Works WET- EN REGELGEVING. in de cloud JURIDISCHE HOOFDLIJNEN. in kaart. Leren van HET AMAZON- DEBACLE. HET Vakblad over cloud computing

Cloud Works www.cloudworks.nu | nummer 4 | mei 2011 | jaargang 2

HET Vakblad over cloud computing

WET- EN REGELGEVING in de cloud JURIDISCHE HOOFDLIJNEN in kaart

Leren van

HET AMAZONDEBACLE

EN VERDER: GRENZEN, WETTEN EN DE CLOUD | DATAREGULATIE IN DE EU | CLOUD VEREIST HELDER JURIDISCH KADER | ONDERZOEK: CONTRACTEN | UITWISSELING VAN GEVOELIGE INFORMATIE | OFFICE 365 | DE MOOISTE CLOUD-APP | TECHNET DAYS | KIEZEN TUSSEN CLOUD OF EIGEN DATACENTER | WETGEVING KAN CLOUDAANBIEDERS HELPEN | CLOUD IN HET ONDERWIJS

Colofon

Geen wolkje

aan de lucht?

Begin mei was ik, namens CloudWorks, op bezoek bij Business News Radio (BNR) voor een discussie over cloud computing. De aanleiding was de storing bij Amazon.com, waardoor de diensten van honderden bedrijven dagenlang niet of slecht bereikbaar waren. Ik was daar samen met mr. Walter van Holst, die IT-advies geeft vanuit juridisch oogpunt. Aan het begin van de uitzending, geleid door Herbert Blankesteijn, kwam Mathys van Abbe van het Nederlandse Mobypicture telefonisch in de uitzending. Mobypicture is een dienst waarmee je heel eenvoudig een foto van je mobiele telefoon online kunt zetten (of rechtstreeks twitteren). De EC2-tak van Amazons AWS lag er maar liefst drie dagen uit, waardoor ook Mobypicture vrijwel onbereikbaar was. Volgens Van Abbe is de schade moeilijk in geld uit te drukken. Op de vraag of het Amazon-debacle consequenties heeft voor de samenwerking, reageerde Van Abbe ontkennend: “Amazon heeft eigenlijk het bestaansrecht van Mobypicture gefaciliteerd.” Hij stelde dat Mobypicture te maken heeft met grote pieken en dalen wat betreft bezoek. Daar zitten soms flinke pieken bij als iemand iets bijzonders twittert, wat vervolgens wereldwijd wordt overgenomen. “Als je alles in huis draait, moet je dus een hele berg servers aan hebben staan om die piekmomenten op te vangen en daarvoor heb je heel diepe zakken nodig. Juist de schaalvoordelen van de cloud zijn voor ons essentieel.” Op onze vraag of de uitval voorkomen had kunnen worden door betere spreiding over de verschillende datacenters van Amazon (oostkust VS, westkust VS, EU/Ierland), reageerde Van Abbe dat destijds bewust voor de oostkust van de VS is gekozen omdat daarmee de Amerikaanse en Aziatische markt het snelst bediend kunnen worden. De diensten van Moby worden vanaf nu wel ondergebracht in verschillende ‘availability zones’. De problemen bij Amazon vormen niet de eerste grote cloudstoring, maar wel een van de ernstigste, met een onvoorspelbare impact op het vertrouwen in cloud computing. Reden voor CloudWorks-medewerker Michiel van Blommestein om een aantal bedrijven te polsen en na te gaan hoe de bekende 99,9 procent uptime (dus 0,01 procent uitval) kan worden voorkomen. Stof tot nadenken, op pagina 42. Los hiervan staat dit nummer in het teken van wet- en regelgeving. Een heikel punt, omdat clouddiensten meestal wereldwijd beschikbaar zijn, terwijl de lokale wetgeving specifieke eisen stelt – met name op het gebied van privacy. De centrale vraag daarbij is of cloud computing nu gebaat is bij meer of minder regels. U leest het in deze editie van CloudWorks.

CloudWorks maakt onderscheid tussen feit en fictie op het gebied van cloud computing en helpt organisaties om cloud computing optimaal in te zetten. Toezending van CloudWorks vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via [email protected]. Hoofdredacteur: Jeroen Horlings, [email protected] Uitgever: Arnoud van Gemeren, [email protected] +31 (0)6 53 57 34 90 Postadres redactie: Maredijk 17, 2316 VR Leiden e-mail: [email protected] Vormgeving: Ron Rossen Media Services Uitgeest B.V. Druk: Drukkerij Profeeling Kopij kan worden ingezonden in overleg met de redactie. Geplaatste artikelen vertegenwoordigen niet noodzakelijkerwijs de mening van de redactie. De redactie noch de uitgever aanvaarden enige aansprakelijkheid voor de inhoud van artikelen van derden, ingezonden mededelingen, advertenties en de juistheid van genoemde data en prijzen. Het kopiëren of overnemen van artikelen, geheel of gedeeltelijk, wordt aangemoedigd, maar is uitsluitend toegestaan na schriftelijke toestemming van de uitgever en onder vermelding van: ‘Overgenomen uit CloudWorks, de publicatie over cloud computing’, plus jaargang en nummer. © Copyright 2011 FenceWorks BV. CloudWorks is een uitgave van FenceWorks BV.

Jeroen Horlings, hoofdredacteur CloudWorks [email protected]

mei 2011 - cloudworks - 

Inhoud THEMA: Wet- en regelgeving 8-11 Grenzen, wetten en de cloud 12-13 Juridische hoofdlijnen in kaart 20-21 Cloud computing vereist helder juridisch kader

12 Juridische

hoofdlijnen in kaart

Wie cloud computing zegt, hoort telkens twee kanttekeningen. Zowel informatiebeveiliging als het rechtskader baart kennelijk dusdanige zorgen dat de weg naar het nieuwe leveringsmodel voor ict niet met rozen is geplaveid. Cloud computing blijft echter vooralsnog een bewegend doel nu deze dienstenmatrix verder evolueert en de Europese wetgever met geheel nieuwe privacyregels komt.

30-31 Dataregulatie in de EU

8

36

36-38 Liever wetgeving schrappen dan toevoegen

48

ONDERZOEK 13-18 Cloud computing: contracten

SECURITY 32-34 Uitwisseling van gevoelige informatie in de cloud

EVENTS 26-27 Office 365 29 De mooiste cloud-app

14 Onderzoek cloud

computing: contracten

Zodra er sprake is van tot natuurlijke personen te herleiden gegevens, is er sprake van persoonsgegevens. In nogal wat toepassingen van cloud computing is er sprake van verwerking van zulke gegevens en daarop is specifieke privacywetgeving. In dit slotartikel wordt aan de hand van dit onderzoek een aantal aspecten van deze wetgeving nader belicht.

40

20

TechNet Days

INTERVIEWS 24-25 APC: Kiezen tussen cloud of eigen datacenter

34

48-49 Rain Systems: Wet- en regelgeving

32



kan cloudaanbieders helpen

VASTE RUBRIEKEN 6-7 Nieuws 41

30 42 Het Amazon-debacle

COLUMNS

32

45 Gert Brouwer

Analisten, vakmedia en zelfs zwaargewichten als het Britse opinieblad The Economist hebben na de recente storing bij Amazon grote vraagtekens gezet bij de toekomst van cloud computing. Maar volgens specialisten maakt de crash vooral duidelijk dat klanten zelf verantwoordelijk zijn voor het robuust inrichten van hun ict-omgeving. Ook als ze voor cloud computing kiezen.

EN VERDER 23 Google Cloud Connect 42-44

Het Amazon-debacle

46-47 Cloud computing in het onderwijs:

 - cloudworks - mei 2011

The Legal Look

46

geen toekomstmuziek mei 2011 - cloudworks - 

Nieuws

UPC komt met werkplekken in de cloud Telecomdienstverlener UPC Business gaat werkplekken in de cloud aanbieden op basis van Microsoft Office 365. De oplossing is gericht op het MKB. De oplossing van UPC Business verzamelt de functionaliteiten van Office, SharePoint Online, Exchange Online en Lync Online in één cloudpakket. Het is nog onduidelijk wat de werkplekken gaan kosten, maar waarschijnlijk gaat UPC per gebruiker per maand afrekenen. UPC is niet het enige bedrijf dat werkplekken in

‘De cloud is

het hart van de IT-strategie’ De cloud is het hart van de IT-strategie van veel organisaties. Dit blijkt uit een onderzoek van Brocade en het Cloud Industry Forum. 48 procent van de ondervraagde Europese bedrijven zegt bezig te zijn met de implementatie van een cloudarchitectuur. Daarnaast verwacht 31 procent van de respondenten zich volgend jaar te gaan richten op planning en migratie naar een gedistribueerd computingmodel. Van de bedrijven die de cloud al ingezet hebben, zegt 85 procent dat ze cloud computing in de komende twaalf maanden gaan uitbreiden naar kritische bedrijfsprocessen zoals back-updiensten. Ook blijkt dat voor ruim 50 procent van de respondenten flexibiliteit de belangrijkste factor is om voor de cloud te kiezen. Operationele kostenbesparing is voor 16 procent van de organisaties de belangrijkste factor, terwijl voor 14 procent kapitale kostenbesparing de doorslag geeft. www.brocade.com www.cloudindustryforum.org

•

de cloud op basis van Office 365 gaat aanbieden. Eerder maakte KPN al be-

•

Grote storing treft

clouddiensten Amazon AWS

Een datacenter van Amazon dat wordt ingezet voor met name de EC2-dienst uit Amazon Web Services heeft recentelijk met grote problemen te maken gehad. Hierdoor waren onder andere de internetdiensten Quora, Reddit en Foursquare slecht of niet te bereiken. Het voorval is een pijnlijke situatie voor Amazon, dat Amazon Web Services aanbiedt als ‘pay per use’-model. Klanten betalen Amazon enkel voor het gebruik van capaciteit en doen zelf geen investeringen in hardware. Door deze manier van werken zijn klanten zelf niet verantwoordelijk voor de hardware en kunnen in geval van problemen enkel wachten tot de cloudprovider de problemen heeft opgelost. Extra pijnlijk is dat een deel van de data die verloren is gegaan tijdens de storing, niet meer terug te halen is. Amazon heeft gemeld dat 0,07 procent van de data in het datacenter in Virginia niet meer te herstellen is. Het bedrijf is nog bezig met informeren van alle betrokken klanten. Het is onduidelijk hoeveel mensen hierdoor data hebben verloren.

Menselijke fout tijdens upgrade Amazon heeft inmiddels aangegeven dat de problemen waarschijnlijk door een menselijke fout in een upgradeproces zijn ontstaan. Tijdens het upgraden werd dataverkeer tijdelijk via een andere router geleid. Helaas bleek deze router niet in staat de hoeveelheid da-

 - cloudworks - mei 2011

kend dit soort werkplekken in samenwerking met Microsoft op de markt te willen brengen. Het bedrijf biedt dit aan onder de naam MKB Werkplek, dat onderdeel is van het zakelijke ictportfolio van KPN. De dienst is gericht op ondernemers in het MKB en biedt 1 tot 150 werkplekken aan. KPN rekent voor de dienst 50 euro per maand per gebruiker. Dit is inclusief beveiliging en back-up. www.upc.nl

taverkeer door te sturen, waardoor de router crashte. Door deze crash raakten verschillende onderdelen van het Elastic Block Store-opslagsysteem in de war, waardoor deze niet langer goed functioneerde. Hierbij bleven instances nieuwe spiegelbestanden aanmaken. Het kostte uiteindelijk enkele dagen voordat alle problemen waren verholpen.

Virtuele load balancers als clouddienst

Rackspace gaat virtuele load balancers aanbieden als clouddienst. Een ‘instance’ op basis van load-balancingsoftware van Zeus is beschikbaar vanaf 11 dollar per maand. Door gebruik te maken van de virtuele load balancers van Rackspace hoeven klanten deze niet meer zelf op een virtuele server te installeren. De virtuele instances worden kant-en-klaar geleverd. De instances zijn beschikbaar vanaf 11 euro per maand. Daarnaast brengt Rackspace kosten in rekening voor de hoeveelheid gelijktijdige verbindingen die per uur worden gelegd. Hierbij kost één verbinding 0,015 dollarcent. Helaas is de dienst nog niet beschikbaar in Europa, noch is duidelijk wanneer de dienst naar Europa komt. www.rackspace.nl

•

Wijzigingen moeten nieuwe storing AWS voorkomen Aangezien de problemen waarschijnlijk door een menselijke fout zijn veroorzaakt, wil Amazon het upgradeproces van haar clouddiensten verder automatiseren. Hierdoor moet de kans op herhaling kleiner worden, aangezien de kans op een menselijke fout wordt verminderd. Daarnaast biedt het bedrijf zijn klanten excuses aan en compenseert het deze groep door hen de mogelijkheid te geven tien dagen gratis gebruik te maken van de clouddiensten. Zie ook het artikel op pagina 42

•

Kabinet kiest voor gesloten cloud Het kabinet kiest er definitief voor een gesloten overheidscloud op te zetten. Dit zegt minister Donner van Binnenlandse Zaken en Koninkrijksrelaties in een brief aan de Tweede Kamer. In de brief geeft Donner aan dat de risico’s die verbonden zijn aan de publieke cloud nog te groot zijn om deze in te zetten voor de overheid. De risico’s waar het kabinet op doelt, hebben met name te maken met beveiliging. Hierbij speelt de opslag van data buiten Nederland een belangrijke rol, aangezien de Nederlandse wetgeving voor privacybescherming niet van toepassing is op data die in het buitenland wordt opgeslagen. Wel geeft Donner aan op kleine schaal te willen experimenteren met de public cloud. Hierbij denkt de minister onder andere aan in-

formatiediensten voor zowel burgers als bedrijven. Deze experimenten moeten worden geëvalueerd met behulp van een kosten-batenanalyse. Deze analyse moet de financiële gevolgen van de eventuele invoering van een public cloud in kaart brengen.

•

‘Google misleidt Amerikaanse overheid over clouddienst’

Google heeft de Amerikaanse overheid misleidt over de beveiligingsvoordelen van Google Apps. Dat claimt concurrent Microsoft in een aantal verklaringen op zijn website. Het Amerikaanse ministerie van Binnenlandse Zaken koos vorig jaar voor de cloudoplossing van Microsoft. Google besloot hierop de overheid aan te klagen. Deze rechtszaak moest leiden tot meer concurrentie tussen de aanbieders van clouddiensten. Tijdens deze rechtszaak gaf Google aan dat Google Apps Federal Information Security Ma-

nagement Act (FISMA) gecertificeerd is. Ook op zijn website geeft Google dit aan. Microsoft stelt nu dat dit niet klopt aangezien Google de FISMA-certificering alleen voor Google Apps Premier heeft gekregen. Deze certificering is niet geldig voor de versie van Google Apps die is gericht op overheden. Daarnaast stelt Microsoft dat Google weet dat deze certificering niet geldig is voor de overheidsversie van Google Apps,

aangezien het bedrijf hier een losse certificering voor heeft aangevraagd. Microsoft stelt daarom dat Google het Amerikaanse ministerie van Binnenlandse zaken heeft misleid. In een reactie laat Google weten dat de beschuldigingen vals zijn en dat de FISMA-certificering wel degelijk geldig is voor Google Apps voor overheden. Het bedrijf zegt dat Google Apps Premier en Google Apps Government identieke pakketten zijn, waarbij de overheidversie over twee extra veiligheidsfuncties beschikt. Hierdoor heeft de General Service Administration volgens Google besloten dat deze versie geen aparte certificering nodig heeft en de certificering dus voor beide pakketten geldig is. Microsoft blog: http://bit.ly/i4AJHs

•

mei 2011 - cloudworks - 

Thema

Over grenzen, wetten en de cloud

de ‘nationale manoeuvreerruimte’. Maar zoals hieronder zal blijken, wordt er hard gewerkt om deze obstakels voor cloud computing inderdaad te verwijderen.

Cloud blijkt

Wetgeving uit 1995 De problemen worden veroorzaakt door verouderde wetgeving. Het directief waarin Brussel de regels voor digitale privacybescherming vastlegt – Directief Databescherming 95/46/EC genaamd – dateert in zijn oorspronkelijke vorm van 24 oktober 1995. Dat was het begin van het publieke internet, de tijd van modems en inbellijnen en betalen per minuut voor de verbinding. Online overheidsdiensten bestonden niet of nauwelijks. In die tekst wordt al nadrukkelijk ingegaan op de bestaande verschillen in digitale privacywetgeving binnen de diverse lidstaten, die ‘Brussel natuurlijk niet zo maar van tafel kan vegen. Inmiddels zijn we ruim vijftien jaar verder en ziet de digitale wereld er anders, maar dan ook héél anders uit: sociale netwerken, software as a service, mogelijkheden voor online dataopslag, digitale patiëntendossiers, internettelefonie, cloudoplossingen en dat alles draaiend over glasvezelnetwerken. Deze nieuwe constellatie doet de bestaande wetgeving uiteraard in zijn voegen kraken.

juridisch mijnenveld Allemaal leuk en aardig die clouds van tegenwoordig, maar er kleven wel bezwaren aan op het gebied van onder meer privacybescherming en bescherming van intellectueel eigendom. Dit komt vooral doordat Europese regelgeving daaromtrent dateert van 1995, toen internet net van de grond begon te komen. In dit artikel kijken we naar enkele juridische haken en ogen van de cloud en naar de oplossingen die worden aangedragen. Door Paul Matthijsse, freelance journalist Werken met een cloudomgeving roept nogal wat vragen op. Bijvoorbeeld mógen persoonsgegevens van Nederlandse burgers wel worden opgeslagen op harde schijven die zich fysiek in Duitsland bevinden? En welk economisch risico loopt een Nederlands bedrijf dat zijn ontwerptekeningen ‘ergens’ in de cloud opslaat op het moment dat een Britse rechter besluit dat de AmerikaansBritse cloudprovider inzage in zijn harde schijven moet geven, omdat deze provider verdacht wordt strafbare content op zijn servers te hosten? Krijgt iemand die tekeningen daardoor ook onder ogen? En hoe vertrouwelijk wordt daarmee omgesprongen? Dan is er nog het auditverhaal. Kan een bedrijf onomstotelijk aantonen dat de toegang tot gegevens die in de cloud zijn opgeslagen overeenkomstig het gevoerde veiligheidsbeleid verloopt? Een recent onderzoek van Courion, waarover later meer, geeft alvast het antwoord: dat kan steeds en steeds minder. Op juridisch gebied blijkt onze onvolprezen cloud dus nogal wat haken en ogen te hebben. Volgens EuroCloud, de club die zich opwerpt

 - cloudworks - mei 2011

als belangenbehartiger van Europese cloudgebruikers, vormt de huidige situatie dan ook niets minder dan een juridisch mijnenveld. Voor sommige bedrijven en overheidsinstellingen reden genoeg om gevoelige gegevens op dit moment niet in een openbare cloud onder te brengen. Maar dit betekent weer dat deze groep gebruikers niet over de praktische voordelen van een cloudaanpak kan beschikken en dat remt weer potentiële innovatie.

