenal ooit zijn ont-
‘Het rekencentrum is eigenlijk één grote computer geworden; dat vergt een holistische kijk op het datacenter’ infrastructuremanagementsoftware voor ontwikkeld. Zodat je via een grafische presentatie kunt zien hoe het rekencentrum opereert. Maar je kunt er ook mee
24 - cloudworks - mei 2011
worpen om betrouwbaar en beschikbaar te zijn. Pas de laatste jaren is het besef gegroeid dat het ook zinvol is zo weinig mogelijk energie te gebruiken. Er zijn
inmiddels genoeg datacentra die meer geld aan energie kwijt zijn dan het bedrag dat zij hebben betaald voor alle hardware in het datacenter”, stelt Brogaard Jensen.
Schuiven met werklast Met de APC-software is het mogelijk om te bepalen welke workload je in een private cloud plaatst of in een public cloud. Zelfs binnen het rekencentrum bestaan delen die energie-intensief zijn en delen die met minder energie toe kunnen voor dezelfde taken. “Dat is natuurlijk historisch zo gegroeid. Pas de laatste jaren is men op het energieverbruik gaan letten bij de aanschaf van nieuwe servers, koelapparatuur, UPS’en, enzovoorts. De oude apparatuur is echt niet massaal vervangen door nieuwe, energiezuinige broertjes. Tien jaar geleden zat een rekencentrum op een PUE (eenheid voor energie-efficiëntie, red.) van ongeveer 2,2, tegenwoordig zit je op 1,1 of 1,2. Dat scheelt nogal. Via de samenwerking met VMware en Microsoft heeft APC een verbinding kunnen leggen tussen de fysieke infrastructuur en alles wat op die apparatuur draait. Stel je voor dat ’s nachts de workload in het datacenter minder is, dan is het handig om de werklast te dirigeren naar het energiezuinigste deel in het rekencentrum. Met onze oplossing is dat nu mogelijk gemaakt”, stelt Brogaard Jensen.
Passie Hendriksen gaat in op de overname van APC door Schneider Electric in 2007. “Schneider komt eigenlijk uit de facilitymanagementhoek, terwijl wij sterk zijn in UPS-systemen en bijbehorende managementsoftware. APC was al bezig om energie-efficiëntie als prioriteit te stellen voor onze oplossingen; daarom pasten wij zo goed bij Schneider Electric. Je voelt die passie voor beperking van energiegebruik in alle vezels van het bedrijf, in elke vergadering”, zegt Hendriksen.
Interview “Wij denken dat we door intelligent beheer en met zuinige systemen de energiebehoefte wereldwijd met meer dan 30 procent kunnen verminderen. En dat gaat sneller dan te wachten op de omschakeling naar bijvoorbeeld zonneenergie”, gaat Hendriksen verder. “Datacenters gebruiken nu wereldwijd 2 procent van alle energie, maar wij verwachten dat dit binnen twintig jaar groeit naar 40 procent van alle energie.” Die toename verklaart hij onder meer uit de fabelachtige groei van sociale netwerken en eenvoudig te gebruiken, mobiele apparatuur, gekoppeld aan een aanwas van de wereldbevolking tot 7,9 miljard mensen. “Het mooie vind ik dat ik niet werk voor een bedrijf dat alleen is geïnteresseerd in winst maken, maar ook alles op alles zet om het milieu te ontzien”, zegt Hendriksen.
Wim Hendriksen
Soeren Brogaard Jensen
“Wij investeren hevig in de softwareontwikkeling. De oplossing is nog volop in beweging, maar de richting is duidelijk. Net als alle andere leveranciers in deze branche hebben we altijd onze aandacht gevestigd gehad op de producten, maar nu richten we ons meer op de diensten, het beschikbaar stellen van de uitgebreide kennis en ervaring die we in de loop der jaren hebben opgebouwd. Dat kun je ook zien als je nagaat welke acquisities we de laatste tijd hebben gedaan.”
dat hij inzichtelijk maakt hoeveel energie een bepaalde dienst die ze aanbieden verbruikt. Anders kunnen ze de afweging niet maken.”
Slagroom Door modulair opgebouwde, energieefficiënte oplossingen te maken voor het datacenter, en het geheel holistisch te beheren helpt APC de energiekosten te beheersen. De beheersoftware is de slagroom op de taart. “Wij kunnen elk apparaat beheren, zolang het maar op het netwerk is aangesloten en geen al te exotische protocollen gebruikt”, aldus Brogaard Jensen. “Als we naar cloud computing kijken, dan moet je je afvragen hoe iemand weet of het vanuit het oogpunt van energie-efficiëntie zinvol is om bepaalde applicaties in de cloud te laten draaien, of een deel van zijn infrastructuur in de cloud af te nemen. Meestal spelen die argumenten geen enkele rol bij de afwegingen. De systemen die we nu hebben, zijn vanuit IT-oogpunt erg geraffineerd als het gaat om computertaken uitvoeren, maar je moet ook kunnen nagaan wat het gunstigste energieverbruik is bij de inzet van die apparatuur. Wij kunnen het hele rekencentrum monitoren, we kunnen nagaan – en dat wordt zichtbaar in dashboards – wat de gevolgen zijn van verschuivingen van werklast. Binnen het rekencentrum of – deels – daarbuiten, in de cloud. Die kennis moet je hebben om energiebewuste keuzes te kunnen maken.”
Geen magie Het duo vertelt dat APC en het moederbedrijf Schneider Electric nog niet helemaal klaar zijn met de oplossing.
De commerciële cloudleveranciers hebben per definitie een beter PUE dan de particuliere rekencentra. “Maar het is geen magie wat ze daar verrichten. Het is een kwestie van standaardiseren en moduleren. De producten zijn er, de technologie is er. Er is geen enkel argument waarom de rekencentra zelf
Er is geen enkel argument waarom de rekencentra zelf niet energie-effciënter zouden kunnen gaan werken “Gezien de verwachte, enorme groei van capaciteit in rekencentra, is het wel nodig om op energie-efficiëntie te letten. Als de bedrijven dat niet uit eigen beweging gaan doen, dan zullen overheden wel met maatregelen komen. Dat kan niet anders”, is Hendriksens overtuiging. Het tweetal geeft aan dat de software en diensten helpen na te gaan waar een bepaalde rekenlast energetisch het best kan draaien: in het eigen rekencentrum of bij een cloudvendor. “Bedrijven zullen van een cloudleverancier gaan eisen
niet energie-efficiënter zouden kunnen gaan werken. De beheerders staan onder druk van de CIO om naar de cloud te gaan, omdat die goedkoper is. Maar welbeschouwd kan een rekencentrum ook efficiënt met zijn energie omgaan. In die zin oefenen de cloudleveranciers een druk uit op de rekencentra om energie-efficiënter te zijn. Ook al gaat slechts 2 tot 5 procent van al het computerwerk op dit moment naar de cloud.” Of dit al gebeurt in de praktijk? “Vooral in de VS,” zeggen ze, “maar de rest van de wereld kan niet achterblijven.” CW
mei 2011 - cloudworks - 25
Event
Microsoft Office 365
Dankzij cloud
Exchange, SharePoint en Outlook voor MKB
Kleinere bedrijven, of ZZP’ers, die willen beschikken over messaging- en samenwerkingstools als Exchange en SharePoint schrokken hiervoor veelal terug vanwege de ingewikkelde implementaties. Met Microsoft Office 365 is dat niet meer het geval. Deze verse clouddienst van Microsoft biedt kleinere organisaties wat voorbehouden leek aan de grotere. Door Teus Molenaar, hoofdredacteur van AppWorks Met zijn MSN en hotmail heeft Microsoft al jaren ervaring opgebouwd in het leveren van clouddiensten. Het Azureplatform is van recenter datum, maar duidelijk is dat het bedrijf uit Redmond zijn kaarten heeft gezet op de cloud. In 2010 alleen al heeft de onderneming 2,3 miljard dollar wereldwijd geïnvesteerd in de bouw van datacenters. “En voor alle investeringen in softwareontwikkeling, geldt tegenwoordig dat er een cloudcomponent in zit”, zegt Arjan Oude Kotte, directeur MKB Microsoft Nederland. Niettemin hanteert Microsoft de filosofie dat de keuze aan de klant is. Het softwarehuis blijft on premise softwareoplossingen bouwen en ontwikkelen, naast het cloudaanbod. Het voordeel van Microsoft Office 365 is wel dat kleine bedrijven nu ook kunnen beschikken over online versies van Exchange, SharePoint en Lync. Voor de client-/serverversies van deze producten bedankten MKB’ers vaak vanwege de kosten (hardware en licenties) en vanwege de ingewikkeldheid om de software goed in te richten en af te stemmen op de hardware. Daar heb je toch wel een IT-afdeling voor nodig en die hebben de
26 - cloudworks - mei 2011
meeste kleine bedrijven niet; zeker niet als het om eenmans-/vrouwsbedrijven gaat. Met Microsoft Office 365 zorgt Microsoft voor de inrichting van Exchange en Outlook; en voor het onderhoud ervan (patches, upgrades, noem maar op). Eveneens aanwezig zijn cloudgebaseerde beheertools voor het geven van groepsbevoegdheden, het aanwijzen wie administratierechten krijgt, enzovoorts. Dit omvat tevens het gebruik van mobiele
te richten. Office 365 biedt een hosted versie hiervan, waardoor inrichting en onderhoud niet op het bordje van de gebruiker komen te liggen. Het opzetten van een nieuwe TeamSite is tamelijk eenvoudig. Je hoeft alleen ontwerp, thema en dergelijke aan te geven. Ook is het eenvoudig documenten toevoegen om te delen met collega’s of partners. Beheertools voor het geven van bijvoorbeeld documentrechten zijn via het web te gebruiken.