Data als geld

Actie vanuit Brussel Ook ‘Brussel’ heeft dit uiteraard al langere tijd in de gaten. In een toespraak in januari jongstleden tijdens het World Economic Forum in Davos beloofde

drijfsleven heeft daar belang bij en de Europese burger ook; bovendien past de juridische facilitering van cloud-com-

De nieuwe digitale wereld doet de bestaande wetgeving in zijn voegen kraken mevrouw Smit-Kroes dat Europa snel maatregelen zal nemen om deze juridische verwarring zo snel mogelijk de wereld uit te helpen. Het Europese be-

puting prima binnen de Digitale Agenda die onder meer ten doel heeft om elke Europeaan toegang tot internet te bieden. Vorig jaar drong een bedrijf als Mi-

crosoft al aan op een snelle wijziging van de Europese regels. Dat gebeurde bij monde van Brad Smith, de topjurist van het bedrijf. Hij beklaagde zich erover dat het voor een niet-Europees bedrijf vrijwel ondoenlijk is om clouddiensten in Europa aan te bieden, omdat het zich dan aan niet-geharmoniseerde wetgeving van 27 landen dient te houden. Smith wees er bijvoorbeeld op dat de regelgeving met betrekking tot dataretentie niet consistent is. Het ene EUland stelt als eis dat serviceproviders het

e-mailverkeer van hun klanten (alleen de adressen, niet de inhoud) gedurende zes maanden moeten bewaren, terwijl een ander EU-land deze termijn op twee jaar stelt. Dit betekent dat een aanbieder van een grensoverschrijdende e-maildienst die in de cloud draait volautomatisch over de schreef gaat. Dat deze wetgeving niet geharmoniseerd is, komt simpelweg door het feit dat de Europese landen een zekere ruimte hebben om de regels uit Brussel meer of minder strikt te interpreteren, oftewel de beken-

Peter Hustinx is de Europese supervisor voor databescherming, een onafhankelijke toezichthouder op de juiste toepassing van Europese privacyregels door de lidstaten. In een toespraak voor het Europees Parlement tijdens de derde Europese Cyber Security Awareness Day in april vorig jaar, ging hij uitgebreid in op het verschijnsel cloud computing en de uitdagingen die dat voor een wetgever met zich meebrengt. De centrale vraag was: biedt het huidige juridische raamwerk voldoende instrumenten om de privacy van persoonlijke data in de grensoverschrijdende cloud te waarborgen? Antwoord: dat is maar ten dele het geval. In principe zijn fysiek in Europa gevestigde cloudaanbieders gehouden aan de regels van genoemd Directief Databescherming. Maar Amerikaanse aanbieders van clouddiensten die Europese klanten willen bedienen, vallen weer niet onder de Europese regels. En dat maakt het voor Europese bedrijven weer onmogelijk om zaken te doen met een fysiek in de VS gevestigde cloudle-

mei 2011 - cloudworks - 

Thema verancier, omdat daar andere privacyregels gelden die niet conform de Europese zijn. Een Amerikaans bedrijf als Rackspace heeft dit dilemma onlangs opgelost door een nieuw datacenter in het Verenigd Koninkrijk te openen. Rackspace kan daarmee zijn Europese klanten garanderen dat hun data de Europese ruimte niet verlaat. Vanuit cloudtechnisch oogpunt is het natuurlijk enigszins bizar dat een bedrijf vanwege regelgeving gedwongen wordt een nieuw datacenter te bouwen, terwijl dezelfde diensten al lang en breed via bestaande datacenters geleverd kunnen worden. De cloud is immers een grenzeloos concept – by design! In dit verband suggereert het eerder genoemde EuroCloud om data net zo te gaan behandelen als geld. Wie online een bankrekening opent en daar geld op stort, heeft ook geen flauw idee waar dat geld zich fysiek bevindt. Die locatie is niet belangrijk, het enige wat telt, is dat er een overeenkomst tussen bank en klant bestaat die aan nationale wetgeving onderhevig is. EuroCloud pleit er dus voor het hele verhaal over het belang van de locatie van de data los te laten. Daar zit zeker wat in. Hustinx stipte nog een ander punt aan dat van belang is om vast te stellen of een cloudaanbieder al dan niet aan Europese regels voldoet. Dat gaat er dan om wat een cloudaanbieder precies met de data doet. Dit geeft namelijk antwoord op de juridisch relevante vraag of de cloudaanbieder als een datacontroller (eigenaar) of als dataprocessor (verwerker) beschouwd moet worden. Afhankelijk van de geleverde

gelgeving aan te passen om cloud computing een juridisch dichtgetimmerd kader te bieden. Het beveelt vooralsnog aan om privacygevoelige overheidsdata op de duurdere privéclouds te bewaren en verwerken, terwijl minder gevoelige informatie in de publieke cloud kan worden geparkeerd.

WildWestCloud

formed decision genaamd, dateert van januari 2011 en wil – zoals de ondertitel al aangeeft – het senior management van de diverse lidstaten helpen de juiste afweging te maken om al dan niet met cloudtechnologie in zee te gaan en indien ja, welk type cloud voor welke situaties het best geschikt is. Het rapport is gebaseerd op de input van ruim twintig experts uit het bedrijfsleven en de technische wetenschappen en stelt dat cloudtechnologie een zeer interessante optie is voor overheidslichamen vanwege de schaalbaarheid, elasticiteit, snelheid en redundantie, gecombineerd met kostenvoordelen. Maar de belangrijkste uitdaging is om de risico’s op het gebied van privacy en redundantie goed te begrijpen, omdat het ‘aflevermodel’ door de cloud is veranderd. Dat heeft grote

De cloud van vandaag heeft veel weg van een wildwestsituatie dienst kan dat de een, de ander of beide zijn. Voor beide entiteiten gelden weer enigszins andere regels met betrekking tot privacybescherming.

ENISA Dan is er nog een zeer lijvig rapport van de European Network and Information Security Agency (ENISA) – ook wel bekend als de Europese cyberwaakhond – waarin wordt onderzocht of het cloudmodel ingezet kan worden door Europese overheden en overheidsinstanties. Dit rapport Security and Resilience in Governmental Clouds – Making an in-

10 - cloudworks - mei 2011

gevolgen voor de juridisch belangrijke vraag wie er op zeker moment verantwoordelijk is voor een bepaalde dataset (‘accountability’), bijvoorbeeld de gemeentelijke database van een middelgrote stad met de NAW-gegevens van alle inwoners van die stad. Het risico van de cloud is dat overheidsinstanties het zicht op en de controle over hun data kunnen verliezen. Daarom pleit de ENISA voor meer transparantie: in contracten met cloudaanbieders moet deze verantwoordelijksheidsvraag expliciet worden beantwoord. Het rapport eindigt met de oproep om de Europese re-

Dat de cloud op auditgebied voor de nodige onduidelijkheid zorgt, blijkt ook uit een onderzoek dat de Amerikaanse compliancespecialist Courion afgelopen oktober onder 384 businessmanagers heeft gehouden. Het overgrote merendeel van deze managers was werkzaam bij bedrijven met meer dan duizend werknemers over de hele wereld. Conclusie: cloudadoptie gaat sneller dan het bijstellen van de security controls en de cloud van vandaag heeft dan ook veel weg van een wildwestsituatie. De cijfers die uit deze 2010 Access Assurance Survey naar voren komen, zijn dan ook op z’n zachtst gezegd verontrustend. Bijna de helft van de ondervraagden zegt er geen vertrouwen in te hebben dat een compliance-audit van hun cloudapplicaties zou uitwijzen dat de toegangscontrole tot die applicaties – en dus de data – goed is geregeld. Meer dan driekwart van de ondervraagden geeft aan niet te weten wie er verantwoordelijk zou moeten zijn voor data die in de cloud is opgeslagen. 65 procent meent dat de eigenaar van de data, de applicatieleverancier en de cloudprovider alle drie verantwoording dragen voor de databescherming, terwijl 13 procent aangeeft hier niet zeker van te zijn. Er blijkt geen consensus te bestaan over welke partij de eindverantwoordelijkheid voor de data draagt. Maar liefst 61 procent zegt ‘weinig of geen zicht’ te hebben tot welke systemen of applicaties hun medewerkers toegang hebben. Het onderzoek concludeert dat met de komst van de cloud dit soort problematiek alleen maar is toegenomen. Uit bovenstaande zal duidelijk geworden zijn dat cloud computing wringt met de huidige wetgeving. Juist omdat het een grensoverschrijdend concept is en omdat het zo nieuw is, zitten wetgevers tijdelijk met de handen in het haar. Maar onder druk van de markt en van gebruikers zal dit ongetwijfeld snel ten goede veranderd zijn. CW

Thema

Juridische hoofdlijnen

tot doel heeft de persoon in kwestie te beschermen en een informationeel zelfbeschikkingsrecht te geven. Degene die verantwoordelijk is voor de gegevensverwerking moet onder meer ‘passende technische en organisatorische maatregelen ten uitvoer leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking’. De beveiligingsverplichting strekt zich uit tot alle onderdelen van het proces van gegevensverwerking – van het aanmaken tot de opslag, archivering en vernietiging – en betreft zowel de verantwoordelijke (de eigenaar) als de (cloudservice)verwerker.

cloud computing in kaart Wie cloud computing zegt, hoort telkens twee kanttekeningen. Zowel informatiebeveiliging als het rechtskader baart kennelijk dusdanige zorgen dat de weg naar het nieuwe leveringsmodel voor ict niet met rozen is geplaveid. Waarschijnlijk ligt de oorzaak mede in onwetendheid. Cloud computing blijft echter vooralsnog een bewegend doel nu deze dienstenmatrix verder evolueert, standaarden en best practices volop in ontwikkeling zijn, en de Europese wetgever met geheel nieuwe privacyregels komt. Toch helpt de identificatie van waterscheidingen bij een pragmatische aanpak om wolkenautomatisering juridisch te benaderen. Door Mr. V.A. de Pous, bedrijfsjurist en industrieanalist We beseffen niet altijd dat ontwikkelingen rap gaan en bovendien divers van aard zijn: technisch, organisatorisch, financieel, bedrijfseconomisch en maatschappelijk. Verder weegt mee dat tot voorheen strak gescheiden zaken tegenwoordig door elkaar lopen of zich vermengen. Neem de verhouding tussen werk en privé of het handelen als consument of uit hoofde van een beroep of bedrijf. Samenvattend constateren we verwarring alom; ook over cloud computing als nieuwe leveringswijze voor ict, het juridisch raamwerk incluis. Software, rekenkracht en gegevensopslag worden als een automatisch schaalbare en elastische dienst op afroep geleverd en zijn door middel van virtualisatietechnieken losgekoppeld van de fysieke computerfaciliteiten in datacenters. Hierdoor krijgt deze op internet gebaseerde gegevensverwerking een ‘vloeibaar’ en vaak grensoverschrijdend karakter, terwijl de gebruikersorganisatie vooral bij uitbesteding zeggenschap en controle inlevert. Deze kenmerken kunnen met rechtsnormen botsen.

12 - cloudworks - mei 2011

Zelf doen of uitbesteding Volgens het National Institute of Standards and Technology (NIST) in de Verenigde Staten betreft cloud computing de elastische schaalbaarheid van de verwerkings-, netwerk- en opslagcapaciteiten (computerbronnen), die worden gedeeld en op afroep door middel van automatische zelfbediening geleverd. Hoewel voorstanders als regel de positieve financiële en budgettaire aspecten benadrukken die door technologische efficiencyverbetering ontstaan, faciliteert dit leveringsmodel tijd- en plaatsonafhankelijk handelen in optima forma. Denk aan werken, besturen, zakendoen en natuurlijk activiteiten voor en in ons privéleven. Het feit dat cloud computing zowel technologisch als bedrijfsmatig fundamenteel iets anders is, wil daarom niet zeggen dat de rechtsaspecten afwijken. Maar wie al denkend de Amerikaanse definitie in het vizier houdt, begrijpt al snel dat het juridische raamwerk voor cloud computing zich daadwerkelijk onderscheidt van dat

voor het klassieke leveringsmodel voor gegevensverwerking – vooral wanneer we het over een uitbestedingsrelatie hebben, dus wanneer een gebruikersorganisatie een dienst afneemt van een cloudserviceprovider. In dit geval heeft de gebruikersorganisatie in de regel: - geen controle over en kennis van de geleverde ict-onderdelen en het virtuele informatiesysteem als geheel; - geen controle over en kennis van de exacte locatie van de geleverde ictonderdelen en het virtuele informatiesysteem; - een sterke afhankelijkheidssituatie ten opzichte van de cloudserviceprovider en de gebruikte technologie, mede omdat met name bij SaaS, zowel de ict-onderdelen als de bedrijfsinformatie letterlijk in handen van deze leverancier en hun toeleveranciers zijn.

Nationaal of grensoverschrijdend

Product of dienst Zowel de feitelijke en technologische aspecten van het leveringsmodel zorgen voor juridische veranderingen. Zo wordt er immers geen product, maar een dienst geleverd, ontvangt de gebruiker doorgaans geen fysiek exemplaar van de software die hij op afstand gebruikt, en vraagt de licentieverlening van computerprogramma’s bij virtualisatie om andere modellen nu de een-op-eenrelatie met apparatuur en besturingssysteem niet langer bestaat. Of we ons nu tot de ´klassieke´ dienstenmatrix beperken – software, platform en infrastructuur – of uitgaan van ´everything as a service´, per definitie zijn contracten voor cloud computing duurovereenkomsten. Bij gebreke van contractuele of wettelijke bepaling is de duurovereenkomst alleen opzegbaar wanneer er een voldoende zwaarwegende grond voor opzegging bestaat of wanneer er een redelijke opzegtermijn in acht wordt genomen. Hierbij moeten alle relevante omstandigheden van het geval in aanmerking worden genomen, waaronder de duur van de overeenkomst.

Technologie of gegevens Elektronische technologie ziet toe op de notoire bits en bytes, uiteindelijk zelfs op enen en nullen. Maar er is wel degelijk verschil. Gaat het om een computerprogramma of om gegevens? Die vraag speelt niet alleen in technologisch perspectief een centrale rol; het rechtskader brengt scherp onderscheid aan tussen softwarecode en informatie in digitale vorm. Met deze juridische waterscheiding hebben aanbieders en afnemers van cloud-computingdiensten in al haar omvang te maken. Zo gelden er legislatief bezien (beschermings)regels voor computerprogramma´s die primair ten goede komen aan de producenten, met uitzondering van enkele basisrechten voor gebruikers (licentienemers), zoals het recht op het maken van een reservekopie. Voor informatie is de aard van de gegevens bepalend voor het toepasselijke wettelijke kader.

Het fiscaal recht ziet bedrijfsinformatie nogal ruim. Zo geldt op grond van het Burgerlijk Wetboek en de Algemene wet inzake rijksbelastingen (AWR) de algemene fiscale bewaarplicht van zeven jaar voor alle bedrijfsinformatie die van belang is voor de belastingheffing, facturen en meer, zoals contracten en correspondentie.

Gegevens of persoonsgegevens Een belangrijke piketpaal vormt het onderscheid tussen persoonsgegevens – klantengegevens en personeelsinformatie – en andere bedrijfsinformatie. Denk aan technische en commerciële bedrijfsgeheimen, financiële gegevens en voorraadinformatie. Een persoonsgegeven is volgens de wet een gegeven dat herleidbaar is tot een identificeerbaar natuurlijk persoon. Daarvoor geldt een omvangrijk juridisch kader dat

Nog een waterscheiding: op grond van het Nederlandse recht mogen persoonsgegevens niet zonder toestemming van het ministerie van Justitie buiten de Europese Economische Ruimte (EER) worden verwerkt. Deze jurisdictie ziet toe op de 27 lidstaten van de EU plus IJsland, Noorwegen en Liechtenstein. Maar ook het communautaire binnenland vraagt om extra aandacht. We constateren namelijk verschillen bij de uitvoering van de Europese privacyregels (onderscheid in de regelgeving zelf, bijvoorbeeld ten aanzien van bewaartermijnen) en onduidelijkheid over de vraag van welke lidstaat de regels in het concrete geval gelden (welk nationaal recht is van toepassing?)

Tot slot De vraag of nieuwe wetgeving met het oog op cloud computing gewenst is, is voor wat betreft de (harmonisatie van) regels voor de verwerking van persoonsgegevens in Europa een gepasseerd station. De Europese Commissie werkt aan een grondige herziening van het privacyrecht, waarvan we de blauwdruk nog dit jaar onder ogen krijgen. Daarnaast onderzoekt Brussel of overheden een grotere rol moeten spelen bij standaardisatie van cloudtechnologie, zoals interfaces, gegevensindelingen (data formats), om interoperabiliteit te realiseren. Welke wetgeving er komt en wat voor impact dat heeft op cloud computing, valt nog te bezien. CW

mei 2011 - cloudworks - 13

Onderzoek

Onderzoek cloud computing in Nederland (5)

Nog veel te winnen bij

contractering Voor cloud computing bestaat geen specifieke wet- en regelgeving. Dit betekent dat de rechtsverhouding tussen de aanbieder en de afnemer van clouddiensten vrijwel geheel wordt bepaald door het contract dat beide partijen zijn aangegaan. Maar waar moet een afnemer van cloud-computingdiensten zoal rekening mee houden en dus afspraken over maken? Is algemeen bekend wat in een contract over clouddiensten zoal zou moeten worden vastgelegd, of moet er nog een en ander aan de bewustwording worden gedaan? Afgelopen najaar voerde CloudWorks, in samenwerking met het organisatieadviesbureau Quint Wellington Redwood en het advocatenkantoor Hogan Lovells, een onderzoek uit naar het gebruik en de acceptatie van cloud computing in ons land. Hierin werden zowel IT- als financiële en juridische aspecten aan de orde gesteld. De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek. In deze vijfde aflevering worden een aantal aspecten rondom contracteren nader belicht. Door Rik Zagers en Frank de Vries Bij het aangaan van de contractuele relatie over clouddiensten is het van belang wat de onderhandelingspositie is van partijen. Zo zal een kleinere partij vaak genoegen moeten nemen met het standaardcontract of de standaardbepalingen van een grotere partij. Daarbij speelt overigens ook de inrichtingsvorm een rol (private, hybride, public) maar ook de mate van standaardisatie van de geboden dienst. Hoe meer men neigt naar een private cloud, hoe meer men contractueel sturing kan geven. Hoe meer gestandaardiseerd de dienst, hoe minder men kan sturen. Regelmatig zijn het overigens de bepalingen van de aanbieder van de clouddiensten die standaard worden overgenomen.

Standaardcontract Bij het afnemen van clouddiensten geeft 29,6 procent van de respondenten van het onderzoek aan gebruik te maken van een standaardcontract dat afkomstig is van de cloudleverancier. 31,4 procent vult een dergelijk standaardcontract aan met maatwerk, en in 33,3 procent van de gevallen komt de overeenkomst geheel

14 - cloudworks - mei 2011

als maatwerk tot stand. Ongeveer een derde van de afnemers van clouddiensten, al met al een groot deel, laat zich dus geheel leiden door de leverancier. Op zichzelf hoeven standaardcontracten niet per definitie nadelig te zijn, maar de opsteller van de standaardtekst – doorgaans de aanbieder van de clouddienst – zal zich vooral door zijn eigen belang hebben laten leiden, en niet zozeer zijn afgegaan op het belang van de andere partij.