Verschillende versies Volgens Oude Kotte blijkt uit Microsoftonderzoek dat de e-mailvoorziening Exchange Online een gemiddelde kostenbesparing oplevert van ongeveer 50 procent, terwijl gebruikers een tachtig maal grotere mailbox krijgen (vergeleken met een servergebaseerde e-mailomgeving van het bedrijf zelf). Hij vertelt dat ZZP’ers en kleine bedrijven (2 tot 25 medewerkers) binnen een kwartier aan de slag kunnen met Office Web Apps, Microsoft Exchange Online, Microsoft SharePoint Online, Microsoft Lync Online en een externe website. Dan gaat het om de basisversie van Of-
Een succesvolle uitwisseling van data in de cloud staat of valt met de mate van controle en inzicht telefoons voor het gebruik van bedrijfse-mail, agenda en contactbeheer. Uiteraard is er een naadloze integratie met smartphones die onder Windows Phone 7 draaien, maar het opzetten van gebruiksmogelijkheden voor iPhone en de meeste Android-toestellen is tamelijk eenvoudig. Dit geldt ook voor SharePoint dat gewoonlijk veel moeite kost om goed in
fice 365. De kosten bedragen dan 5,25 euro per persoon per maand. Wie meer wil, bijvoorbeeld het gebruik van de vertrouwde Office Suite (want Office Web Apps is een uitgeklede vorm hiervan) kan kiezen voor een ander abonnement. Voor 22,75 euro per maand per gebruiker krijgen organisaties dan de beschikking over Office Professional Plus, samen met e-mail, voicemail, en-
terprise social networking, instant messaging, web portals, extranetten, videoconferencing, webconferencing en 24/7 telefonische ondersteuning. Microsoft heeft verschillende versies, die elk een verschillende inhoud hebben, in het leven geroepen. Zo zijn er versies voor Information Workers en Kiosk Workers. De Kiosk Workers zitten gewoonlijk weinig achter hun pc en maken gewoonlijk weinig gebruik van Micorosoft Office en Microsoft Outlook. De abonnementen voor de Information Workers zijn daarom duurder dan die voor Kiosk Workers. Daar komt bij dat Microsoft contracten heeft afgesloten met partners KPN en UPC die de Office 365 gaan bieden. Het is nog onduidelijk wat KPN en UPC extra hebben te bieden (behalve bijvoorbeeld één factuur voor telefonie en clouddiensten), noch welke prijzen zij gaan hanteren. Dat alles zal deze zomer duidelijk worden als Microsoft Office 365 algemeen beschikbaar is. Wie nu al met een proefversie aan de slag wil, en de abon-
nementsmogelijkheden en -prijzen wil weten, kan terecht op www.microsoft.nl.
Eenvoudige integratie De aangeboden extra website via Office 365 is een tamelijk standaard rechttoe-, rechtaanmogelijkheid. De gebruiker moet zich schikken in de aangeboden templates. Voor veel organisaties is dat overigens voldoende. De site biedt echter niet alle toeters en bellen die nodig zijn om bijvoorbeeld een webwinkel te voeren of de geneugten van Flash of Flex in de site in te bouwen. Hoewel Google met zijn Apps vier jaar voorsprong heeft op Microsoft, lijkt Microsoft met Office 365 de achterstand in één klap in te halen. Organisaties die de afgelopen jaren tevreden zijn over het gebruik van Google Apps zullen niet overgaan op het Microsoft-aanbod. Maar bedrijven die eerder al gebruikmaakten van Microsoft BPOS (Business Productivity Online Suite; de ‘magere’ voorloper van Office 365) zullen zeker het nieuwe
aanbod van Microsoft overwegen. Het grote voordeel is namelijk de eenvoudige integratie met de bestaande Microsoft Office Suite-producten. Het is niet nodig om ingewikkelde en tijdrovende migratietrajecten uit te voeren en toch te kunnen overstappen naar een clouddienst. Sterker nog: wie beide wil blijven gebruiken (on premise en cloud) kan dat makkelijk doen met de Microsoftfilosofie. Op Computerworld stelt Barry Simpson, CIO van Coca-Cola Amatil in Australië, dat die integratiemogelijkheid al een reden was om over te gaan naar BPOS. Zodra Microsoft Office 365 beschikbaar is, wil hij dit gaan toepassen. Hij voelt veel voor een geconsolideerd applicatielandschap en de snelheid om hiermee aan de slag te gaan. Ahold heeft niet willen wachten op Office 365. Dit bedrijf besloot wereldwijd Google Apps te gaan gebruiken. Overigens kwam Ahold ook van een IBM Lotus Notes-omgeving. Voor het einde van 2011 zullen alle 55.000 medewerkers de webdiensten van Google benutten. CW
mei 2011 - cloudworks - 27
Event
CLOUD COMPUTING VERANDERT DE MANIER WAAROP U ZAKEN DOET.