Belang van het contract Als er sprake is van het verwerken van persoonsgegevens in de cloud, is de afnemer van de dienst doorgaans verantwoordelijk voor het in acht nemen van de privacywetgeving. Dit betekent in gevallen van verwerking van persoonsgegevens dat de afnemer van de clouddienst bij het aangaan van een contract aandacht moet besteden aan het vraagstuk of hij aan alle wettelijke plichten ten aanzien van de privacywetgeving kan voldoen. Maar ook als er geen sprake is van het verwerken van persoonsgegevens is het voor de afnemer van belang

op een aantal algemene aspecten goed te letten. Het belang van een evenwichtige overeenkomst is uiteraard groter naarmate het belang van de in de cloud ondergebrachte toepassing groter is, laat staan als de toepassing bedrijfskritisch is. Het verdient aanbeveling om bij het opstellen of het beoordelen van een contract advies in te winnen bij een ter zake kundige jurist. Als er door de aanbieder van de clouddiensten een mogelijkheid wordt geboden de standaardovereenkomst aan te passen, verdient het aanbeveling het contract als geheel mee te laten wegen in de keuze voor een bepaalde leverancier en toepassing.

Nadenken over beëindiging Aangezien veel van de geschillen over een contract gaan over de toestand die ontstaan is vlak na of door de (wens tot) beëindiging van de contractuele relatie, is het van het grootste belang tevoren al na te denken over hoe de overeenkomst kan worden beëindigd. Het contract moet waarborgen bieden dat aan

het eind van de relatie de continuïteit van de activiteiten van de afnemer van de dienst is gegarandeerd. Het is dus raadzaam vooraf al stil te staan bij een exitstrategie en hoe de afhankelijkheid van de aanbieder van de clouddienst beperkt wordt (zie het kader ‘Vragen omtrent exitstrategie’).

Afspraken gemaakt? 50 procent van de respondenten van het onderzoek geeft aan dat er niet is nagedacht hoe in geval van een dispuut de uitbestede diensten en data (snel) bij een andere aanbieder van clouddiensten zou kunnen worden ondergebracht. 44 procent van de respondenten heeft hierover wel afspraken gemaakt. Het spreekt verder voor zich dat als er eigen functionaliteit wordt ontwikkeld, dat de afnemer van de clouddiensten ook waarborgen zou moeten afspreken over de continuïteit van deze functionaliteit. Doet bijvoorbeeld de functionaliteit

het nog steeds als het platform van de aanbieder een upgrade krijgt? 33 procent van de respondenten geeft aan dat er voor dit soort gevallen afspraken zijn gemaakt, maar een even grote groep van 35 procent geeft aan dat dergelijke afspraken er niet zijn.

Risico’s en aansprakelijkheden Een ander belangrijk aspect betreft risico’s en aansprakelijkheden. Dit is door-

gaans maatwerk en hangt af van de wederzijdse belangen die er bij de betreffende clouddienst zijn. Stel bijvoorbeeld dat in de cloud een bedrijfskritieke toepassing wordt ondergebracht: Wat gebeurt er als deze toepassing voor een bepaalde periode niet toegankelijk is of – erger nog – als er bijvoorbeeld gegevens in handen van derden raken, verdwijnen of beschadigd raken door toedoen van de aanbieder? Wat als de afnemer van de clouddiensten aanspra-

Vragen omtrent exitstrategie Enkele vragen die men zich kan stellen met betrekking tot de exitstrategie: - Is duidelijk in welke gevallen, op welke manier en binnen welke termijnen er een einde gemaakt kan worden aan de contractuele relatie? - Is duidelijk bepaald wie deze relatie kan beëindigen? - Zijn er aan het beëindigen kosten verbonden of nadere voorwaarden? - Kan de afnemer van de clouddiensten aan het einde van de contractuele relatie beschikken over zijn gegevens en de functionaliteit? - In welke vorm, binnen welke termijn en tegen welke kosten krijgt hij daar dan de beschikking weer over of kan hij bij een ander terecht?

mei 2011 - cloudworks - 15

Onderzoek kelijk wordt gesteld door zijn klanten, kan hij op zijn beurt de aanbieder van de clouddiensten aansprakelijk stellen? En neemt de aanbieder dan mogelijk de vergoeding van de gehele schade op zich, of wordt dat door een contractbepaling gelimiteerd, of zelfs geheel uitgesloten? Er kunnen hierbij grote belangen en bedragen op het spel staan, en vaak kan tevoren al een goede inschatting worden gemaakt over hoe groot de waarde van een aansprakelijkheidsbepaling is. En wat zijn de verplichtingen van de aanbieder van de diensten bij kleine en grotere storingen of ten aanzien van onderhoud? Hoe is de bereikbaarheid van de aanbieder van de diensten? Heeft de aanbieder van de diensten bepaalde inspannings- of resultaatverplichtingen, bijvoorbeeld ten aanzien van de bevei-

de andere kant geeft nog steeds een aanzienlijk deel van de respondenten aan dat dit niet het geval is (zie figuur 1). De afnemer doet er goed aan hier op zijn minst heldere afspraken over te maken, en – beter nog – te bedingen dat de intellectuele eigendom alleen hem toekomt. Er kunnen ook werken waarop een recht van intellectuele eigendom rust, worden ondergebracht in de cloudtoepassing – zo kan een bepaalde innovatieve functionaliteit, door de klant ontwikkeld, worden gekoppeld aan een cloudplatform van de leverancier. Vooral bij IaaS en PaaS zal dat het geval kunnen zijn. De afnemer moet zich in dat geval ervan verzekeren dat zijn rechten worden gerespecteerd zonder dat daarbij op het kwaliteitsniveau wordt ingeboet.

Nogal eens worden de bepalingen van de aanbieder standaard overgenomen liging van de cloud? Het is zaak heldere en gedetailleerde afspraken te maken over het niveau van de dienstverlening (‘service level agreement’).

Intellectuele eigendom Het is ook noodzakelijk in het contract afspraken te maken op wie de intellectuele eigendom rust, vooral als er een nieuw recht van intellectuele eigendom kan voortvloeien uit de clouddienst. Dit kan bijvoorbeeld het geval zijn als de afnemer zelf functionaliteit ontwikkelt (platform as a service), of als de verzameling gegevens door een verwerking in de cloud een toegevoegde waarde krijgt waarop een recht van intellectuele eigendom rust. 44 procent van de respondenten geeft aan dat de intellectuele eigendom van zelfontwikkelde functionaliteit goed is beschermd, aan Ja

44.4%

Nee

24.0%

Anders

20.3%

Geen antwoord

11.1%

Het contract is bij voorkeur ook duidelijk over wie verantwoordelijk is voor het respecteren van de (intellectuele eigendoms-) rechten van derden. In de praktijk betekent dat: wie neemt waarop de benodigde licenties. De afnemer van diensten zal bijvoorbeeld onaangenaam verrast zijn door een derde te worden aangesproken op inbreuk voor (onderdelen van) diensten die hij afneemt van de aanbieder van de clouddiensten, die daar kennelijk geen licentie voor heeft. Dergelijke situaties kunnen overigens ook omgekeerd voorkomen.

Vertrouwelijkheid Ook de vertrouwelijkheid speelt een rol. Wat als de aanbieder, bedoeld of onbedoeld, iets openbaar maakt wat de afnemer van de clouddiensten als vertrouwelijk in de cloud heeft gestopt? En wat

Figuur 1. Is de intellectuele eigendom van door de klant zelf op een platform van de cloudprovider ontwikkelde functionaliteit goed beschermd?

16 - cloudworks - mei 2011

gebeurt er bij overtreding van de vertrouwelijkheidsbepaling? Staat daar een boete op? Welke maatregelen worden er getroffen ter bescherming en beveiliging van de gegevens in de cloud? Bij de hierna te bespreken persoonsgegevens komt daar nog eens de mogelijkheid van aansprakelijkheidsstelling door overheden of de betrokken personen in kwestie bij.

Locatie Het is van groot belang om te weten waar de (onderliggende hardware van de) clouddienst feitelijk is ondergebracht en waar gegevens in de cloud feitelijk worden opgeslagen, en dat ook contractueel vast te leggen. Er kan immers wet- en regelgeving van toepassing zijn van de landen waar de servers van de clouddiensten feitelijk staan. In sommige sectoren, denk bijvoorbeeld aan de financiële sector, kan dat gaan om uiteenlopende en verstrekkende weten regelgeving. Pas als bekend is welke landen betrokken zijn, kan bepaald worden welke wet- en regelgeving voor alle relevante jurisdicties van toepassing is. In dit algemene artikel zal verder niet op sectorspecifieke voorwaarden worden ingegaan, maar het onderstreept de noodzaak om juridisch kundig advies in te winnen bij het afnemen van een clouddienst. Het kennen van de landen waar de clouddienst daadwerkelijk plaatsvindt, geldt overigens in het bijzonder voor de verwerking van persoonsgegevens.

Persoonsgegevens Een bijzondere, maar wel zeer gangbare categorie van gegevens zijn de zogenaamde persoonsgegevens. Persoonsgegevens zijn alle gegevens die zijn te herleiden tot natuurlijke personen. Op het verwerken van persoonsgegevens is privacywetgeving van toepassing. In het vorige artikel is hierop al uitvoerig ingegaan (zie CloudWorks #3, april 2011). De Wet bescherming persoonsgegevens (Wbp) legt de meeste verplichtingen ten aanzien van de verwerking van persoonsgegevens op aan de zogenaamde verantwoordelijke, en daarnaast ook enkele verplichtingen aan de zogenaamde bewerker. De verantwoordelijke is degene die het doel en de middelen van de verwerking van persoonsgegevens vaststelt. Bij cloud computing is dat doorgaans de afnemer van de dienst.

Als de aanbieder van de dienst zelf nog verwerkingen uitvoert op de persoonsgegevens van de afnemer, dan is de aanbieder voor die verwerkingen ook verantwoordelijk in de zin van de Wbp, met alle verplichtingen van dien. Doorgaans zal de aanbieder van clouddiensten alleen als bewerker moeten worden beschouwd, dat wil zeggen degene die de verwerking van persoonsgegevens voor de verantwoordelijke uitvoert, zonder aan diens directe gezag te zijn onderworpen.

Welke bepalingen? Zoals eerder al gememoreerd maakt liefst 30 procent van de respondenten gebruik van een standaardcontract van de aanbieder van clouddiensten. Op welke bepalingen moet de verantwoordelijke, dus de afnemer van de diensten, toezien? In de eerste plaats op een passend beschermingsniveau. Gaat het in de cloud mis met de persoonsgegevens, bijvoorbeeld omdat zij door een hack bij een derde terechtkomen, of doordat de bewerker de persoonsgegevens onzorgvuldig behandelt, dan is de verantwoordelijke daar in beginsel voor aansprakelijk. Voor het bieden van een passend beschermingsniveau moeten er afdoende organisatorische en technische beveiligingsmaatregelen zijn getroffen. Het is zaak dat in het contract hier expliciet aandacht aan wordt besteed en dat de feitelijke situatie ook voldoet aan deze bepalingen. De afnemer van de clouddienst moet zich er zeker van kunnen stellen dat deze maatregel in acht worden genomen. Het verdient daarom aanbeveling om een mogelijkheid tot het doen van een audit vast te leggen in het contract. Bij het afsluiten van het contract met de aanbieder van de diensten, zal de afnemer zich dus van zijn verantwoordelijke rol bewust moeten zijn. Het verdient daarom aanbeveling dat de afnemer juist over het privacybeleid sturend optreedt in de onderhandelingen over het contract. Maar alhoewel de afnemer van de clouddiensten veelal de verantwoordelijke is in de zin van de Wbp, en er daarom op de afnemer van de clouddiensten de meeste verplichtingen rusten die voortvloeien uit de Wbp, geeft een krappe meerderheid van 52 tegen 46 procent van de respondenten aan

niet eens te weten wat het privacybeleid is van hun aanbieder van clouddiensten. Hoe concreter de afspraken over de beveiliging van de persoonsgegevens, hoe beter. Toch geeft 41 procent van de respondenten aan niet te weten of er sprake is van passende maatregelen in geval van een incident dat de privacy of de veiligheid beïnvloedt. 37 procent is hier wel zeker van, en van deze groep heeft de helft een inspanningsplicht afgespro-

ken met hun aanbieder. De andere helft heeft een resultaatverplichting. De Wbp eist overigens dat de privacy wordt gewaarborgd; een inspanningsverplichting volstaat niet!

Modelcontracten EU Overigens heeft de EU modelcontracten opgesteld voor wat betreft de waarborging van de privacy in de relatie tussen de verantwoordelijke en de bewerker.1 In de cloud komt dat doorgaans neer op

Safe harbor Het nevenstaande aangaande het privacybeleid is helemaal van belang als de verwerking van de persoonsgegevens buiten de Europese Economische Ruimte plaatsvindt, en ook buiten het kleine aantal landen waarvan de EU verder nog heeft bepaald dat deze landen een voldoende beschermingsniveau voor de bescherming van de persoonsgegevens bieden (zie CloudWorks #3, april 2011). Worden de persoonsgegevens buiten dit territorium gebracht en verder verwerkt, dan zal de verantwoordelijke ervoor moeten zorgen dat hij over de eventueel benodigde toestemming dan

wel vergunning voor de verwerking in dat buitenland beschikt, of in het geval van verwerkingen in de Verenigde Staten, dat hij een bewerker inschakelt die beschikt over een ‘Safe Harbor’-verklaring, afgegeven door het Amerikaanse ministerie van Handel. Bij de aanvraag voor een dergelijke vergunning, wordt concreet gekeken naar de maatregelen en afspraken die zijn gemaakt ten aanzien van de privacy. Overigens kan het ook nog eens zo zijn dat naast de Nederlandse wetgeving, ook nog de privacywetgeving van toepassing is van het land waar de verwerking plaatsvindt.

mei 2011 - cloudworks - 17

Connectivity of the Cloud

Onderzoek de relatie tussen de afnemer en de aanbieder van de clouddiensten. Bij de beoordeling van een vergunningsaanvraag wordt nauwkeurig gekeken in hoeverre de gemaakte afspraken afwijken van die in de door de EU opgemaakte standaardcontracten. Om het verkrijgen van een vergunning zo soepel mogelijk te maken wordt daarom aangeraden deze contracten zoveel als mogelijk over te nemen. Ook als er geen vergunning nodig is, is het raadzaam deze contracten in ieder geval erop na te slaan en als mogelijk ook te gebruiken, omdat de bepalingen van deze contracten in ieder geval waarborgen bieden voor een voldoende beschermingsniveau van de privacy bij de verwerking van persoonsgegevens.

Geschillen Als er een geschil ontstaat tussen de aanbieder en de afnemer van de clouddienst dat voorgelegd zou moeten worden aan een rechter (of arbiter), is de vraag aan welke instantie het geschil moet worden voorgelegd en volgens welk recht het geschil zal moeten worden beslecht. Cloud computing wordt beschouwd als een dienst en als hierover niets is afgesproken, zal volgens het Nederlandse (en overigens Europese) recht de bevoegde rechter de rechter zijn van de plaats waar de kenmerkende prestatie van die clouddienst wordt geleverd. Zonder duidelijke afspraken zou zomaar de rechter van de plaats waar de

Het is raadzaam tevoren stil te staan bij de exitstrategie servers staan zichzelf bevoegd kunnen achten voor een geschil en dat kan niet in het belang zijn van de afnemer van de clouddiensten. Het is zaak om in het contract een bepaling over forum- en rechtskeuze op te nemen.

Conclusie De relatie tussen de aanbieder en de afnemer van de clouddienst wordt voor een groot deel beheerst door de afspraken tussen beide. Het aangaan van een

Publicaties De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek naar cloud computing in Nederland. Artikel 1 – verschenen in CloudWorks nr. 6/2010 De achtergrond van de respondenten, de status van de introductie van cloud computing in hun organisaties en bijbehorende investeringsplannen.

Artikel 3 – verschenen in CloudWorks nr. 2/2011 Waarom overweegt men cloud computing? Welke drempels zijn er als het gaat om de toepassing van cloud computing?

Artikel 2 – verschenen in CloudWorks nr. 1/2011 De keuzes van de respondenten waar het gaat om de inrichtingsvormen public, hybride versus private cloud en de dienstverleningsmodellen SaaS, PaaS en IaaS.

Artikel 4 – verschenen in CloudWorks nr. 3/2011 Juridische aspecten van de bescherming van persoonsgegevens in de cloud.

18 - cloudworks - mei 2011

Artikel 5 – in dit nummer Over de contractuele aspecten van cloud computing.

standaardcontract is soms de enige optie, zeker waar het cloud computing in zijn puurste, publieke vorm betreft. Dit heeft het voordeel van eenvoud. Maar er is een aantal aspecten, met name ten aanzien van de beëindiging, de continuïteit, de aansprakelijkheid, het dienstverleningsniveau en de intellectuele eigendom dat in het algemeen bijzondere aandacht verdient. Als er sprake is van de verwerking van persoonsgegevens, dienen de partijen er acht op te slaan dat voor de privacy een passend beschermingsniveau wordt geboden. Een grote groep respondenten blijkt in de praktijk al afspraken te maken over deze onderwerpen, maar daarnaast is er een aanzienlijke groep die nog niet op deze aspecten let. Er is dus nog veel te winnen. CW Rik Zager ([email protected]) is advocaat bij advocatenkantoor Hogan Lovells. Frank de Vries ([email protected]) is partner bij Quint Wellington Redwood, een bureau voor organisatieadvies op het raakvlak van organisatie en IT. Noten: 1 Zie beschikkingen van de Europese Commissie 2002/16/EG, 2004/915/EG en 2010/87/EU met modelcontractbepalingen voor de doorgifte van persoonsgegevens.

TelecityGroup is Europa’s toonaangevende provider van premium netwerkonafhankelijke datacenters. We zijn gespecialiseerd in het ontwerpen, bouwen en beheren van robuuste, veilige omgevingen met hoge connectiviteit waar bedrijven hun bedrijfskritische web- en internet infrastructuren kunnen vestigen. Onze datacenters bevinden zich op de belangrijkste Europese connectiviteitsknooppunten. Een TelecityGroup datacenter is een dynamisch ‘digital ecosystem’ met directe toegang tot talrijke telecomoperators en contentdistributienetwerken, de grootste breedbandnetwerken, Europese internet exchanges en cloud hubs, waar het faciliteren van opslag, delen en distribueren van data, content, applications en media mogelijk is.

Thema

BSA:

cloud computing vereist helder juridisch kader

Cloud computing is een relatief nieuw concept. Er zijn nog veel technische, commerciële en juridische issues die om een oplossing vragen. De Business Software Alliance (BSA) – de pleitbezorger van het legale gebruik van software – presenteert met het oog hierop zijn cloud-computingbeleidsagenda voor Europa. In deze agenda stelt de BSA tien concrete wetgevende en niet-wetgevende maatregelen voor om de privacy van burgers te beschermen, de beveiliging te verbeteren en fraude en diefstal tegen te gaan. Deze maatregelen zijn er verder om gericht standaarden en infrastructuren te creëren en juridische helderheid te scheppen. Dit als stimulans voor investeringen in Europese cloud-computingdiensten. Door Francisco Mingorance, senior director government relations EMEA bij de BSA Tijdens het World Economic Forum 2011 in Davos bevestigde Neelie Kroes, Eurocommissaris Digitale Agenda, nog eens dat het ondersteunen van cloud computing een prioriteit is voor Europa. Cloud computing helpt bij het creëren van nieuwe diensten en leidt tot economische groei in tal van sectoren. Kroes zei verder dat het tijd is om bepaalde juridische, technische en commerciële kwesties die een obstakel vormen, aan te pakken. Zij bepleitte een brede Europese cloudstrategie.

Kansen voor Europa In haar toespraak in Davos zei Kroes dat veel bedrijven, maar ook steeds meer overheden een eigen benadering ontwikkelen voor de inzet van cloud computing. Zij merkte op dat de Europese Unie een rol moet spelen in het wegnemen van mogelijke drempels die het succes van cloud computing in de weg staan. Europa kan op die manier de weg

20 - cloudworks - mei 2011

effenen voor een nieuwe sector en enorme kansen creëren voor de Europese telecombedrijven en hightech MKB-bedrijven. Zij wees ook op de productiviteitsvoordelen voor de Europese economie als geheel. Volgens Kroes hebben de nationale regeringen een duidelijke taak om ervoor te zorgen dat effectieve databescherming en de open markt de groei van cloud computing niet in de weg staan. Daarom heeft de Europese Commissie in de afgelopen jaren onder meer onderzoek naar cloud computing gefinancierd. Ook zijn de beveiligingsrisico’s van cloud computing geanalyseerd en werkt de Commissie samen met de sector om cloud-computinginitiatieven te steunen.

Beveiliging De BSA heeft tegen deze achtergrond een aantal aanbevelingen opgesteld. Die moeten ervoor zorgen dat er een helder en concreet beleid komt voor

cloud computing in Europa. Als eerste is meer transparantie nodig over de beveiligingsaanpak bij clouddiensten. Acceptatie van deze dienstverlening is sterk afhankelijk van een goede informatievoorziening over beveiliging, zodat de gebruiker zich daarover een beeld kan vormen. Cloudleveranciers moeten concreet aangeven hoe ze de beveiliging aanpakken. Daarbij zijn initiatieven uit de sector van groot belang. Een voorbeeld is het Cloud Computing Information Assurance Framework, dat onlangs is aanbevolen door de European Network and Information Security Agency (ENISA), onderdeel van de EU. Daarnaast biedt de huidige revisie van het juridische raamwerk voor dataprotectie in Europa een ideale mogelijkheid om de wetgeving uit te breiden. Zo zou de verplichting om een inbreuk op de beveiliging openbaar te maken voor alle bedrijven moeten gelden, dus ook voor cloudleveranciers. Dat verstevigt de bescherming van gebruikers en het vertrouwen in de dienstverlening.

Fraude In Europa moet het verder mogelijk worden om een civiele procedure te starten bij een cyberaanval. Ook zijn strengere straffen op nationaal niveau nodig om fraude in de cloud tegen te gaan. Illegale activiteiten zoals diefstal, fraude en hacken zijn serieuze bedreigingen voor cloudgebruikers en serviceproviders. De bestaande wetgeving maakt het weliswaar mogelijk om straffen op te leggen bij cyberaanvallen, maar gebruikers en serviceproviders kunnen geen civiele zaak aanspannen tegen cybercriminelen of indringers. Cloudleveranciers zouden een actieve rol kunnen spelen als dat wel het geval zou zijn. Daarnaast zijn hogere straffen nodig als afschrikking. Deze hogere straffen passen bij de schade die een cyberaanval veroorzaakt in een datacenter, waar de gegevens van een groot aantal gebruikers opgeslagen zijn.

Privacy en datatransfers

Dialoog

Het volgende punt is de bescherming van privacy en datatransfers. Om het volle potentieel van cloud computing te kunnen benutten, is het essentieel dat het Europese raamwerk voor databescherming op lidstaatniveau geharmoniseerd wordt. De herziening van het raamwerk voor databescherming biedt de mogelijkheid om deze regels met het oog op cloud computing te verhelderen. Zo kunnen lidstaten één definitie van ‘persoonlijke data’ vaststellen en is het Data Protection Authority-waarschu-

Cloud computing heeft een duidelijke internationale dimensie. Data gaat immers de grens over. Het is zaak daarbij de juiste voorzorgsmaatregelen te nemen. Cloudleveranciers hebben in dit verband te maken met verschillende en soms conflicterende regels over hoe zij met data om moeten gaan. Daarom is het zaak dat Europese beleidsmakers de bilaterale of multilaterale dialoog aangaan over minimumregels met betrekking tot het beschermen en beveiligen van verzonden data. Ook is meer duide-

Niet alle bedrijfsinformatie heeft hetzelfde niveau van beveiliging nodig wingssysteem te vereenvoudigen. Tegelijkertijd is meer helderheid geboden over de toepassing van de dataretentieregels in Europa.

lijkheid nodig over de handelsregelgeving bij het bieden van clouddiensten. Vallen clouddiensten bijvoorbeeld onder de General Agreement on Trade in

Services (GATS) van de wereldhandelorganisatie WTO? Dan is beter in te spelen op het online aanbieden van software en services en is betere markttoegang mogelijk. Ook is zo duidelijk welke rol ‘Most Favoured Nations’ spelen en hoe landen clouddiensten binnen de nationale grenzen laten aanbieden.

Dataportabiliteit en cloudinteroperabiliteit Dataportabiliteit en het gebruik van applicaties die naadloos met elkaar samenwerken, zijn voor gebruikers essentieel. De Europese Unie heeft interoperabiliteit boven aan zijn digitale agenda gezet. Reden is dat uitwisselbaarheid van diensten en data cruciaal is voor de acceptatie van deze diensten. Europa moet daarom de dataportabiliteit verder versterken op basis van technologieneutrale beleidsmaatregelen. Cloudleveranciers moeten tegelijkertijd de ontwikkeling van standaarden promoten

mei 2011 - cloudworks - 21

Thema en ervoor zorgen dat interoperabiliteit en portabiliteit in open samenwerking tot stand komen. Deze principes behoren een plek te krijgen in de Europese initiatieven op het gebied van technologiestandaardisatie, waaronder de hervorming van het IT Standardization Framework door de Europese Com-

niet is gegeven, is bij de eindgebruiker waarschijnlijk niet bekend. Het is daarom cruciaal dat een Europees beleidsraamwerk stevige maatregelen neemt tegen diefstal van intellectueel eigendom door duidelijkheid over de regels en het krachtig afdwingen ervan. Justitie moet daarbij nauw samenwerken met de

Er is gerichte wetgeving nodig om illegaal softwaregebruik in de cloud tegen te gaan missie. Door dit technologieneutraal te benaderen en niet uit te gaan van bedrijfs- of sectorspecifieke standaarden, is de interoperabiliteit van diensten en oplossingen te stimuleren.

sector om illegale activiteiten te ontdekken en te bestrijden. Zo zijn gebruikers te beschermen tegen aanbieders van illegale diensten.

Cloud en copyright

Ook diefstal is mogelijk bij clouddiensten. Softwarepiraterij omvat traditioneel het maken van kopieën van beschermde software. Nationale auteursrechtwetgeving en richtlijnen van de EU maken het mogelijk hier tegen op te treden. Het ongeautoriseerde gebruik of de diefstal van softwarefunctionaliteit die in

De cloud is niet immuun voor de gevaren van softwarepiraterij. Het is met cloudtechnologie mogelijk om als individu of als bedrijf anderen toegang te bieden tot software, zonder dat de eigenaar van de sofware daar toestemming voor heeft gegeven. Het feit dat die toestemming

Piraterij

de cloud beschikbaar is, is niet onder alle omstandigheden noodzakelijkerwijs het ongeautoriseerd reproduceren van beschermd werk. In die gevallen waarin geen sprake is van een duidelijke inbreuk op de regels van de copyrightrichtlijnen, zijn eindgebruikers die profiteren van software in de cloud, op basis van bestaande regels niet altijd aan te spreken. Overheden moeten ervoor zorgen dat de bestaande regels voor het beschermen van intellectueel eigendom ook gelden in de cloudcontext. Er is gerichte wetgeving nodig om illegaal softwaregebruik in de cloud tegen te gaan. Ook is het nodig om lacunes in de bestaande wetgeving rond intellectueel eigendom op te sporen en te dichten. Gebeurt dat niet, dan gaat dit ten koste van innovatie. Door deze actiepunten op de agenda te plaatsen, is het mogelijk alle betrokkenen bij cloud computing te laten profiteren van de voordelen die dit concept biedt. Een helder juridisch raamwerk plaveit de weg voor privacy, beveiliging en een optimale bescherming van de investeringen in cloudtechnologie. CW www.bsa.org

Google

verbindt Microsoft Office met de cloud Veel bedrijven vinden het nog te vroeg om lokale Microsoft Office-installaties overboord te gooien en geheel online te werken. Microsoft biedt met haar nieuwe Office 365-dienst een manier om lokale software met de cloud te verbinden, maar ook Google heeft hiervoor nu een passend antwoord: Google Cloud Connect. Door Jeroen Horlings, hoofdredacteur van CloudWorks Google Cloud Connect is een gratis plug-in en kan overweg met Word-, Excel- en Powerpoint-bestanden uit de Office suite van Microsoft. Het installeren ervan is simpel met een druk op de knop vanuit de webbrowser. Vervolgens nestelt zich een blauwe balk onder de werkbalk. Zodra er een bestand wordt opgeslagen, wordt deze gesynchroniseerd met Google Documenten (via de Google account). Dat gaat geheel automatisch en werkt redelijk soepel. Wel neemt het opslaan een fractie extra tijd in beslag. Ook reageert Google Connect op het lokaal wijzigen van een bestandsnaam. Er wordt dan gevraagd of je het bestand als nieuw document wil opslaan, of wil samenvoegen met een eerder opgeslagen versie.

Delen Net zoals documenten in Google Docs, kun je bepaalde bestanden delen met

Informatie Systeemeisen:

Microsoft Office 2003, 2007, 2010 Windows: XP (met .NET Framework 2.0), Vista, 7 Office software: Word, Excel, PowerPoint Website: www.google.com/ apps/cloudconnect

22 - cloudworks - mei 2011

Software

anderen. Dat kan vanuit Google Docs, maar ook rechtstreeks vanaf de werkbalk via de knop ‘Delen’. Andere personen kunnen op die manier eenvoudig wijzigingen aanbrengen. Het document hoeft niet heen en weer gestuurd te worden, want het staat gewoon in de cloud. Zodra er opnieuw wordt gesynchroniseerd met Cloud Connect zijn de wijzigingen van anderen zichtbaar. Documenten kunnen worden gedeeld door simpelweg een e-mailadres in te typen. Ook het toegangsniveau is instelbaar, zoals ‘alleen lezen’ of het toestaan van bewerkingen. Bestanden in Google Docs worden automatisch geback-upt en krijgen een uniek webadres, waarmee ze snel op te vragen zijn – ook vanaf mobiele apparaten zoals smartphones of een iPad. Documenten zijn ook te bewerken vanuit Microsoft Office zelf, zolang alle auteurs Cloud Connect gebruiken. Zo is het mogelijk dat twee personen tegelijkertijd een Excel-document open hebben staan, waarbij één de data aanvult en de ander tegelijkertijd een grafiek daarvan produceert. Mocht er overlap ontstaan, waarbij beide personen hetzelfde onderdeel bewerken met een andere inhoud, dan wordt er nadien gevraagd welke bewerking bewaard moet worden.

Offline Net zoals documenten in Google Docs is het ook mogelijk om documenten uit de cloud offline te bewerken, zoals in een vliegtuig. Van te voren moet het document zijn geopend, waarna er doorgewerkt kan worden zonder internettoegang. Zodra het netwerk weer toegankelijk is, worden de bestanden gesynchroniseerd.

Probleem Tijdens onze test kwam het één keer voor dat er een probleem was met het online opslaan van een bestand. Het lijkt er op dat een document eerst online wordt opgeslagen en daarna pas lokaal. Toen het online opslaan een keer niet lukte, tijdens het opnieuw opstarten

van Windows (en dus het afsluiten van Word), bleek niet de laatste versie van het document te zijn bewaard.

Conclusie Het werken via de cloud maakt het mogelijk om met meerdere personen aan documenten te werken, zonder deze continu per e-mail heen en weer te sturen. Het verkleint bovendien de kans dat er per ongeluk een verkeerde versie wordt gebruikt. Dat kan dus met Office 365, maar ook met lokale Office-versie en Google Cloud Connect. CW

mei 2011 - cloudworks - 23

Kiezen tussen

cloud of eigen datacenter

Nagaan of het energie-efficiënter is om bepaalde taken in de cloud te laten verrichten of in het eigen rekencentrum: dat is mogelijk met de monitoringsoftware van APC. Tegelijk oefenen de commerciële cloudleveranciers druk uit op particuliere datacentra om slimmer met energie om te gaan, omdat de CIO’s eisen dat de automatisering goedkoper moet. En omdat energie een stijgende kostenpost is. Door Teus Molenaar, hoofdredacteur van AppWorks Soeren Brogaard Jensen, VP Enterprise Software, en Wim Hendriksen, Country Manager Benelux, beide van APC, zijn in Amsterdam tijdens de Datacenter Transformation Summit. Ze doen graag hun verhaal over de impact die cloud computing heeft op bestaande rekencentra. “In het verleden is er altijd een grote scheiding geweest tussen de fysieke infrastructuur van een datacenter en de rekentaken die er worden uitgevoerd, inclusief de dataopslag. Dat waren twee verschillende werelden; je had de fysieke infrastructuur en je had IT. Nu vrijwel alle datacenters servers virtualiseren, maar ook desktops, is dat onderscheid verwaterd. Het rekencentrum is eigenlijk één grote computer geworden. Dan moet je een holistische kijk hebben op het datacenter. Weten wat er allemaal gebeurt. Daar hebben wij datacenter-

plannen. Je krijgt antwoord op de vraag waar je het beste de volgende server kunt plaatsen, of je dan nog genoeg krachtstroom hebt of reservekoeling, of je de blades moet verspreiden om de betrouwbaarheid te vergroten, wat de impact is van een nieuwe server op de bestaande stroomvoorziening, of de veiligheidsmarges nog afdoende zijn, of de bestaande elektriciteitsvermogens en koelapparatuur afdoende zijn voor in te voeren nieuwe technologieën”, legt Brogaard Jensen kort en bondig uit. Hij neemt de grote cloudleveranciers als voorbeeld. “Die datacenters zijn gebouwd met energie-efficiëntie als uitgangspunt – dat is namelijk onderdeel van het verdienmodel – terwijl particuliere rekencentra van bedrijven veel ouder zijn en dus uitgerust met oudere apparatuur, maar bovenal ooit zijn ont-

‘Het rekencentrum is eigenlijk één grote computer geworden; dat vergt een holistische kijk op het datacenter’ infrastructuremanagementsoftware voor ontwikkeld. Zodat je via een grafische presentatie kunt zien hoe het rekencentrum opereert. Maar je kunt er ook mee

24 - cloudworks - mei 2011

worpen om betrouwbaar en beschikbaar te zijn. Pas de laatste jaren is het besef gegroeid dat het ook zinvol is zo weinig mogelijk energie te gebruiken. Er zijn

inmiddels genoeg datacentra die meer geld aan energie kwijt zijn dan het bedrag dat zij hebben betaald voor alle hardware in het datacenter”, stelt Brogaard Jensen.

Schuiven met werklast Met de APC-software is het mogelijk om te bepalen welke workload je in een private cloud plaatst of in een public cloud. Zelfs binnen het rekencentrum bestaan delen die energie-intensief zijn en delen die met minder energie toe kunnen voor dezelfde taken. “Dat is natuurlijk historisch zo gegroeid. Pas de laatste jaren is men op het energieverbruik gaan letten bij de aanschaf van nieuwe servers, koelapparatuur, UPS’en, enzovoorts. De oude apparatuur is echt niet massaal vervangen door nieuwe, energiezuinige broertjes. Tien jaar geleden zat een rekencentrum op een PUE (eenheid voor energie-efficiëntie, red.) van ongeveer 2,2, tegenwoordig zit je op 1,1 of 1,2. Dat scheelt nogal. Via de samenwerking met VMware en Microsoft heeft APC een verbinding kunnen leggen tussen de fysieke infrastructuur en alles wat op die apparatuur draait. Stel je voor dat ’s nachts de workload in het datacenter minder is, dan is het handig om de werklast te dirigeren naar het energiezuinigste deel in het rekencentrum. Met onze oplossing is dat nu mogelijk gemaakt”, stelt Brogaard Jensen.

Passie Hendriksen gaat in op de overname van APC door Schneider Electric in 2007. “Schneider komt eigenlijk uit de facilitymanagementhoek, terwijl wij sterk zijn in UPS-systemen en bijbehorende managementsoftware. APC was al bezig om energie-efficiëntie als prioriteit te stellen voor onze oplossingen; daarom pasten wij zo goed bij Schneider Electric. Je voelt die passie voor beperking van energiegebruik in alle vezels van het bedrijf, in elke vergadering”, zegt Hendriksen.

Interview “Wij denken dat we door intelligent beheer en met zuinige systemen de energiebehoefte wereldwijd met meer dan 30 procent kunnen verminderen. En dat gaat sneller dan te wachten op de omschakeling naar bijvoorbeeld zonneenergie”, gaat Hendriksen verder. “Datacenters gebruiken nu wereldwijd 2 procent van alle energie, maar wij verwachten dat dit binnen twintig jaar groeit naar 40 procent van alle energie.” Die toename verklaart hij onder meer uit de fabelachtige groei van sociale netwerken en eenvoudig te gebruiken, mobiele apparatuur, gekoppeld aan een aanwas van de wereldbevolking tot 7,9 miljard mensen. “Het mooie vind ik dat ik niet werk voor een bedrijf dat alleen is geïnteresseerd in winst maken, maar ook alles op alles zet om het milieu te ontzien”, zegt Hendriksen.

Wim Hendriksen

Soeren Brogaard Jensen

“Wij investeren hevig in de softwareontwikkeling. De oplossing is nog volop in beweging, maar de richting is duidelijk. Net als alle andere leveranciers in deze branche hebben we altijd onze aandacht gevestigd gehad op de producten, maar nu richten we ons meer op de diensten, het beschikbaar stellen van de uitgebreide kennis en ervaring die we in de loop der jaren hebben opgebouwd. Dat kun je ook zien als je nagaat welke acquisities we de laatste tijd hebben gedaan.”

dat hij inzichtelijk maakt hoeveel energie een bepaalde dienst die ze aanbieden verbruikt. Anders kunnen ze de afweging niet maken.”

Slagroom Door modulair opgebouwde, energieefficiënte oplossingen te maken voor het datacenter, en het geheel holistisch te beheren helpt APC de energiekosten te beheersen. De beheersoftware is de slagroom op de taart. “Wij kunnen elk apparaat beheren, zolang het maar op het netwerk is aangesloten en geen al te exotische protocollen gebruikt”, aldus Brogaard Jensen. “Als we naar cloud computing kijken, dan moet je je afvragen hoe iemand weet of het vanuit het oogpunt van energie-efficiëntie zinvol is om bepaalde applicaties in de cloud te laten draaien, of een deel van zijn infrastructuur in de cloud af te nemen. Meestal spelen die argumenten geen enkele rol bij de afwegingen. De systemen die we nu hebben, zijn vanuit IT-oogpunt erg geraffineerd als het gaat om computertaken uitvoeren, maar je moet ook kunnen nagaan wat het gunstigste energieverbruik is bij de inzet van die apparatuur. Wij kunnen het hele rekencentrum monitoren, we kunnen nagaan – en dat wordt zichtbaar in dashboards – wat de gevolgen zijn van verschuivingen van werklast. Binnen het rekencentrum of – deels – daarbuiten, in de cloud. Die kennis moet je hebben om energiebewuste keuzes te kunnen maken.”