De mooiste cloudapplicatie
Cloud computing geeft u de kracht om groot te denken. En klein te blijven.
De kracht om energie te besparen. En ruimte.
“Ik heb vooral geleerd om samen te werken”, zegt Floor Verheul, functioneel CRM-consultant bij Macaw. Zij behoort tot het winnende team dat onlangs de RAD-race won om de mooiste cloudapplicatie. Daarbij ging het vooral om het samenwerken tussen businessintelligence, xRM (voortvloeiend uit CRM) en systeemintegratie.
De kracht om bij uw data te kunnen zodra u die nodig heeft.
Door Teus Molenaar , hoofdredacteur van AppWorks
De kracht om te groeien. En te krimpen. Zonder daar iets voor in te leveren. De kracht om meer te doen met minder. De kracht om ideeën te realiseren en kosten in de hand te houden.
Overal. Binnen uw organisatie en daarbuiten. De kracht van één platform. De kracht om samen de juiste beslissingen te nemen. De kracht om te denken als een optimist en te betalen als een realist. Cloud Power van Microsoft betekent dat u de meest uitgebreide oplossingen voor cloud computing tot uw beschikking heeft. Met vertrouwde tools, maar dan uitgebreider, toegankelijker, meer compatible en gebruiksvriendelijker voor iedereen. Uw onderneming ruimte bieden voor Het Nieuwe Werken. Dat is Cloud Power.
Download de gratis app op http://gettag.mobi
'HPHHVWXLWJHEUHLGHRSORVVLQJHQYRRUFORXGFRPSXWLQJPHW0LFURVRIW2IÀFH :LQGRZV$]XUH'\QDPLFV&502QOLQHHQ:LQGRZV6HUYHU+\SHU9 2QWGHNPHHURSPLFURVRIWQOFORXG
Zoals in elk industrieel bedrijfsproces zijn er verschillende bedrijfseenheden te onderscheiden bij Macaw. Een applicatie, met onder meer gebruikmaking van het cloudapplicatieplatform Azure van Microsoft, trekt zich evenwel niets aan van de scheidslijnen tussen de verscheidene bedrijfsonderdelen. Daarom is tijdens de wedstrijd vooral de nadruk komen te liggen op de onderlinge samenwerking, vertelt Verheul, die samen met Dave Ruijter, Erik Proost, Antoon Tuijl en Arjaan Meierink het winnende team vormde. Macaw had een bootcamp georganiseerd voor de eigen medewerkers om ‘het gevoel van de cloud’ in de vingers te krijgen. Om het leuk te maken, voegde men er een wedstrijdelement aan toe. Zes teams streden om de eeuwige roem. De businesscase was om in teamverband een Microsoft Dynamics CRM-online applicatie te ontwikkelen waarin registratie van telefoon, leaseauto’s en pc’s kan plaatsvinden. Of, zoals Verheul het zegt: “We hebben bij Macaw on-premise een personeelsinformatiesysteem, met onder meer een urenregistratie van de medewerkers. Dat was eigenlijk het bronsysteem. We hebben een webservice van Microsoft CRM-Online gebruikt om de data uit het on-premise CRMsysteem in te laden in de CRM-Online omgeving. Dan ga je dus van on-premise data naar onlinedata. Op zichzelf is
dat al mooi, want dan kun je in CRM-online in heel korte tijd voor elkaar krijgen dat je daar een aantal processen kunt ondersteunen, zoals het leaseautotraject en het telefoontraject. Via de Microsoft CRM-Online-webservice hebben we data geëxporteerd naar een SQL Azure operational datastore. En van daaruit konden we naar verschillende applicaties rapporteren.”
Kort en bondig Daarmee heeft Verheul meteen het geheim van de smid verklapt, want zij zat in het winnende team. “Dat komt vooral door de goede samenwerking die
wij in ons team hadden, onder leiding van projectleider Erik Proost”, meent zij. “We wisten duidelijk wat we wilden gaan doen, zodat we niet veel tijd kwijt waren aan discussies. Natuurlijk hebben we gediscussieerd, maar dat was kort en bondig. We hebben veel van elkaar geleerd – en dat was ook de bedoeling: om over de eigen grenzen heen te kijken. Halverwege de dag hebben we een gesprek met de opdrachtgever gehad en daarin hebben we geprobeerd te achterhalen wat hij met de applicatie wilde gaan doen.” Wat zij zelf heeft geleerd van deze eendaagse wedstrijd? “Dat het mogelijk is om in korte tijd een koppeling te maken tussen een on-premise applicatie en CRM-Online. En ik heb veel opgestoken over wat er allemaal online mogelijk is. Daarnaast vond ik het heel leuk om samen te werken met collega’s die je eigenlijk nooit ziet.” Het eigenlijke doel van de RAD-race was in zo kort mogelijke tijd een hybride omgeving neer te zetten. “Maar uiteindelijk zullen we deze applicatie – in verder uitgewerkte vorm – gaan gebruiken bij Macaw.” CW
mei 2011 - cloudworks - 29
Thema
De Europese
data-uitdaging Een van de grootste uitdagingen voor leveranciers van software as a service (SaaS) is de wirwar van regels op het gebied van het management en beheer van data en dan vooral van persoonlijke informatie. Een complicerende factor is ook dat leveranciers moeten voldoen aan de lokale wetgeving, terwijl SaaS-oplossingen over de hele wereld worden gebruikt. Welke aanpassingen in de EU-wet- en regelgeving zijn wenselijk? Door Tom Fisher en William Harmer In de loop van de tijd zijn er binnen de industrie veelomvattende best practices ontstaan, waaraan de meeste leveranciers zich houden. De realiteit is echter ook dat de lokale regelgeving met betrekking tot data steeds strenger wordt.