Geen magie Het duo vertelt dat APC en het moederbedrijf Schneider Electric nog niet helemaal klaar zijn met de oplossing.

De commerciële cloudleveranciers hebben per definitie een beter PUE dan de particuliere rekencentra. “Maar het is geen magie wat ze daar verrichten. Het is een kwestie van standaardiseren en moduleren. De producten zijn er, de technologie is er. Er is geen enkel argument waarom de rekencentra zelf

Er is geen enkel argument waarom de rekencentra zelf niet energie-effciënter zouden kunnen gaan werken “Gezien de verwachte, enorme groei van capaciteit in rekencentra, is het wel nodig om op energie-efficiëntie te letten. Als de bedrijven dat niet uit eigen beweging gaan doen, dan zullen overheden wel met maatregelen komen. Dat kan niet anders”, is Hendriksens overtuiging. Het tweetal geeft aan dat de software en diensten helpen na te gaan waar een bepaalde rekenlast energetisch het best kan draaien: in het eigen rekencentrum of bij een cloudvendor. “Bedrijven zullen van een cloudleverancier gaan eisen

niet energie-efficiënter zouden kunnen gaan werken. De beheerders staan onder druk van de CIO om naar de cloud te gaan, omdat die goedkoper is. Maar welbeschouwd kan een rekencentrum ook efficiënt met zijn energie omgaan. In die zin oefenen de cloudleveranciers een druk uit op de rekencentra om energie-efficiënter te zijn. Ook al gaat slechts 2 tot 5 procent van al het computerwerk op dit moment naar de cloud.” Of dit al gebeurt in de praktijk? “Vooral in de VS,” zeggen ze, “maar de rest van de wereld kan niet achterblijven.” CW

mei 2011 - cloudworks - 25

Event

Microsoft Office 365

Dankzij cloud

Exchange, SharePoint en Outlook voor MKB

Kleinere bedrijven, of ZZP’ers, die willen beschikken over messaging- en samenwerkingstools als Exchange en SharePoint schrokken hiervoor veelal terug vanwege de ingewikkelde implementaties. Met Microsoft Office 365 is dat niet meer het geval. Deze verse clouddienst van Microsoft biedt kleinere organisaties wat voorbehouden leek aan de grotere. Door Teus Molenaar, hoofdredacteur van AppWorks Met zijn MSN en hotmail heeft Microsoft al jaren ervaring opgebouwd in het leveren van clouddiensten. Het Azureplatform is van recenter datum, maar duidelijk is dat het bedrijf uit Redmond zijn kaarten heeft gezet op de cloud. In 2010 alleen al heeft de onderneming 2,3 miljard dollar wereldwijd geïnvesteerd in de bouw van datacenters. “En voor alle investeringen in softwareontwikkeling, geldt tegenwoordig dat er een cloudcomponent in zit”, zegt Arjan Oude Kotte, directeur MKB Microsoft Nederland. Niettemin hanteert Microsoft de filosofie dat de keuze aan de klant is. Het softwarehuis blijft on premise softwareoplossingen bouwen en ontwikkelen, naast het cloudaanbod. Het voordeel van Microsoft Office 365 is wel dat kleine bedrijven nu ook kunnen beschikken over online versies van Exchange, SharePoint en Lync. Voor de client-/serverversies van deze producten bedankten MKB’ers vaak vanwege de kosten (hardware en licenties) en vanwege de ingewikkeldheid om de software goed in te richten en af te stemmen op de hardware. Daar heb je toch wel een IT-afdeling voor nodig en die hebben de

26 - cloudworks - mei 2011

meeste kleine bedrijven niet; zeker niet als het om eenmans-/vrouwsbedrijven gaat. Met Microsoft Office 365 zorgt Microsoft voor de inrichting van Exchange en Outlook; en voor het onderhoud ervan (patches, upgrades, noem maar op). Eveneens aanwezig zijn cloudgebaseerde beheertools voor het geven van groepsbevoegdheden, het aanwijzen wie administratierechten krijgt, enzovoorts. Dit omvat tevens het gebruik van mobiele

te richten. Office 365 biedt een hosted versie hiervan, waardoor inrichting en onderhoud niet op het bordje van de gebruiker komen te liggen. Het opzetten van een nieuwe TeamSite is tamelijk eenvoudig. Je hoeft alleen ontwerp, thema en dergelijke aan te geven. Ook is het eenvoudig documenten toevoegen om te delen met collega’s of partners. Beheertools voor het geven van bijvoorbeeld documentrechten zijn via het web te gebruiken.

Verschillende versies Volgens Oude Kotte blijkt uit Microsoftonderzoek dat de e-mailvoorziening Exchange Online een gemiddelde kostenbesparing oplevert van ongeveer 50 procent, terwijl gebruikers een tachtig maal grotere mailbox krijgen (vergeleken met een servergebaseerde e-mailomgeving van het bedrijf zelf). Hij vertelt dat ZZP’ers en kleine bedrijven (2 tot 25 medewerkers) binnen een kwartier aan de slag kunnen met Office Web Apps, Microsoft Exchange Online, Microsoft SharePoint Online, Microsoft Lync Online en een externe website. Dan gaat het om de basisversie van Of-

Een succesvolle uitwisseling van data in de cloud staat of valt met de mate van controle en inzicht telefoons voor het gebruik van bedrijfse-mail, agenda en contactbeheer. Uiteraard is er een naadloze integratie met smartphones die onder Windows Phone 7 draaien, maar het opzetten van gebruiksmogelijkheden voor iPhone en de meeste Android-toestellen is tamelijk eenvoudig. Dit geldt ook voor SharePoint dat gewoonlijk veel moeite kost om goed in

fice 365. De kosten bedragen dan 5,25 euro per persoon per maand. Wie meer wil, bijvoorbeeld het gebruik van de vertrouwde Office Suite (want Office Web Apps is een uitgeklede vorm hiervan) kan kiezen voor een ander abonnement. Voor 22,75 euro per maand per gebruiker krijgen organisaties dan de beschikking over Office Professional Plus, samen met e-mail, voicemail, en-

terprise social networking, instant messaging, web portals, extranetten, videoconferencing, webconferencing en 24/7 telefonische ondersteuning. Microsoft heeft verschillende versies, die elk een verschillende inhoud hebben, in het leven geroepen. Zo zijn er versies voor Information Workers en Kiosk Workers. De Kiosk Workers zitten gewoonlijk weinig achter hun pc en maken gewoonlijk weinig gebruik van Micorosoft Office en Microsoft Outlook. De abonnementen voor de Information Workers zijn daarom duurder dan die voor Kiosk Workers. Daar komt bij dat Microsoft contracten heeft afgesloten met partners KPN en UPC die de Office 365 gaan bieden. Het is nog onduidelijk wat KPN en UPC extra hebben te bieden (behalve bijvoorbeeld één factuur voor telefonie en clouddiensten), noch welke prijzen zij gaan hanteren. Dat alles zal deze zomer duidelijk worden als Microsoft Office 365 algemeen beschikbaar is. Wie nu al met een proefversie aan de slag wil, en de abon-

nementsmogelijkheden en -prijzen wil weten, kan terecht op www.microsoft.nl.

Eenvoudige integratie De aangeboden extra website via Office 365 is een tamelijk standaard rechttoe-, rechtaanmogelijkheid. De gebruiker moet zich schikken in de aangeboden templates. Voor veel organisaties is dat overigens voldoende. De site biedt echter niet alle toeters en bellen die nodig zijn om bijvoorbeeld een webwinkel te voeren of de geneugten van Flash of Flex in de site in te bouwen. Hoewel Google met zijn Apps vier jaar voorsprong heeft op Microsoft, lijkt Microsoft met Office 365 de achterstand in één klap in te halen. Organisaties die de afgelopen jaren tevreden zijn over het gebruik van Google Apps zullen niet overgaan op het Microsoft-aanbod. Maar bedrijven die eerder al gebruikmaakten van Microsoft BPOS (Business Productivity Online Suite; de ‘magere’ voorloper van Office 365) zullen zeker het nieuwe

aanbod van Microsoft overwegen. Het grote voordeel is namelijk de eenvoudige integratie met de bestaande Microsoft Office Suite-producten. Het is niet nodig om ingewikkelde en tijdrovende migratietrajecten uit te voeren en toch te kunnen overstappen naar een clouddienst. Sterker nog: wie beide wil blijven gebruiken (on premise en cloud) kan dat makkelijk doen met de Microsoftfilosofie. Op Computerworld stelt Barry Simpson, CIO van Coca-Cola Amatil in Australië, dat die integratiemogelijkheid al een reden was om over te gaan naar BPOS. Zodra Microsoft Office 365 beschikbaar is, wil hij dit gaan toepassen. Hij voelt veel voor een geconsolideerd applicatielandschap en de snelheid om hiermee aan de slag te gaan. Ahold heeft niet willen wachten op Office 365. Dit bedrijf besloot wereldwijd Google Apps te gaan gebruiken. Overigens kwam Ahold ook van een IBM Lotus Notes-omgeving. Voor het einde van 2011 zullen alle 55.000 medewerkers de webdiensten van Google benutten. CW

mei 2011 - cloudworks - 27

Event

CLOUD COMPUTING VERANDERT DE MANIER WAAROP U ZAKEN DOET.

De mooiste cloudapplicatie

Cloud computing geeft u de kracht om groot te denken. En klein te blijven.

De kracht om energie te besparen. En ruimte.

“Ik heb vooral geleerd om samen te werken”, zegt Floor Verheul, functioneel CRM-consultant bij Macaw. Zij behoort tot het winnende team dat onlangs de RAD-race won om de mooiste cloudapplicatie. Daarbij ging het vooral om het samenwerken tussen businessintelligence, xRM (voortvloeiend uit CRM) en systeemintegratie.

De kracht om bij uw data te kunnen zodra u die nodig heeft.

Door Teus Molenaar , hoofdredacteur van AppWorks

De kracht om te groeien. En te krimpen. Zonder daar iets voor in te leveren. De kracht om meer te doen met minder. De kracht om ideeën te realiseren en kosten in de hand te houden.

Overal. Binnen uw organisatie en daarbuiten. De kracht van één platform. De kracht om samen de juiste beslissingen te nemen. De kracht om te denken als een optimist en te betalen als een realist. Cloud Power van Microsoft betekent dat u de meest uitgebreide oplossingen voor cloud computing tot uw beschikking heeft. Met vertrouwde tools, maar dan uitgebreider, toegankelijker, meer compatible en gebruiksvriendelijker voor iedereen. Uw onderneming ruimte bieden voor Het Nieuwe Werken. Dat is Cloud Power.

Download de gratis app op http://gettag.mobi

'HPHHVWXLWJHEUHLGHRSORVVLQJHQYRRUFORXGFRPSXWLQJPHW0LFURVRIW2IÀFH :LQGRZV$]XUH'\QDPLFV&502QOLQHHQ:LQGRZV6HUYHU+\SHU9 2QWGHNPHHURSPLFURVRIWQOFORXG

Zoals in elk industrieel bedrijfsproces zijn er verschillende bedrijfseenheden te onderscheiden bij Macaw. Een applicatie, met onder meer gebruikmaking van het cloudapplicatieplatform Azure van Microsoft, trekt zich evenwel niets aan van de scheidslijnen tussen de verscheidene bedrijfsonderdelen. Daarom is tijdens de wedstrijd vooral de nadruk komen te liggen op de onderlinge samenwerking, vertelt Verheul, die samen met Dave Ruijter, Erik Proost, Antoon Tuijl en Arjaan Meierink het winnende team vormde. Macaw had een bootcamp georganiseerd voor de eigen medewerkers om ‘het gevoel van de cloud’ in de vingers te krijgen. Om het leuk te maken, voegde men er een wedstrijdelement aan toe. Zes teams streden om de eeuwige roem. De businesscase was om in teamverband een Microsoft Dynamics CRM-online applicatie te ontwikkelen waarin registratie van telefoon, leaseauto’s en pc’s kan plaatsvinden. Of, zoals Verheul het zegt: “We hebben bij Macaw on-premise een personeelsinformatiesysteem, met onder meer een urenregistratie van de medewerkers. Dat was eigenlijk het bronsysteem. We hebben een webservice van Microsoft CRM-Online gebruikt om de data uit het on-premise CRMsysteem in te laden in de CRM-Online omgeving. Dan ga je dus van on-premise data naar onlinedata. Op zichzelf is

dat al mooi, want dan kun je in CRM-online in heel korte tijd voor elkaar krijgen dat je daar een aantal processen kunt ondersteunen, zoals het leaseautotraject en het telefoontraject. Via de Microsoft CRM-Online-webservice hebben we data geëxporteerd naar een SQL Azure operational datastore. En van daaruit konden we naar verschillende applicaties rapporteren.”

Kort en bondig Daarmee heeft Verheul meteen het geheim van de smid verklapt, want zij zat in het winnende team. “Dat komt vooral door de goede samenwerking die

wij in ons team hadden, onder leiding van projectleider Erik Proost”, meent zij. “We wisten duidelijk wat we wilden gaan doen, zodat we niet veel tijd kwijt waren aan discussies. Natuurlijk hebben we gediscussieerd, maar dat was kort en bondig. We hebben veel van elkaar geleerd – en dat was ook de bedoeling: om over de eigen grenzen heen te kijken. Halverwege de dag hebben we een gesprek met de opdrachtgever gehad en daarin hebben we geprobeerd te achterhalen wat hij met de applicatie wilde gaan doen.” Wat zij zelf heeft geleerd van deze eendaagse wedstrijd? “Dat het mogelijk is om in korte tijd een koppeling te maken tussen een on-premise applicatie en CRM-Online. En ik heb veel opgestoken over wat er allemaal online mogelijk is. Daarnaast vond ik het heel leuk om samen te werken met collega’s die je eigenlijk nooit ziet.” Het eigenlijke doel van de RAD-race was in zo kort mogelijke tijd een hybride omgeving neer te zetten. “Maar uiteindelijk zullen we deze applicatie – in verder uitgewerkte vorm – gaan gebruiken bij Macaw.” CW

mei 2011 - cloudworks - 29

Thema

De Europese

data-uitdaging Een van de grootste uitdagingen voor leveranciers van software as a service (SaaS) is de wirwar van regels op het gebied van het management en beheer van data en dan vooral van persoonlijke informatie. Een complicerende factor is ook dat leveranciers moeten voldoen aan de lokale wetgeving, terwijl SaaS-oplossingen over de hele wereld worden gebruikt. Welke aanpassingen in de EU-wet- en regelgeving zijn wenselijk? Door Tom Fisher en William Harmer In de loop van de tijd zijn er binnen de industrie veelomvattende best practices ontstaan, waaraan de meeste leveranciers zich houden. De realiteit is echter ook dat de lokale regelgeving met betrekking tot data steeds strenger wordt.

ten hebben overal ter wereld personeel zitten, in talloze landen en regio’s. Zaak is daarbij dat zo goed mogelijk moet worden voldaan aan de specifieke weten regelgeving van elk land. In Europa moeten bijvoorbeeld de specifieke EU-

Er is nog geen uniforme toepassing van de EU-wetten voor databescherming SaaS-leveranciers die de regelgeving begrijpen en actief zijn binnen de instanties die het voortouw nemen op dit gebied, hebben al snel een voorsprong op de concurrentie. Professionele klanten eisen dat softwareleveranciers deze reglementen naleven en hun klanten helpen te begrijpen wat deze voorschriften inhouden.

Lokale wet- en regelgeving Veel SaaS-leveranciers hebben klanten die wereldwijd opereren. Vanuit die gedachte moet de software dan ook ontwikkeld worden, in de infrastructuur ontworpen worden. Ook capaciteitsplanning is een belangrijk aspect – klan-

30 - cloudworks - mei 2011

richtlijnen opgevolgd worden (95/46/ EC). Maar dat valt nog niet mee. Elke EU-richtlijn kan op verschillende manieren worden geïnterpreteerd, afhankelijk van de klant of het land.

Uniforme databescherming Een proactieve houding en de voortdurende betrokkenheid bij Europese klanten is daarbij heel belangrijk. Maar de situatie op de Europese markten maakt het beschermen van klantinformatie extreem ingewikkeld. Voor veel leveranciers van cloud-computingoplossingen betekent het dat ze hun klanten nodig hebben om hun oplossing zodanig te begrijpen, interpreteren en vertegen-

woordigen dat ze voldoen aan de vaag geformuleerde richtlijnen. Er zou daarom een eenduidige en uniforme toepassing van de EU-wetten voor databescherming moeten zijn. Er wordt veel overgelaten aan de interpretatie van de leveranciers zelf met betrekking tot de vraag hoe ver men moet gaan om te voldoen aan de geest en de intentie van de diverse regelgevingen. In de huidige situatie botsen de interpretaties van de leverancier en de klanten en dat is geen gezonde situatie. Op dit moment worden leveranciers als het ware gedwongen om hun oplossing zo te ontwikkelen, dat ze in samenspraak met hun klanten de voor hen geldende regels zoveel mogelijk kunnen naleven.

Standaardisatie Europa bevindt zich in een nieuwe en unieke positie en kan het voortouw nemen voor wereldwijde standaardisatie. De focus op EU-normen in het hele continent en de unieke werkomgeving in Europa stelt onafhankelijke partijen – zoals EuroCloud – in de gelegenheid om mee te denken over normen voor leveranciers van SaaS-oplossingen. Het unieke van EuroCloud is bovendien dat zowel grote als kleine klanten en softwareleveranciers worden betrokken bij het overleg.

Interpretaties Softwareleveranciers hebben kortom behoefte aan een betere interpretatie van de regels zoals die worden gesteld door de regelgevende instanties en ondersteunende organisaties in Europa. Al stellen ze slechts een ‘minimale norm’ waarbij leveranciers worden gestimuleerd om beter te presteren, dan zou er in elk geval een basis zijn waarmee de leveranciers uit de voeten kunnen. Omdat een aantal zaken in Europa wel al goed is geregeld – zo zijn er algemene definities voor termen als ‘persoonlijke

data’ en alom geaccepteerde definities van woorden als verwerken, overdragen, exporteren en gebruik – moet het mogelijk zijn om een pakket basisvereisten samen te stellen waaraan leveranciers kunnen voldoen. Je kunt nog zoveel investeren om ervoor te zorgen dat je voldoet aan de Safe-Harborvereisten, maar in bepaalde gevallen zijn deze normen optioneel. En dat kan natuurlijk niet! Ten slotte zijn er EU-wetten nodig die duide-

lijke richtlijnen geven over het omgaan met Europese en niet-Europese opsporingsmethoden van de overheid, zoals de Amerikaanse Patriot Act of de Canadese Anti-terrorism Act. De EU moet meer doen op het gebied van databescherming en duidelijker aangeven hoe moet worden omgegaan met wetshandhaving door buitenlandse overheden. Pas als de normen en regelgeving helder en begrijpelijk zijn, kunnen bedrij-

ven oplossingen ontwerpen, ontwikkelen en uitrollen die hieraan voldoen. SuccessFactors wil graag op een actieve en positieve manier bijdragen aan de oplossing van dit probleem. CW Tom Fisher is CIO en Vice President Cloud Computing en William Harmer is Vice President of Security bij SuccessFactors.

mei 2011 - cloudworks - 31

Security

Waar moet een cloudaanbieder aan voldoen?