ten hebben overal ter wereld personeel zitten, in talloze landen en regio’s. Zaak is daarbij dat zo goed mogelijk moet worden voldaan aan de specifieke weten regelgeving van elk land. In Europa moeten bijvoorbeeld de specifieke EU-
Er is nog geen uniforme toepassing van de EU-wetten voor databescherming SaaS-leveranciers die de regelgeving begrijpen en actief zijn binnen de instanties die het voortouw nemen op dit gebied, hebben al snel een voorsprong op de concurrentie. Professionele klanten eisen dat softwareleveranciers deze reglementen naleven en hun klanten helpen te begrijpen wat deze voorschriften inhouden.
Lokale wet- en regelgeving Veel SaaS-leveranciers hebben klanten die wereldwijd opereren. Vanuit die gedachte moet de software dan ook ontwikkeld worden, in de infrastructuur ontworpen worden. Ook capaciteitsplanning is een belangrijk aspect – klan-
30 - cloudworks - mei 2011
richtlijnen opgevolgd worden (95/46/ EC). Maar dat valt nog niet mee. Elke EU-richtlijn kan op verschillende manieren worden geïnterpreteerd, afhankelijk van de klant of het land.
Uniforme databescherming Een proactieve houding en de voortdurende betrokkenheid bij Europese klanten is daarbij heel belangrijk. Maar de situatie op de Europese markten maakt het beschermen van klantinformatie extreem ingewikkeld. Voor veel leveranciers van cloud-computingoplossingen betekent het dat ze hun klanten nodig hebben om hun oplossing zodanig te begrijpen, interpreteren en vertegen-
woordigen dat ze voldoen aan de vaag geformuleerde richtlijnen. Er zou daarom een eenduidige en uniforme toepassing van de EU-wetten voor databescherming moeten zijn. Er wordt veel overgelaten aan de interpretatie van de leveranciers zelf met betrekking tot de vraag hoe ver men moet gaan om te voldoen aan de geest en de intentie van de diverse regelgevingen. In de huidige situatie botsen de interpretaties van de leverancier en de klanten en dat is geen gezonde situatie. Op dit moment worden leveranciers als het ware gedwongen om hun oplossing zo te ontwikkelen, dat ze in samenspraak met hun klanten de voor hen geldende regels zoveel mogelijk kunnen naleven.
Standaardisatie Europa bevindt zich in een nieuwe en unieke positie en kan het voortouw nemen voor wereldwijde standaardisatie. De focus op EU-normen in het hele continent en de unieke werkomgeving in Europa stelt onafhankelijke partijen – zoals EuroCloud – in de gelegenheid om mee te denken over normen voor leveranciers van SaaS-oplossingen. Het unieke van EuroCloud is bovendien dat zowel grote als kleine klanten en softwareleveranciers worden betrokken bij het overleg.
Interpretaties Softwareleveranciers hebben kortom behoefte aan een betere interpretatie van de regels zoals die worden gesteld door de regelgevende instanties en ondersteunende organisaties in Europa. Al stellen ze slechts een ‘minimale norm’ waarbij leveranciers worden gestimuleerd om beter te presteren, dan zou er in elk geval een basis zijn waarmee de leveranciers uit de voeten kunnen. Omdat een aantal zaken in Europa wel al goed is geregeld – zo zijn er algemene definities voor termen als ‘persoonlijke
data’ en alom geaccepteerde definities van woorden als verwerken, overdragen, exporteren en gebruik – moet het mogelijk zijn om een pakket basisvereisten samen te stellen waaraan leveranciers kunnen voldoen. Je kunt nog zoveel investeren om ervoor te zorgen dat je voldoet aan de Safe-Harborvereisten, maar in bepaalde gevallen zijn deze normen optioneel. En dat kan natuurlijk niet! Ten slotte zijn er EU-wetten nodig die duide-
lijke richtlijnen geven over het omgaan met Europese en niet-Europese opsporingsmethoden van de overheid, zoals de Amerikaanse Patriot Act of de Canadese Anti-terrorism Act. De EU moet meer doen op het gebied van databescherming en duidelijker aangeven hoe moet worden omgegaan met wetshandhaving door buitenlandse overheden. Pas als de normen en regelgeving helder en begrijpelijk zijn, kunnen bedrij-
ven oplossingen ontwerpen, ontwikkelen en uitrollen die hieraan voldoen. SuccessFactors wil graag op een actieve en positieve manier bijdragen aan de oplossing van dit probleem. CW Tom Fisher is CIO en Vice President Cloud Computing en William Harmer is Vice President of Security bij SuccessFactors.