Uitwisseling van gevoelige informatie in cloud De manier waarop organisaties tegenwoordig zakendoen, vraagt om een continue beschikbaarheid van kritische bedrijfsinformatie, benaderbaar vanaf iedere locatie. Hiervoor worden cloudgebaseerde tools, vaak van externe partijen, ingezet. Het gebruik van hosted services neemt toe, maar vreemd genoeg weten veel organisaties niet waar ze aan beginnen of waar ze op moeten letten wanneer ze met een partij in zee gaan. Een uiteenzetting van de risico’s en uitdagingen. Door Vincent Peters, vicepresident van Noord-Europa, Centraal-Europa en het Midden-Oosten bij IntraLinks Nieuwe technologieën zoals cloudgebaseerde diensten bieden veel nieuwe mogelijkheden en voordelen. Zo zijn de overheadkosten laag, is de implementatietijd kort en zijn diensten eenvoudig uit te breiden. De overstap naar de cloud kan echter ook voor problemen zorgen. Het kan bijvoorbeeld lastig zijn voor organisaties om de inzet van cloudoplossingen af te stemmen op het securitybeleid. Het komt vaak genoeg voor dat een organisatie door de lage kosten kiest voor de cloud zonder na te gaan of

annuleerd bij de eerste audit die plaatsvindt. Dit is spijtig, want de kans dat een organisatie vervolgens nogmaals voor een cloudoplossing kiest, is dan erg klein. Om ervoor te zorgen dat de organisatie voordeel haalt uit cloud computing, is het belangrijk om te kiezen voor een aanbieder die de organisatie in staat stelt om zelf de controle te behouden. Zo weet je zeker dat de compliance in orde is en dat de aanbieder door de se-

Niet alle bedrijfsinformatie heeft hetzelfde niveau van beveiliging nodig leveranciers hun diensten werkelijk veilig en compliant hebben gemaakt. Dit met als gevolg dat IT-afdelingen het gevoel van controle verliezen over locatie- en toegangsregels voor de data die zowel binnen als buiten de firewalls gedeeld wordt. Door deze beperkte controle is de kans groot dat een project wordt ge-

32 - cloudworks - mei 2011

curityaudits heen komt. Ook moet een cloudaanbieder op ieder moment kunnen aangeven op welke locatie de data opgeslagen is. Bovendien is optimale beveiliging van de data noodzakelijk, niet alleen wanneer het is opgeslagen maar ook op het moment dat het wordt uitgewisseld. De verantwoordelijkheid

hiervoor ligt bij de aanbieder. Verder moeten audittrails worden bijgehouden zodat in de rapportage zichtbaar is wie toegang heeft gehad tot bepaalde data en op welk moment. Succes met het uitwisselen van data in de cloud staat of valt met de mate van controle en inzicht. De aanbieder dient er bijvoorbeeld voor te zorgen dat hij flexibele dataclassificatiemogelijkheden biedt evenals inzicht in autorisatie zodat je als organisatie volledige controle hebt over wie toegang heeft tot welke data. Bovendien moet de aanbieder een authenticatie kunnen toepassen die verder gaat dan alleen het invoeren van een wachtwoord, om er zo zeker van te zijn dat alleen geautoriseerde personen toegang krijgen tot bepaalde informatie.

Beveiligingsmaatregelen Voor beveiliging in de cloud is een aantal basismaatregelen van toepassing. Iedere cloudaanbieder die veilige oplossingen wil bieden zou hieraan moeten voldoen. In de praktijk blijken echter weinig aanbieders alle veiligheidsaspecten op orde te hebben. De kwaliteit van een dienst is sterk afhankelijk van de infrastructuur waarop deze draait. Wanneer een organisatie met gevoelige data werkt en aan bepaalde veiligheidseisen moet voldoen – zoals financiële dienstverleners of bedrijven in life sciences – is het niet verstandig om voor de goedkoopste hostingfacility te kiezen. Let er daarom op dat een cloudaanbieder beschikt over een erkende securitycertificering zoals SAS 70 type II en ISO 27001. Deze vormen kunnen bovendien inzichtelijk worden gemaakt en gedeeld met klanten. Een ander voordeel van certificatie is dat het helpt om eventuele zwakke plekken in processen te identificeren.

Disaster recovery en scheiden van data Bij het kiezen van een provider is het goed om na te gaan of de disaster-recoverylocatie van gelijke kwaliteit en gecertificeerd is, zodat de cloudaanbieder en de klant compliant blijven wanneer gewisseld wordt tussen datacenters. Het netwerk van de aanbieder moet bovendien de mogelijkheid bieden om data van verschillende klanten volledig te scheiden. Als gegevens niet op dit niveau gescheiden worden, dan is een architectuur nodig die datascheiding mogelijk maakt voor de database- en applicatietiers. Een goed design zorgt er ook voor dat applicaties onafhankelijk zijn van de datalocatie. Op deze manier kunnen fysieke bestanden worden opgeslagen op iedere door de klant gewenste geografische locatie.

Encryptie Wanneer een cloudaanbieder klantdata host dan betekent dit dat de aanbieder de verantwoordelijkheid draagt voor het waarborgen van de confidentialiteit en integriteit van gegevens. Hoe streng de maatregelen om datalekken te voorkomen ook zijn, de kans bestaat altijd dat data uitlekt. De aanbieder moet er daarom voor zorgen dat ‘verloren’ data

onbruikbaar is voor ongeautoriseerde gebruikers. Encryptie van vertrouwelijke data moet zodanig zijn geïmplementeerd dat vertrouwelijke data nooit door één persoon kan worden omzeild. Een eventuele infiltrant die de intentie heeft om data te stelen, krijgt hierdoor nog steeds geen toegang tot de data. Sterke encryptiealgoritmes en multi-tier keymanagementsystemen zijn hiervoor noodzakelijk. Ook bij uitwisseling moet data volledig beveiligd zijn en is een SSL 3.0 of hoger noodzakelijk. Dit is het encryptieprotocol dat communicatie op het internet beveiligt. Alle codes minder dan 128-bit moeten worden uitgeschakeld aan de serverzijde. Dit kan betekenen dat verbindingen vanuit browsers die geen 128-bit-verbinding kunnen maken, moeten worden geweigerd. Alleen dan kan het veiligheidsniveau bij data-uitwisseling gewaarborgd worden.

Personeel Medewerkers van cloudaanbieders die veel omgaan met klantgegevens en -processen zijn een belangrijke target voor cybercriminelen en de kans dat iemand waardevolle informatie probeert te stelen is altijd aanwezig. Uitgebreide backgroundchecks van personeel zijn daarom nodig om zwakke schakels

er zoveel mogelijk uit te filteren. Kies voor een aanbieder die zijn personeel screent. Mocht er dan nog data lekken, dan helpen gedetailleerde auditlogs om mogelijke datadieven te identificeren en tijdig aan te pakken.

Gebruikersrollen en rolgebaseerde toegang Bij het beveiligen van klantgegevens is het belangrijk de kwetsbaarheid van het systeem tot het minimum te beperken. Door bijvoorbeeld encryptie te gebruiken, is het mogelijk om de hoeveelheid te beveiligen data te verkleinen. Door daarnaast de data te categoriseren en passende autorisatieregels op te stellen wordt het beveiligingsniveau verder versterkt. Want niet alle bedrijfsinformatie heeft hetzelfde niveau van beveiliging nodig. Sommige informatie, zoals marketingmaterialen, moet juist toegankelijk zijn voor zoveel mogelijk mensen terwijl financiële informatie achter slot en grendel moet worden bewaard. Door het opstellen van gebruikersrollen en toekennen van rolgebaseerde toegang tot data, kan complexe autorisatie worden gestroomlijnd. Dit maakt het beheer van gebruikersgegevens eenvoudiger en minder gevoelig voor fouten.

mei 2011 - cloudworks - 33

Security De hierboven genoemde maatregelen vormen de basis van beveiligingsbenodigdheden voor een publieke cloudgebaseerde oplossing voor organisaties in zowel de publieke als private sector. Toch is het zo dat zelfs veel populaire cloudaanbieders deze essentiële maatregelen niet op orde hebben. Dit is vooral te wijten aan hun achtergrond. Veel van hen proberen namelijk consumentgerichte systemen om te bouwen en in te zetten voor zakelijke gebruikers. Dit is een ingewikkelde en dure transformatie en het is maar de vraag of hiermee het gewenste beveiligingsniveau wordt bereikt. Veel beter is het wanneer systemen vanaf het begin zijn opgebouwd om volledige beveiliging te bieden. Goed geïmplementeerde securitymaatregelen zoals encryptie en uitgebreide autorisatie bij gecategoriseerde data geven een aanzienlijke voorsprong bij het implementeren van extra maatregelen om premium security te bereiken.

Geavanceerde maatregelen voor optimale beveiliging Om optimale beveiliging te kunnen garanderen moeten aanbieders ervoor zorgen dat alle onderdelen van security op orde zijn. De mate van security blijft echter altijd een afweging tussen gebruiksvriendelijkheid en veiligheid. Zo

applicatie te categoriseren, zodat de extreme veiligheidsmaatregelen alleen hoeven worden toegepast op vertrouwelijke data en de daarbij horende activiteiten.

Categoriseren van data Eigenlijk zijn er maar twee keuzes mogelijk. Keuze één: het deel van de applicatie die hoge mate van security nodig heeft, wordt vooraf bepaald. Voorbeelden hiervan zijn de onderdelen die banktransacties verwerken of toegang geven tot intellectueel kapitaal. De tweede keuze is, het toekennen van een securitybeleid en classificatierules van data voor iedere gebruiker afzonderlijk. De laatste keuze heeft de voorkeur, vooral voor multi-tenantapplicaties. Met deze

Een succesvolle uitwisseling van data in de cloud staat of valt met de mate van controle en inzicht gebruiken de meeste online applicaties alleen een gebruikersnaam en wachtwoord. Dit gebeurt niet zozeer om technische redenen – het is immers relatief eenvoudig om een multifactor authenticiteitsserver te integreren. Het grote probleem is echter het beheer van deze extra factoren. Sterkere authenticiteitsmaatregelen betekenen namelijk ook een groter ongemak voor gebruikers. Je zou dit kunnen vergelijken met een bank waarbij de voordeur wordt vervangen door een kluisdeur. Hierdoor zouden alle medewerkers al bij binnenkomst van de bank de zware veiligheidsprocedure moeten doorlopen, terwijl ze wellicht alleen maar de wisselkoersen willen weten en niet de intentie hebben om toegang te krijgen tot het geld. Daarom is het belangrijk om data binnen een online

34 - cloudworks - mei 2011

aanpak kunnen de beveiligingskeuzes worden neergelegd bij de mensen die het meeste weten van de data.

Continue controle content Het is algemeen bekend dat je belangrijke informatie niet zomaar op het internet kunt opslaan, omdat je er dan te weinig controle over hebt. Zodra het gedownload is, kan het worden verspreid of gestolen zonder dat je weet wanneer en door wie het gedaan is. Vanuit dat oogpunt lijkt het veel op het versturen van documenten via post, je weet immers niet precies waar het materiaal zich bevindt. Wanneer het echter binnen goedbeveiligde systemen gebeurt, kan deze controle wel verkregen worden. Zo is het bijvoorbeeld mogelijk om digitale kopieën van een document te versturen

(zoals via e-mail) in een volledig beveiligde omgeving, met de mogelijkheid om het bestand op ieder gewenst moment op afstand te vernietigen. Om deze mate van beveiliging te bereiken, is beveiliging van ‘in-use’-data noodzakelijk. Content is dan altijd encrypted, ook wanneer het naar een gebruikersbrowser is gestuurd. Ook alle tijdelijke en permanente kopieën op de harddisk van de gebruiker zijn encrypted. Lezers kunnen het niet openen zonder de code. Wanneer de eigenaar van het document toegangsrechten van een specifieke gebruiker verwijdert dan wordt de encryptiecode vernietigd, wat betekent dat een document op afstand wordt uitgeschakeld. Om het nog veiliger te maken, hebben sommige systemen een zogenaamde Diffie-Hellman key-exchange geïmplementeerd. Hierbij wordt de code nooit naar een gebruiker gestuurd en kan de code ook niet worden opgeslagen. Dan wordt iedere keer een nieuwe code berekend die maar voor een beperkte tijd te gebruiken is. Kortom, veilig werken in de cloud is absoluut mogelijk, mits de juiste maatregelen worden getroffen. Om vertrouwelijke informatie uit te kunnen wisselen is een infrastructuur nodig met applicaties met ingebouwde beveiliging middels encryptie. Ook algemene autorisatiesystemen met multi-factorauthenticatie zijn essentieel. Om deze systemen te kunnen beheren en controle hierover te krijgen, moeten de beginselen van cloud computing duidelijk zijn. Ook weet je dan precies wat je als organisatie mag verwachten van een cloudaanbieder en welke eisen je kunt stellen om veilig werken in de cloud mogelijk te maken. CW

!LL)42OOMS $ATACENTER7ORKS 2ITTAL 3TULZEN 4ECHNALIAPRESENTEREN DÀPORTALVOORGROENE)4 ENGROENEDATACENTERS

GREEN IT WORKS IS DE ENIGE NEDERLANDSE PORTAL DIE IS GERICHT OP GROENE IT EN GROENE DATACENTERS. -%4$!'%,)*+3

.)%573

!#(4%2'2/.$%.

",/'3

6)$%/

7()4%0!0%23

%.-%%2

'2%%.)47/2+3)3%%.).)4)!4)%&6!. !,,)42//-3 $!4!#%.4%27/2+3 2)44!, 345,:%.4%#(.!,)!

7),45!,4)*$/0$%(//'4%:)*.6!.(%4,!!434%.)%573 /0 (%4 '%")%$ 6!. '2/%.% )4 %. '2/%.% $!4!#%.4%23 '!$!..5.!!2WWW.GREEN-IT-WORKS.NL

Thema

Angst is een slechte raadgever

“Liever

wetgeving schrappen dan toevoegen” In maart 2010 riep een aantal Computable-experts dat een gebrek aan duidelijke regels en voorwaarden een grootschalig gebruik van cloud computing in de weg staat. Eind maart 2011 schreef Neelie Kroes, Eurocommissaris voor de Digitale Agenda, in een blog dat zij wil dat de overheid strengere regels rondom cloud computing gaat opstellen. Jan Willem des Tombe, voorzitter van de Dutch Hosting and Provider Association (DHPA), is iets genuanceerder: “Liever wetgeving schrappen dan toevoegen.” Door Ben Lange, Senior Editor bij LVTPR Neelie Kroes pleit voor strengere regelgeving rondom databeveiliging, privacy, allocatie, juridische verantwoordelijkheid, eigendomskwesties en bescherming van de consument. Dit naar aanleiding van een advies van Adviesbureau METRI Group. Steven Ras, partner van ICTRecht dat gespecialiseerd is in juridisch advies op ict-gebied, heeft zich verbaasd over dit initiatief. “De huidige regels zijn streng genoeg, ze zouden alleen wel wat beter gehandhaafd kunnen worden.” Ook Jan Willem des Tombe volgt de initiatieven van Neelie Kroes met enige reserve. “Dit soort uitspraken komt voort uit angst en deze angst komt voort uit een gebrek aan kennis. We weten allemaal dat angst een slechte raadgever is. De kans is groot dat deze uitspraak uiteindelijk leidt tot praktisch onuitvoerbare wetten of regels die de sector zullen hinderen.” De Wet van Cremer¹ stelt: “De mogelijkheden van nieuwe technologie worden op korte termijn overschat, maar de gevolgen op lange termijn onderschat.” Bedrijven en overheid overschatten de

adoptie door gebruikers en onderschatten de impact van technologie. Dat geldt voor internet, social media en ook voor de cloud. De overspannen verwachtingen van de cloud op korte termijn verklaren tevens de paniek binnen de EU. Ras: “Cloud computing is niet meer dan een financieringsmodel. De huidige weten regelgeving volstaat prima.”

Outsourcen Des Tombe is het daarmee eens: “De overheid moet de cloud beoordelen op wat het nu is, niet op wat het nog zou kunnen worden. De cloud is eigenlijk

daarmee kunnen bedrijven veel geld besparen.” Zijn nuchtere kijk op de sector – “Het is niet de heilige graal” – doet volgens Des Tombe niets af aan de vele voordelen die de cloud aan bedrijven en organisaties biedt. Des Tombe: “De cloud is optimaal kosteneffectief door de ‘pay for what you use’-service. Hosters nemen in zo’n businessmodel de investeringsrisico’s op zich. Daarnaast profiteert een bedrijf van een eenvoudige disaster recovery, geen single point of failure en een goede beveiliging. En dit alles uit de muur. Maar willen we profiteren van die voordelen, dan moet je de sector niet belasten met wetgeving die gebaseerd is op een gebrek aan kennis.”

Derde landen Des Tombe begrijpt overigens wel waar de angst van de overheid voor cloud computing vandaan komt. “Bij de cloud doet het er niet meer toe op welke server, in welk datacenter, in welke stad, in welk land informatie staat. Wat er nu gebeurt, is dat overheden in Europa zien hoe informatie verspreid raakt over Europese datacenters en zelfs daarbuiten. Data van een persoon of organisatie kan wel in vijf verschillende landen zijn ondergebracht. Overheden zijn bang dat ze hierdoor hun grip op die data verliezen.”

Nieuwe wetgeving vergroot de kans op praktisch onuitvoerbare regels niets nieuws onder de zon: het outsourcen van servercapaciteit. Het grote voordeel van cloud computing is dat je kunt betalen naar rato van gebruik en snel benodigde capaciteit kunt opschalen en terugschalen naar behoefte. En

gegevens onderbrengen in ‘derde landen’, oftewel landen buiten de EU. Ras: “Wetgeving die de consument moet beschermen, bestaat dus al. Het is gewoon een kwestie van handhaven. Het woord ‘cloud’ valt heel vaak, dus moeten politici en bestuurders er iets mee. Volgens mij zijn bijna alle zaken die Kroes in haar blog noemt, gewoon een kwestie van contractuele afspraken tussen cloudleverancier en dienstenafnemer. De overheid heeft daarin geen rol.”