mei 2011 - cloudworks - 31
Security
Waar moet een cloudaanbieder aan voldoen?
Uitwisseling van gevoelige informatie in cloud De manier waarop organisaties tegenwoordig zakendoen, vraagt om een continue beschikbaarheid van kritische bedrijfsinformatie, benaderbaar vanaf iedere locatie. Hiervoor worden cloudgebaseerde tools, vaak van externe partijen, ingezet. Het gebruik van hosted services neemt toe, maar vreemd genoeg weten veel organisaties niet waar ze aan beginnen of waar ze op moeten letten wanneer ze met een partij in zee gaan. Een uiteenzetting van de risico’s en uitdagingen. Door Vincent Peters, vicepresident van Noord-Europa, Centraal-Europa en het Midden-Oosten bij IntraLinks Nieuwe technologieën zoals cloudgebaseerde diensten bieden veel nieuwe mogelijkheden en voordelen. Zo zijn de overheadkosten laag, is de implementatietijd kort en zijn diensten eenvoudig uit te breiden. De overstap naar de cloud kan echter ook voor problemen zorgen. Het kan bijvoorbeeld lastig zijn voor organisaties om de inzet van cloudoplossingen af te stemmen op het securitybeleid. Het komt vaak genoeg voor dat een organisatie door de lage kosten kiest voor de cloud zonder na te gaan of
annuleerd bij de eerste audit die plaatsvindt. Dit is spijtig, want de kans dat een organisatie vervolgens nogmaals voor een cloudoplossing kiest, is dan erg klein. Om ervoor te zorgen dat de organisatie voordeel haalt uit cloud computing, is het belangrijk om te kiezen voor een aanbieder die de organisatie in staat stelt om zelf de controle te behouden. Zo weet je zeker dat de compliance in orde is en dat de aanbieder door de se-
Niet alle bedrijfsinformatie heeft hetzelfde niveau van beveiliging nodig leveranciers hun diensten werkelijk veilig en compliant hebben gemaakt. Dit met als gevolg dat IT-afdelingen het gevoel van controle verliezen over locatie- en toegangsregels voor de data die zowel binnen als buiten de firewalls gedeeld wordt. Door deze beperkte controle is de kans groot dat een project wordt ge-
32 - cloudworks - mei 2011
curityaudits heen komt. Ook moet een cloudaanbieder op ieder moment kunnen aangeven op welke locatie de data opgeslagen is. Bovendien is optimale beveiliging van de data noodzakelijk, niet alleen wanneer het is opgeslagen maar ook op het moment dat het wordt uitgewisseld. De verantwoordelijkheid
hiervoor ligt bij de aanbieder. Verder moeten audittrails worden bijgehouden zodat in de rapportage zichtbaar is wie toegang heeft gehad tot bepaalde data en op welk moment. Succes met het uitwisselen van data in de cloud staat of valt met de mate van controle en inzicht. De aanbieder dient er bijvoorbeeld voor te zorgen dat hij flexibele dataclassificatiemogelijkheden biedt evenals inzicht in autorisatie zodat je als organisatie volledige controle hebt over wie toegang heeft tot welke data. Bovendien moet de aanbieder een authenticatie kunnen toepassen die verder gaat dan alleen het invoeren van een wachtwoord, om er zo zeker van te zijn dat alleen geautoriseerde personen toegang krijgen tot bepaalde informatie.
Beveiligingsmaatregelen Voor beveiliging in de cloud is een aantal basismaatregelen van toepassing. Iedere cloudaanbieder die veilige oplossingen wil bieden zou hieraan moeten voldoen. In de praktijk blijken echter weinig aanbieders alle veiligheidsaspecten op orde te hebben. De kwaliteit van een dienst is sterk afhankelijk van de infrastructuur waarop deze draait. Wanneer een organisatie met gevoelige data werkt en aan bepaalde veiligheidseisen moet voldoen – zoals financiële dienstverleners of bedrijven in life sciences – is het niet verstandig om voor de goedkoopste hostingfacility te kiezen. Let er daarom op dat een cloudaanbieder beschikt over een erkende securitycertificering zoals SAS 70 type II en ISO 27001. Deze vormen kunnen bovendien inzichtelijk worden gemaakt en gedeeld met klanten. Een ander voordeel van certificatie is dat het helpt om eventuele zwakke plekken in processen te identificeren.
Disaster recovery en scheiden van data Bij het kiezen van een provider is het goed om na te gaan of de disaster-recoverylocatie van gelijke kwaliteit en gecertificeerd is, zodat de cloudaanbieder en de klant compliant blijven wanneer gewisseld wordt tussen datacenters. Het netwerk van de aanbieder moet bovendien de mogelijkheid bieden om data van verschillende klanten volledig te scheiden. Als gegevens niet op dit niveau gescheiden worden, dan is een architectuur nodig die datascheiding mogelijk maakt voor de database- en applicatietiers. Een goed design zorgt er ook voor dat applicaties onafhankelijk zijn van de datalocatie. Op deze manier kunnen fysieke bestanden worden opgeslagen op iedere door de klant gewenste geografische locatie.
Encryptie Wanneer een cloudaanbieder klantdata host dan betekent dit dat de aanbieder de verantwoordelijkheid draagt voor het waarborgen van de confidentialiteit en integriteit van gegevens. Hoe streng de maatregelen om datalekken te voorkomen ook zijn, de kans bestaat altijd dat data uitlekt. De aanbieder moet er daarom voor zorgen dat ‘verloren’ data
onbruikbaar is voor ongeautoriseerde gebruikers. Encryptie van vertrouwelijke data moet zodanig zijn geïmplementeerd dat vertrouwelijke data nooit door één persoon kan worden omzeild. Een eventuele infiltrant die de intentie heeft om data te stelen, krijgt hierdoor nog steeds geen toegang tot de data. Sterke encryptiealgoritmes en multi-tier keymanagementsystemen zijn hiervoor noodzakelijk. Ook bij uitwisseling moet data volledig beveiligd zijn en is een SSL 3.0 of hoger noodzakelijk. Dit is het encryptieprotocol dat communicatie op het internet beveiligt. Alle codes minder dan 128-bit moeten worden uitgeschakeld aan de serverzijde. Dit kan betekenen dat verbindingen vanuit browsers die geen 128-bit-verbinding kunnen maken, moeten worden geweigerd. Alleen dan kan het veiligheidsniveau bij data-uitwisseling gewaarborgd worden.
Personeel Medewerkers van cloudaanbieders die veel omgaan met klantgegevens en -processen zijn een belangrijke target voor cybercriminelen en de kans dat iemand waardevolle informatie probeert te stelen is altijd aanwezig. Uitgebreide backgroundchecks van personeel zijn daarom nodig om zwakke schakels
er zoveel mogelijk uit te filteren. Kies voor een aanbieder die zijn personeel screent. Mocht er dan nog data lekken, dan helpen gedetailleerde auditlogs om mogelijke datadieven te identificeren en tijdig aan te pakken.
Gebruikersrollen en rolgebaseerde toegang Bij het beveiligen van klantgegevens is het belangrijk de kwetsbaarheid van het systeem tot het minimum te beperken. Door bijvoorbeeld encryptie te gebruiken, is het mogelijk om de hoeveelheid te beveiligen data te verkleinen. Door daarnaast de data te categoriseren en passende autorisatieregels op te stellen wordt het beveiligingsniveau verder versterkt. Want niet alle bedrijfsinformatie heeft hetzelfde niveau van beveiliging nodig. Sommige informatie, zoals marketingmaterialen, moet juist toegankelijk zijn voor zoveel mogelijk mensen terwijl financiële informatie achter slot en grendel moet worden bewaard. Door het opstellen van gebruikersrollen en toekennen van rolgebaseerde toegang tot data, kan complexe autorisatie worden gestroomlijnd. Dit maakt het beheer van gebruikersgegevens eenvoudiger en minder gevoelig voor fouten.
mei 2011 - cloudworks - 33
Security De hierboven genoemde maatregelen vormen de basis van beveiligingsbenodigdheden voor een publieke cloudgebaseerde oplossing voor organisaties in zowel de publieke als private sector. Toch is het zo dat zelfs veel populaire cloudaanbieders deze essentiële maatregelen niet op orde hebben. Dit is vooral te wijten aan hun achtergrond. Veel van hen proberen namelijk consumentgerichte systemen om te bouwen en in te zetten voor zakelijke gebruikers. Dit is een ingewikkelde en dure transformatie en het is maar de vraag of hiermee het gewenste beveiligingsniveau wordt bereikt. Veel beter is het wanneer systemen vanaf het begin zijn opgebouwd om volledige beveiliging te bieden. Goed geïmplementeerde securitymaatregelen zoals encryptie en uitgebreide autorisatie bij gecategoriseerde data geven een aanzienlijke voorsprong bij het implementeren van extra maatregelen om premium security te bereiken.