Juridische kaders In het ontwikkelingsstadium waarin de cloud zich nu bevindt, heeft de overheid volgens Des Tombe maar twee taken. Bescherm burgers en pak wetsovertreders aan – net als in de fysieke

trekken als ze worden opgelicht. Bij kinderporno bewijst de overheid dat zij wel snel kan handelen. Eén telefoontje en een site gaat uit de lucht.” De kennisachterstand bij de overheid op het gebied van informatietechnologie leidt volgens Des Tombe vaak tot verkeerde beslissingen die de sector meer kwaad dan goed doen. “De overheid reageert nu ad hoc op technische ontwikkelingen. Maar de techniek moet je niet als uitgangspunt nemen, want dan kun je je wetgeving elke week wel aanpassen. Zo snel gaan de ontwikkelingen.” Wat volgens Des Tombe ook niet helpt, is dat in elk Europees land negen ministeries bezig zijn met privacy en internetveiligheid. Dat kan volgens hem nooit leiden tot gedegen en eenvormig

GO SAFELY THROUGH THE CLOUD WITH CLOUDID LIONGATE

Ook Ras denkt dat het gebrek aan grip op data de overheid zorgen baart. Een gebrek aan kennis doet de rest. Maar data is en blijft – op welke server in welk land het ook staat – altijd te traceren. Bovendien mag je ook nu geen persoons-

revolutionary, 100% safe and easy to use Call us on +31 40 85 12 280 or email at [email protected]. Find out more at www.cloudidcompany.com Banner_CloudWorks_210x30.indd 1

36 - cloudworks - mei 2011

wereld. En dat kan volgens hem met de wetten die er nu zijn. “Het is een kwestie van de bestaande juridische kaders van toepassing verklaren op de cloud en er dan vooral naar handelen. En dat gebeurt veel te weinig. Neem de premium sms-diensten. Iemand die een verkeerd knopje op zijn of haar mobiel indrukt, zit vast aan een abonnement waarbij maandelijks een bedrag wordt afgeschreven. Als je de dienst wilt opzeggen, dan is een adres bijna niet te vinden. Dit heet gewoon fraude en oplichting. Toch duurt het zes jaar voordat de overheid dit aanpakt en operators handelen. Diefstal uit een webwinkel is niet anders dan shopliften in een fysieke winkel. Toch kost het webwinkeliers veel moeite om de aandacht van justitie te

21-04-11 14:18

mei 2011 - cloudworks - 37

Thema

Ook op uw bureau?

Cloud Works

beleid. In het artikel ‘Tijd voor een ictministerie’ in CloudWorks van oktober 2010 pleitte hij al voor een ministerie van Ict.

Bewaarplicht De gehele procedure rondom de bewaarplicht van telecomdata en internetgegevens laat volgens Ras zien wat een gebrek aan, en versnippering van kennis bij de overheid kan veroorzaken: “Overheidsinstellingen zinken weg in een moeras van rapporten, meetings en nulmetingen. De beoogde wet op de bewaarplicht is nutteloze symboolpolitiek. En nog steeds is het niet duidelijk wie er onder die wet gaat vallen. Dit is het beste bewijs dat de overheid, ook op Europees niveau, eerst kennis moet vergaren voordat ze tot actie overgaat.” De overheid kan kennis op het gebied van cloud computing vergaren door bijvoorbeeld zelf delen van de eigen ict-infrastructuur in de cloud onder te brengen, meent Des Tombe. Ministeries zouden dan meteen ervaringsdeskundige worden. “Als ze zelf de voordelen van de cloud ervaren en alles zelf doen, kunnen ze meepraten. Zeker in deze tijd is dit geen slecht idee. Ook de overheid moet efficiënter omgaan met geld. Met een clouddienst kan dat. Bovendien maken clouddiensten het voor ambtenaren makkelijker om thuis te werken. De overheid zou hiervoor een interne serviceprovider moeten creëren, die een ‘government cloud’ opzet en runt. Die provider moet dan waken over capaciteit, veiligheid, storage, de overheidswebsites en overheidsdata. Dit is nu allemaal per ministerie geregeld, van een centrale aanpak is geen sprake.”

Harmonisatie Is er dan helemaal geen nieuwe rol weggelegd voor de overheid in cloud computing? Des Tombe: “In plaats van strengere regelgeving zou het beter zijn als

d u loC d u CC loClo d u s k r o Wlo u d ks or W C l o y t i u r u W or d c e S ClWoksou rksd WWW.C

38 - cloudworks - mei 2011

NI 2010

ER 1 JU

| NUMM

WORKS.NU |

WWW.CLOUD

LI 2010

NUMMER 2 JU

WWW.CLOUDWORKS.NU | NUMMER 3 SEPTEMBER 2010

WWW.CLOUDWORKS.NU | NUMMER 4 OKTOBER 2010

D COMPUTING

D OVER CLOU

HET VAKBLA

WWW.CLOUD

WORKS.NU |

HET VAKBLAD OVER CLOUD COMPUTING

tegens

HET VAKBLAD OVER CLOUD COMPUTING

ors en

Vo

NUMMER 5 NO

VEMBER 2010

WWW.C

LOUDW

HET VAKBLA

ORKS.N

SLA’s

D OVER CLOU

U | NUM

MER 6

D COMPUTING

nsen Risico’s en ka ud ETo de Hcl VAKBLA en in e-level DO manag Rement CLOUD Veilig werkServic COeady d? VEud-r u ’ MPUTIN o cl te a : v G ri p w f o e c i li b klant en r u v vendo PDeIn afstan s tetur edletussen appliance Vir 001 zekerheid?

DECEM

an and? at cltduou danRe n roviders j dp i ie m g nd e pe s t de i a in r of t r s a it x Wain met ere en ee nde storageBegBaanb k ? UD-B gie lanASED penp ?CLO olo dStap n oe etth d m e s e ij r b SECU en Saas RITY naar of uit n op e M er, IB Digitale onderwereld multi-tenant Kopen r- en nInadteervleiew David ParkVan

dien mag het College bescherming persoonsgegevens van mij best wat meer toezicht houden op de naleving van de Privacywet. En voor de Nederlandse en Europese overheden ligt de taak ook vooral in het handhaven van de be-

staande wet- en regelgeving. Ten aanzien van clouddiensten voorzie ik grote problemen op het gebied van continuïteit bij faillissementen van hosters en andere toeleveranciers van de cloud. Als een van deze partijen failliet gaat, dan komt de toegang tot je data in gevaar. Hierin zou de ESCROW-garantie die de DHPA ontwikkelt, een oplossing kunnen bieden. Maar laat de rest vooral aan de markt over.” CW Noten: ¹ Alfred Stern, ‘De Wet van Cremer; Kosten en baten van grootschalig digitaliseren’, Archievenblad. 2008 (jaargang 112, nr. 8, oktober 2008).

10

WERKEN IN DE CLOUD

rks

sterk inltiopkomst gmulti-cu tot spEaMEriNn T ‘KosteLEnVEbL e IN AGREO D ’ U ste L jk E ela : Cri EKg On RVtICb SEe L |h NDERZ DEt n Oie is R | OA -M E de cloud van E O TCO IE De M H T NIET JERIC ENT

voo

voor een de barrières slechten.” Ras: “Laat bedrijven afspraken maken met hun cloudleverancier over waar data wordt ondergebracht, hoe deze wordt beveiligd en wat er aan het einde van het contract mee gebeurt. Boven-

BER 20

DATACENTER Wo

Verschaffen SAS70 en ISO27 es SLA? Hoe zit het mettGoogl array

In plaats van strengere regelgeving kunnen we beter op Europees niveau gaan praten over harmonisatie landen op Europees niveau gaan praten over harmonisatie. Waarbij harmonisatie voor mij eerder wetgeving schrappen betekent dan toevoegen. We moeten heel simpel kijken naar de verschillen per land en hoe we die oplossen – een

KS.NU

OR LOUDW

OMG DETEST G SKTO PV EVIN T U A L IN DEIR CLOUDISATIE

HET OEN IG IMPLEM g van kosten speelt ook een rol LGENSSLA’S VOLED IN DE , WEIN Spreidin E S ITY VO L S R E E U N R INDMOLENSD-IN-AC E E S ANTIE | WRV L INT OU ADITIO ERS CL N TRANSPAR ISE VA 2.0: TERRLAND: VEE UN C | AK lo T ZA ud OD desktop binn ORSTAR L LOOK NED EN VERDER: DE NO en handbere ENT TOT DO OSTING | LEGA rkomt catastro KABELN FAILLISSEM ik fouten | CLOUDH CLOUD: VA IEVIRTUALISATIE | DE HYBRIDE CLOUD | fale ALYSTAPPLICAT AN SP P SY BOX | OR UUR | VAN TELCO NAAR CLOUDPROVIDER | ALLSOLUTIONS LOOK LEGAL | RE | CLOUDMARKETING 2010

03-06-

.indd

erzameld

CW1-v

15:45:34

VEILIG IN HLO

VAN D ETGGJEANAR E Wat st aat on CLOU s D 01-07-2010

1

def.indd 1

CW2-verzameld-

09:55:59

EN VERDER: TRANSFORMATIE VAN HET DATACENTER | AVAILABILITY EN PERFORMANCEMANAGEMENT | STAPPENPLAN NAAR DE CLOUD, DEEL 2 | SERVERCAPA CITEIT UIT DE KRAAN | OXILIONS VIR03-09-2010 08:49:33 TUELE DATACENTER | CLOUDHOSTING| IMAGINE CUP | LEGAL LOOK EN VERDER: RED HAT OVER OPEN | VIDEOCONFE SOURCE EN DE REN CLOUD | VDI ALS BEVEILIGINGSM APPLICATIEBEHEE CING VIA DE CLOUD | VMWO IDDEL | QWISE RLD 2010 | CIT R | ‘DE CLOUD NEBULA WORQ RIX SYNERGY 201 IS OVERHYPED’ CW4-verzameld.indd 1 SPACE 0 | LEVERA | KANTOOR IN GED OU 01-10-2010 07:24:47 ZAKFORMAAT EN VE TSOURCING VAN | LEGAL LOOK R RITY M DER: ONDE RZOEK IDDELS CLOU CLOU CW5-verzameld. DEPE indd 1 D | GR OENE RIMETRISA D IN NEDER TIE EN DU LA URZAM | CLOUDB ND | SAM ENW AS E IT | LE GAL LO ED APPS | V ERKEN VIA 04-11-2010 07:24:48 ALKUIL D OK CW6-v erzameld EN | M E CLOUD | .indd SECU1 IGRAT IE NA AR DE

Via inlogmod

CW3-verzameld-def.indd 1

el of usb-stic

k

te wac

hten?

02-12-

2010

09:33:57

Mail uw gegevens naar [email protected] en ontvang het magazine CloudWorks gratis!* *Indien uw functie en werkkring relevant zijn. Vergeet deze niet te vermelden. mei 2011 - cloudworks - 39

Event

Juridisch

Microsoft

The Legal Look

zet in op mix van public en private cloud Geen ‘of of’ maar ‘én én’. Dat is de zienswijze die Microsoft etaleerde tijdens de Nederlandse versie van Techdays 2011 in het Haagse World Forum. Het technologieconcern gelooft in een hybride cloud, gemaakt van private en publieke ‘wolken’. Door Ronald Bruins , freelance journalist Net zoals de Rijksoverheid onlangs heeft gekozen voor een private cloud, zo zullen meer bedrijven twee keer nadenken voordat ze helemaal publiek gaan. “Je moet goed weten waar je mee bezig bent”, constateert Erwin Harteberg, product-solutionsmanager bij Microsoft. “De cloud lost de problemen van bestaande complexiteit binnen je organisatie niet op. Sterker nog, je hebt nog meer keuzes te maken.” Service staat centraal, de benodigde computing is daaraan ondergeschikt. Virtualisatie heeft juist dat mogelijk gemaakt. Harteberg: “Het is de paradox van keuzes. Er zijn meer mogelijkheden, waardoor er des te beter een goede samenstelling is te maken. Maar daardoor wordt het moeilijker om te weten welke keuze nu juist voor jou is. Kies het platform dat het beste technische ondersteuning biedt en die bij jouw uitgangspunten hoort.”

Oneindige schaal De cloud creëert de illusie van een oneindige schaal, die zeker in een private cloud niet gerechtvaardigd is. Harteberg: “In de publieke cloud heb je veel meer ruimte en is bijna oneindig aan te schakelen aan je huidige infrastructuur; maar daar gaat het niet om. Bedenk eerst je filosofie als je een cloud gaat implementeren. Wat betekent het voor jou en voor je producten en je afdeling?” De rijksoverheid heeft daarbij een duidelijke keuze gemaakt. Het werd private, vooral omdat informatiebeveiliging en opslag van data in het buitenland nog een stap

40 - cloudworks - mei 2011

te ver waren. Maar uiteindelijk zal het antwoord volgens Harteberg voor bedrijven bestaan uit een mix van public en private cloud. “De hele wereld in een SaaS-model zien we niet gebeuren. Ons uitgangspunt van de mix zie je terug in de investeringen die we hebben gedaan in Windows Azure en System Center 2012.” Van Azure komt een kleinzakelijke en een enterprisevariant inclusief Office 365. System Center 2012 heeft een Virtual Machine Manager. Daniel van Soest, van beroep spreker voor Microsoft, gaat verder in op de Virtual Machine Manager. “Het gaat veel meer om de resources die ik heb. Die wil ik optimaal kunnen gebruiken in mijn omgeving. Je definieert hiermee in je eigen omgeving clouds. Hoe groot mogen deze zijn wat betreft opslag en geheugen? Voor verschillende klanten in je organisatie kun je deze opknippen. Bij het opbouwen van een service kun je templates voor je virtuele machines gebruiken, zodat

je niet telkens de configuratie helemaal opnieuw hoeft te doen. Je neemt settings mee naar nieuwe machines. Maar het kan ook zo zijn dat je webshop over drie machines loopt. Je bepaalt dat zelf. Je kunt opschalen als er voor je webshop ineens veel meer rekenkracht nodig is.”

Stap verder De Virtual Machine Manager is onlangs in bèta gegaan. Een stap verder wil Microsoft gaan met Concero, een codenaam voor een in ontwikkeling zijnd cloudmanagementplatform om zowel de public als de private cloud te beheren. Dit platform is voor Microsoft belangrijk in de strijd tegen concurrent VMware. Van Soest: “Welke virtuele machine stopt na verloop van tijd en welke neemt het dan over? Welke data en webrollen hebben de machines? Welke componenten wil ik opstarten? Wat moeten de prioriteiten zijn? Die vragen moeten met Concero kunnen worden beantwoord.” Denk daarbij ook aan load balancing over meerdere machines. Al met al maakt het voor de technische mogelijkheden bijna niet meer uit welke cloud het is. De ITaanbieder heeft de infrastructuur liggen, de consument hoeft het alleen maar te finetunen en een keuze te maken. Harteberg: “Wat doe ik in de private en wat in de publieke cloud? Je laat als het ware de cloud het werk doen.” CW

Door mr. Victor A. de Pous, bedrijfsjurist en industrieanalist

In ieder nummer van CloudWorks worden meerdere juridische vraagstukken rondom cloud computing behandeld. Hebt u een vraag op het snijvlak van cloud en recht, stuurt u dan een mailtje naar [email protected].

> De Nederlandse overheid gaat zich met cloud computing bemoeien. Wat betekent dat juridisch? We moeten twee zaken goed uit elkaar houden. Allereerst is het ministerie van Binnenlandse Zaken en Koninkrijksrelaties aan het werk. Vorig jaar mei nam de Tweede Kamer namelijk de Motie Van der Burg (VVD) aan. Daarin verzoekt de Kamer ‘de regering in navolging van landen als Japan, het Verenigd Koninkrijk en de Verenigde Staten een strategie voor de hele Nederlandse overheid te ontwikkelen voor «cloud computing» en een «cloud First»-strategie waarbij mogelijkheden voor de inrichting van de overheidscloud duidelijk omschreven worden met de bijbehorende vooren nadelen.’ Let wel, hierbij gaat het om

past aan de nieuwe leveringswijze voor ict. Bovendien werkt Nederland aan een eigen versie van de Digitale Agenda.

> Wat gaat het beleid voor rijksoverheidsorganisaties behelzen? Volgens BZK-topambtenaar Jan Flippo vinden waarschijnlijk velen dat de overheid te langzaam handelt. Toch is het onvermijdelijk dat er telkens kleine stappen worden gezet. “We hebben niet veel haast met cloud computing”, zei hij in februari letterlijk. Cloud computing zal dus niet overhaast en ineens breed ingang bij de publieke sector vinden. Daarentegen kiest BZK vrijwel zeker eerst voor de toepassing van dit leveringsmodel in afzonderlijke, trefzekere domeinen. Daarbij zal meespelen

Cloud computing zal niet overhaast en breed ingang bij de publieke sector vinden nieuw beleid voor de rijksoverheid als gebruiker van ict, dat een solide juridische basis moet krijgen. De andere zaak betreft de inzet van cloud-computingdiensten als middel voor het creëren van economische vooruitgang en welvaart. Anders gezegd, ict in het algemeen en cloud computing in het bijzonder als motor voor innovatie. Ook hiervoor is beleid, inclusief nieuwe wetgeving, in de maak. Zo heeft Europa vorig jaar haar digitale agenda gepubliceerd en wordt het privacyrecht aange-

of de gehele (informatie)keten van de cloud-computingdienst gebruik kan maken. Volgens Flippo leidt de introductie van overheidsclouds in Nederland nadrukkelijk niet tot een ‘one supplier’-inkoopbeleid. De rijksoverheid is – dan wel blijft – voorstander van een gelijk speelveld in de markt.

> En voor Europa en de BV Nederland? Op het World Economic Forum in Davos maakte Eurocommissaris Kroes

(Digitale Agenda) bekend dat zij tot richtlijnen wil komen op het gebied van standaardisering van cloud-computingtoepassingen en met proefprojecten de ervaringen met cloud computing wil stimuleren. Volgens Kroes richt de Europese Commissie zich in dit kader op drie aandachtsgebieden: het juridisch raamwerk voor gegevensbescherming door een volledige herziening van het communautaire privacyrecht (is vorig jaar al aangekondigd), technische en commerciële uitgangspunten, vooral in relatie tot netwerk- en informatiebeveiliging, en technische standaarden application programming interfaces (API’s), bestandsformaten voor elektronische gegevens en verwante onderwerpen. Nederland gaat het communautaire beleid verder uitwerken, accenten anders leggen of mogelijk de volgorde van invoering wijzigen. Minister Verhagen van Economische Zaken, Innovatie en Landbouw ziet het belang van cloud computing in en zal op 17 mei a.s. de Nederlandse Digitale Agenda presenteren. CW Mr. V.A. de Pous is bedrijfsjurist en industrieanalist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.

mei 2011 - cloudworks - 41

Actualiteit

‘Vooral klanten hebben veel te leren’

Het Amazon-debacle Analisten, vakmedia en zelfs zwaargewichten als het Britse opinieblad The Economist hebben na de recente storing bij Amazon grote vraagtekens gezet bij de toekomst van cloud computing. Maar volgens specialisten maakt de crash vooral duidelijk dat klanten zelf verantwoordelijk zijn voor het robuust inrichten van hun ict-omgeving. Ook als ze voor cloud computing kiezen. Door Michiel van Blommestein, freelance journalist De storing in de Amazon Web Services (AWS) heeft een storm van kritiek losgemaakt op de leverancier. Doemdenkers voorspellen zelfs dat het vertrouwen in cloud computing een flinke deuk heeft opgelopen, omdat een dergelijke storing laat zien dat leveranciers hun zaakjes niet op orde zouden hebben. Maar de reacties van zowel gebruikers als gespecialiseerde consultants zijn een stuk milder. Sterker nog, het zijn de klanten die uiteindelijk lessen dienen te trekken uit de gebeurtenis, nog veel meer dan de leveranciers. “Om het maar in woorden te zeggen die je waarschijnlijk niet in het artikel kunt gebruiken: shit happens”, lacht Stefano Zatti, Infosecurity Officer bij de European Space Agency (ESA) en lid van de cloudwerkgroep binnen die organisatie. Hij is dan ook niet verbaasd over de omvang. “Bij een complex systeem als dat van Amazon is het niet een kwestie óf het fout gaat, maar wanneer. De leverancier heeft zelf al gewaarschuwd dat storingen kunnen en zullen voorkomen.”