Geavanceerde maatregelen voor optimale beveiliging Om optimale beveiliging te kunnen garanderen moeten aanbieders ervoor zorgen dat alle onderdelen van security op orde zijn. De mate van security blijft echter altijd een afweging tussen gebruiksvriendelijkheid en veiligheid. Zo
applicatie te categoriseren, zodat de extreme veiligheidsmaatregelen alleen hoeven worden toegepast op vertrouwelijke data en de daarbij horende activiteiten.
Categoriseren van data Eigenlijk zijn er maar twee keuzes mogelijk. Keuze één: het deel van de applicatie die hoge mate van security nodig heeft, wordt vooraf bepaald. Voorbeelden hiervan zijn de onderdelen die banktransacties verwerken of toegang geven tot intellectueel kapitaal. De tweede keuze is, het toekennen van een securitybeleid en classificatierules van data voor iedere gebruiker afzonderlijk. De laatste keuze heeft de voorkeur, vooral voor multi-tenantapplicaties. Met deze
Een succesvolle uitwisseling van data in de cloud staat of valt met de mate van controle en inzicht gebruiken de meeste online applicaties alleen een gebruikersnaam en wachtwoord. Dit gebeurt niet zozeer om technische redenen – het is immers relatief eenvoudig om een multifactor authenticiteitsserver te integreren. Het grote probleem is echter het beheer van deze extra factoren. Sterkere authenticiteitsmaatregelen betekenen namelijk ook een groter ongemak voor gebruikers. Je zou dit kunnen vergelijken met een bank waarbij de voordeur wordt vervangen door een kluisdeur. Hierdoor zouden alle medewerkers al bij binnenkomst van de bank de zware veiligheidsprocedure moeten doorlopen, terwijl ze wellicht alleen maar de wisselkoersen willen weten en niet de intentie hebben om toegang te krijgen tot het geld. Daarom is het belangrijk om data binnen een online
34 - cloudworks - mei 2011
aanpak kunnen de beveiligingskeuzes worden neergelegd bij de mensen die het meeste weten van de data.
Continue controle content Het is algemeen bekend dat je belangrijke informatie niet zomaar op het internet kunt opslaan, omdat je er dan te weinig controle over hebt. Zodra het gedownload is, kan het worden verspreid of gestolen zonder dat je weet wanneer en door wie het gedaan is. Vanuit dat oogpunt lijkt het veel op het versturen van documenten via post, je weet immers niet precies waar het materiaal zich bevindt. Wanneer het echter binnen goedbeveiligde systemen gebeurt, kan deze controle wel verkregen worden. Zo is het bijvoorbeeld mogelijk om digitale kopieën van een document te versturen
(zoals via e-mail) in een volledig beveiligde omgeving, met de mogelijkheid om het bestand op ieder gewenst moment op afstand te vernietigen. Om deze mate van beveiliging te bereiken, is beveiliging van ‘in-use’-data noodzakelijk. Content is dan altijd encrypted, ook wanneer het naar een gebruikersbrowser is gestuurd. Ook alle tijdelijke en permanente kopieën op de harddisk van de gebruiker zijn encrypted. Lezers kunnen het niet openen zonder de code. Wanneer de eigenaar van het document toegangsrechten van een specifieke gebruiker verwijdert dan wordt de encryptiecode vernietigd, wat betekent dat een document op afstand wordt uitgeschakeld. Om het nog veiliger te maken, hebben sommige systemen een zogenaamde Diffie-Hellman key-exchange geïmplementeerd. Hierbij wordt de code nooit naar een gebruiker gestuurd en kan de code ook niet worden opgeslagen. Dan wordt iedere keer een nieuwe code berekend die maar voor een beperkte tijd te gebruiken is. Kortom, veilig werken in de cloud is absoluut mogelijk, mits de juiste maatregelen worden getroffen. Om vertrouwelijke informatie uit te kunnen wisselen is een infrastructuur nodig met applicaties met ingebouwde beveiliging middels encryptie. Ook algemene autorisatiesystemen met multi-factorauthenticatie zijn essentieel. Om deze systemen te kunnen beheren en controle hierover te krijgen, moeten de beginselen van cloud computing duidelijk zijn. Ook weet je dan precies wat je als organisatie mag verwachten van een cloudaanbieder en welke eisen je kunt stellen om veilig werken in de cloud mogelijk te maken. CW
!LL )4 2OOMS $ATACENTER7ORKS 2ITTAL 3TULZ EN 4ECHNALIA PRESENTEREN DÀ PORTAL VOOR GROENE )4 EN GROENE DATA CENTERS
GREEN IT WORKS IS DE ENIGE NEDERLANDSE PORTAL DIE IS GERICHT OP GROENE IT EN GROENE DATACENTERS. -%4 $!'%,)*+3
.)%573
!#(4%2'2/.$%.
",/'3
6)$%/
7()4%0!0%23
%. -%%2
'2%%. )4 7/2+3 )3 %%. ).)4)!4)%&