Uitgebreide pilot ESA draait Amazon AWS als intern experiment om te kijken of het model geschikt is voor gebruik. “Ons doel als organisatie is het beschikbaar maken van informatie, en de cloud kan daar

42 - cloudworks - mei 2011

uiterst geschikt voor zijn. Het kan de cost of ownership flink doen afnemen”, zegt Zatti. Toch heeft ESA gekozen voor een uiterst conservatieve aanpak. “Als we louter zouden zijn afgegaan op de beloften van Amazon en andere cloudleveranciers, dan zouden we cloud computing onmiddellijk hebben uitgerold”, stelt Zatti. “Maar ook aan kostenreducties kan een prijskaartje hangen!” “Voorzichtigheid is dus het sleutelwoord. Om te beginnen hebben wij ervoor gekozen om in dit stadium slechts een subset van onze diensten via de cloud af te

ict-systemen. Die vindt plaats in stappen van drie tot vijf jaar, dus pas daarna zouden we eventueel overwegen om een stap verder te zetten.”

Verantwoordelijkheid ligt bij de klant Jorge Noa, CTO bij het Amerikaanse cloudconsultancybureau Hyperstratus, beaamt dat gebruikers hoe dan ook voorzichtig moeten zijn bij het plannen van een afgenomen cloudomgeving. Daarbij wijst Noa erop dat Amazon infrastructure as a service biedt: een raamwerk dat de klant zelf moet invullen. Dat betekent niet dat ze alleen de ‘leuke’ diensten in dat raamwerk mogen hangen, maar ook aan de minder leuke dingen moeten denken. “De cloud biedt de mogelijkheden om dat op een kosteneffectieve manier te doen”, zegt Noa. Maar het is niet zo dat het ook automatisch voor je gedaan wordt. Daar hebben veel klanten van Amazon volgens Noa de belangrijkste fout gemaakt: ze hebben niet genoeg aandacht besteed aan de beschikbaarheid van hun eigen omgeving. “De ict-wereld kent al sinds de jaren tachtig best prac-

“Ook aan kostenreducties kan een prijskaartje hangen!” nemen”, legt Zatti uit. “Geen van de afgenomen diensten is bedrijfskritisch, en we draaien een duplicaat in onze eigen omgeving waar we altijd op terug kunnen grijpen.” Pas later kan een organisatie erover gaan denken om de gegevens geheel naar de provider te schuiven. “In het geval van ESA is het moeilijk om in te schatten wanneer dat zal zijn. Maar als we onze diensten verder zouden uitrollen naar de cloud, dan zou dat in tandem gebeuren met de evolutie van onze

tices op het gebied van beschikbaarheid”, verzucht Noa. “Die best practices zijn van fundamenteel belang voor de informatieverwerking. Ict-bedrijven in bijvoorbeeld Californië weten dat ze hun omgeving niet in datacenters in die staat moeten concentreren. De mogelijkheid bestaat daar namelijk dat het gebouw bij de volgende aardbeving letterlijk in een krater verdwijnt.” Voor cloud computing gelden volgens Noa exact dezelfde regels als voor andere ict-vormen. “Dat lijken de klanten dom-

weg vergeten te zijn. Ze hebben een risico genomen door de kans dat een dergelijke storing plaatsvindt af te doen als miniem.”

Hoe het zou moeten Als voorbeeld van hoe het wél moet, noemt Noa Netflix. Netflix is een Amerikaanse online videotheek die geheel in de Amazon-cloud hangt, maar geen grote problemen ondervond van de storing. “Zij maakten optimaal gebruik van de beschikbaarheidsregionen die

Amazon hanteert in de Verenigde Staten, namelijk US East Region en US West Region.” Bij de storing lag de gehele US East Region, gecentreerd rond een datacenter in de staat Virginia, eruit. De storing trof alle availabilityzones in de regio, waardoor voor klanten die hun beschikbaarheid geheel in de East Region hadden gebaseerd zelfs zonder failover kwamen te zitten. “Maar Netflix was zo verstandig om hun AWS-diensten niet in dezelfde regio te concentreren, maar te spreiden

over de twee afzonderlijke regio’s. Toen US East Region eruit kwam te liggen, namen de Netflix-diensten in West Region het over”, legt Noa uit. “Dat moet een technische uitdaging voor ze zijn geweest, maar het is gelukt.” Organisaties die dergelijke maatregelen willen inbouwen, moeten dat nauwkeurig plannen. “Het overzetten van de ene regio naar de andere kan tijd in beslag nemen, en ook dat is downtime”, zegt Noa. “Het kan bijvoorbeeld zijn dat de dienst in de tussentijd twee uur eruit

mei 2011 - cloudworks - 43

Actualiteit

Column

ligt, terwijl de disaster recovery bezig is. Als klant moet je de vraag stellen: kan ik me twee uur downtime permitteren? Zo niet, hoe zorg je er dan voor dat die tijd wordt teruggebracht?”

Regelgeving

doet cloud de das om

Juridisch Ook andere factoren kunnen ervoor zorgen dat het plannen niet altijd even makkelijk is, zo zegt ervaringsdeskundige Zatti van ESA. Zo kon ESA een dergelijke spreiding niet toepassen vanwege juridische obstakels. “Wij zijn een internationale organisatie gebaseerd op een verdrag tussen de lidstaten”, legt Zatti uit. De ESA-lidstaten vallen ruwweg samen met de leden van de Europese Unie plus Noorwegen en Zwitserland. “Onze gegevens dienen volgens die verdragen op het ESA-grondgebied te blijven.” Dat betekende in het geval van Amazon dat ESA geen gebruik kon maken van verschillende beschikbaarheidsregionen, omdat alleen het Amazon-datacenter in Ierland zich op ESA grondgebied bevindt. Maar ook in zulke gevallen zijn er oplossingen. “Voorlopig draaien wij onze diensten, ook intern, synchroon met de diensten die we uit de cloud afnemen. Maar ook bij een uitbreiding kiezen wij hoe dan ook voor een aanpak waarbij de afhankelijkheid niet bij één leverancier ligt, maar nemen we een tweede leverancier in de arm.” Noa beaamt deze oplossing. “Als je twee verschillende cloudproviders die technische overeenkomsten vertonen in de arm neemt, kun je jezelf heel veel beheerhoofdpijn besparen”, zegt hij.

Door Gert Brouwer, onafhankelijk adviseur en storage architect bij Brouwer Storage Consultancy Stefano Zatti van de ESA. beschikbaar blijven, via de provider of met kopieën die we zelf aanhouden.” “De Amazon-SLA is opgesteld met in het achterhoofd dat de klant zelf heeft gedacht aan multi-zonebeschikbaarheid. De eerste stap voor een klant is dan ook om daarvoor te zorgen als dat nog niet is gedaan.” Klanten konden volgens Noa ook niet anders verwachten. Hoewel de kans op een dergelijk storing gering is, is die kans zeker niet

Cloud of niet, de beheerverantwoordelijkheid blijft altijd gelijk Amper malus in SLA Een van de pijnlijke dingen van de Amazon-storing was dat klantgegevens definitief verloren zijn gegaan. Veel klanten gingen ervan uit dat Amazon eventuele problemen voor hun oplost, terwijl het bedrijf daar contractueel slechts heel weinig verantwoordelijkheid in neemt. Het is volgens Zatti dan ook zaak dat een klant zelf mastercopies maakt van zijn gegevens. “Ook als we in de toekomst meer diensten zouden afnemen uit de cloud, zouden we er nog steeds voor moeten zorgen dat die gegevens

44 - cloudworks - mei 2011

nul. “Een risico is er altijd, en dat moet je als klant incalculeren.” “Amazon belooft 99,95 procent uptime. Dat komt neer op vier uur en twintig minuten downtime per jaar. Dat is niet slecht, maar geeft wel aan dat de kans op downtime per jaar reëel is”, zegt Noa. “In de ict is het streven 99,999 procent uptime, en dat Amazon daar relatief flink onder zit, zegt wel iets over het voorbehoud dat ze nemen.” Bovendien zijn de malusclausules in de SLA dusdanig dat klanten zelf moeten opmerken dat Amazon weinig verantwoordelijkheid neemt

bij een storing. “De malusclausule is 10 procent korting op de prijs. In veel gevallen zal dat niet opwegen tegen de schade die een klant bij downtime kan oplopen”, aldus Noa.

Cloud blijft ict Zowel Zatti als Noa geven aan dat cloud computing niet dusdanig nieuw is dat alle ict-lessen van voorheen het raam uit kunnen. “Voordat cloud computing begon, had je bijvoorbeeld de grid. In de kern zijn die twee heel erg vergelijkbaar”, zegt Zatti. “Cloud of niet, de beheerverantwoordelijk blijft altijd gelijk”, weet Noa. “Je kunt allerlei diensten afnemen van leveranciers als Amazon waarmee het je makkelijker wordt gemaakt. Zo heb je CloudWatch waarmee AWS-omgevingen in de gaten kunnen worden gehouden en dynamisch load balancing kunt volgen. Maar je kunt er ook voor kiezen om het zelf te doen. Het punt is dat je hoe dan ook een load balancer nodig hebt. Amazon maakt dit soort dingen redelijk duidelijk, maar de gebruikers hebben nog niet goed door dat een kleine kans op downtime nog steeds een kans op downtime is.” CW

Regelgeving is een breed begrip. In IT denken we daarbij vaak aan bewaarplicht en de wet op de privacy. In theorie zijn dit duidelijk gedefinieerde begrippen. De praktijk is echter totaal anders. In bewaren zijn de meesten van ons wel goed – niet alleen in de IT. Tijdens afgelopen Koninginnedag kon je weer goed zien dat menigeen de weg naar de grofvuil- of hergebruikcontainer maar moeilijk kan vinden. Wat vaak veel belangrijker is dan bewaren is het tijdig weggooien. Ook daar zegt de wetgeving iets over, vooral de Archiefwet. Dan wordt het ineens al een stuk complexer; vooral als je ook moet aantonen dat je hebt weggegooid wat je moest weggooien. Hoe maak je een duidelijke scheiding tussen wat weg moet en wat bewaard moet worden? Op IT-gebied zijn die twee vaak verweven, en juist daar houdt de wetgeving geen rekening mee. Dat worden wij geacht te doen. Een simpel voorbeeld is het feit dat de Belastingdienst eist dat wij fiscale gegevens tot en met zeven jaar na afsluiting van het boekjaar bewaren. De gegevens van werknemers waarvan het dienstverband beëindigd is, moeten binnen twee jaar vernietigd worden. Ga er maar aanstaan die twee uit elkaar

te halen als je daar bij de aanmaak van de gegevens geen rekening mee hebt gehouden. Op het moment dat zaken zich buiten de landsgrenzen afspelen, wordt het ineens nog veel complexer.

In theorie duidelijk gedefinieerd, in de praktijk totaal anders Ik herinner me een internationaal opererend advocatenkantoor dat ten tijde van de Sarbanes Oxley-hype besloot om een voor compliance gecertificeerd opslagsysteem aan te schaffen. Hier moesten de journals van de e-mails in worden opgeslagen. De VS-tak van het kantoor was helemaal tevreden, maar de Europese tak niet. Deze actie stond namelijk haaks op de Europese privacyregels. Het gevolg was dat het apparaat jarenlang ongebruikt stond want discussies tussen advocaten zijn niet in één week gevoerd. Een van de pijlers van het opslaan in de cloud is gebruikmaken van encryptie. Er zijn echter landen – zo weet ik uit

mijn eigen internationale IT-ervaring – waar encryptie vanuit overheidswegen verboden is. Veel cloud-aanbieders kunnen of willen niet vastleggen waar de data staat. Nationale wetgevingen bepalen vaak dat privacygevoelige gegevens niet buiten de landsgrenzen mogen worden opgeslagen. Hoewel Europese regelgeving boven nationale regelgeving gaat, werkt dit alleen als die Europese regelgeving er ook werkelijk is en als het betrokken land niet dwarsligt. Er zijn ook overheden die opslaan buiten de landsgrenzen toestaan mits het binnen de EU gebeurt. Cloudaanbieders wensen daar niet altijd rekening mee te houden. Een andere belangrijke misvatting is dat je je eigen verantwoordelijkheden kunt verschuiven met behulp van een SLA. De eigenaar van de data blijft te allen tijde zelf verantwoordelijk. De laatste tijd komt er veel meer aandacht voor privacy, denk daarbij aan het niet meer centraal opslaan van vingerafdrukken, de incidenten met de Rijkspas (onjuist gebruik burgerservicenummer), en het mislukken van het elektronisch patiëntendossier. Vandaar mijn stelling: Regelgeving doet de cloud de das om. CW

mei 2011 - cloudworks - 45

Case

Cloud computing in het onderwijs:

geen toekomstmuziek Cloud computing wordt steeds meer gebruikelijk, ook in het onderwijs. Een onderwijsinstelling die gebruikmaakt van cloud computing, hoeft minder tijd en geld te besteden aan de techniek. Daarmee komt er ruimte beschikbaar voor de toegevoegde waarde (uitnutting) van ict in het onderwijsproces. En dat is geen toekomstmuziek! Door Miranda van Elswijk, freelance journalist Er zijn al clouddiensten waar scholen gebruik van kunnen maken, bijvoorbeeld op het gebied van samenwerken. Specifieke diensten voor het onderwijs, zoals studenten- en financiële administratie, zijn nog nauwelijks beschikbaar uit de cloud, maar daar kunnen instellingen wellicht iets aan doen door samen naar een oplossing te zoeken, bijvoorbeeld een gezamenlijke ‘onderwijscloud’. SURF en Kennisnet helpen scholen en instellingen bij het benutten van de mogelijkheden van cloud computing. In het kader van het SURFnet/Kennisnet Innovatieprogramma is de publicatie Cloud computing in het onderwijs uitgegeven. SURF en Kennisnet zorgen niet alleen voor bewustwording bij onderwijsinstellingen over de ontwikkelingen, mogelijkheden en toepassingen van cloud computing, ook fungeren ze als gesprekspartner richting leveranciers. Ze vertegenwoordigen namelijk het hele Nederlandse onderwijsveld, van basisonderwijs tot en met hoger onderwijs.

Onmisbaar communicatiemiddel Andres Steijaert, programmamanager bij SURFnet, overlegt met organisaties als Microsoft, Google, Adobe en IBM. Hij geeft aan dat het internetgebruik in het hoger onderwijs al jaren heel hoog is. “Het gaat om mensen die hoog opgeleid zijn of worden, en die computer-

46 - cloudworks - mei 2011

vaardig zijn. Ze nemen hun laptops, mobieltjes en iPads mee naar hun instelling en verwachten dat ze daar gebruik van kunnen maken. Ook rekenen ze op een goed netwerk en een goed platform om op samen te werken. Die samenwerking vindt plaats binnen instellingen, maar ook tussen instellingen. En niet alleen met Nederlandse, maar ook met bijvoorbeeld buitenlandse universiteiten. Het internet is een onmisbaar communicatiemiddel geworden en cloud computing neemt daarbinnen een steeds belangrijkere plek in.”

Veiligheid Voor SURF is het belangrijk dat universiteiten en hogescholen de kracht van cloud computing gebruiken, maar dat ze dat wel op een solide basis doen. Andres Steijaert: “Als je gebruikmaakt van clouddiensten komen je gegevens – je inhoud – buiten de muren van je eigen instelling terecht. Cloudleveranciers moeten daar net zo secuur mee omgaan als je dat zelf zou doen. Daarover moet je goede afspraken maken. Ook moet duidelijk zijn met wie je die afspraken maakt. Als je bijvoorbeeld een online dienst voor documentopslag inkoopt, kan het voorkomen dat de aanbieder de fysieke diskruimte waar de data worden opgeslagen, niet zelf in huis heeft maar elders betrekt. Wat gebeurt er als die derde partij failliet gaat, of zich niet aan

de afspraken houdt? Een instelling moet een exitstrategie hebben voor als er onverhoopt iets misgaat.”

Samenwerken Over deze en andere vraagstukken buigen instellingen zich in SURF-verband. Ongeveer 160 instellingen uit hoger onderwijs en onderzoek zijn aangesloten. Wouter de Haan, programmamanager Platform ICT en Bedrijfsvoering bij SURFfoundation: “We zijn vooral een verzamelplaats; veel vernieuwingen komen bij de instellingen en de leveranciers vandaan.” Andres Steijaert: “Die instellingen kunnen kennis en ervaringen uitwisselen op het gebied van cloud computing. Ook bieden we voorzieningen om clouddiensten onderling en met lokale systemen in de instellingen te verbinden. Single sign-on is hiervan een voorbeeld. Het is handig als een gebruiker, bijvoorbeeld een student, maar één username en password nodig heeft om in te loggen bij verschillende diensten. Het voordeel voor leveranciers is dat zij die inloggegevens niet op hoeven te slaan; daar zitten ze niet op te wachten. Met SURFconext (www.surfconext.nl) bieden we een vernieuwende verbindingsinfrastructuur die gebruikers uit verschillende instellingen en online diensten van diverse leveranciers aan elkaar koppelt. Gebruikers hoeven dan niet meer voor iedere applicatie afzonderlijk een groep in te richten en teamleden uit te nodigen. Dat doe je nu één keer in SURFconext. Vervolgens zoek je de online applicaties van je keuze erbij en log je daar veilig in met je vertrouwde instellingsaccount. Voor instellingen, leveranciers en gebruikers lost SURFconext een hoop integratievraagstukken op.”

Standaarden De integratie tussen verschillende diensten is belangrijk. Daarom ijvert SURF voor open standaarden. Niet alleen in Nederland, maar ook met zusterorgani-

saties uit Europa en met de Amerikaanse organisatie Internet2. Andres Steijaert: “Ook leveranciers zijn betrokken bij deze overleggen. De ene leverancier is meer genegen dan de andere om open standaarden te ondersteunen, maar juist omdat we met SURFnet 1 miljoen gebruikers vertegenwoordigen, kunnen we laten zien hoeveel behoefte eraan is. Onlangs zijn we nog met een delegatie uit het hoger onderwijs in Amerika op bezoek geweest bij een aantal leveranciers. Die zijn soms wel verbaasd over de bereidheid om samen te werken en om expertise te delen; dat zie je niet in alle landen. Belangrijk is dat partijen vertrouwen hebben in elkaar.”

Andere rol ict-afdelingen Ook is belangrijk dat organisaties meegaan met de ontwikkelingen. Een paar decennia terug was de ict-afdeling van bijvoorbeeld een universiteit vooral een rekencentrum. Wouter de Haan: “Veel instellingen voor hoger onderwijs hebben een eigen datacentrum. Dat kost elke instelling enorm veel capaciteit. Gezamenlijk is dat beter én goedkoper te regelen. Doordat er minder energie en menskracht gestoken hoeft te wor-

den in de techniek, kan er meer geïnvesteerd worden in de rol van ict in het primaire proces. Als instellingen dat samen zouden willen doen, betekent dat een andere rol voor ict-afdelingen. Zij zouden zich veel meer kunnen richten op de ondersteuning van het onderwijsen onderzoeksproces.” Andres Steijaert voegt daaraan toe: “Ict-afdelingen zijn

men doen, in SURF-verband. Het is de taak van SURF om de vernieuwing aan te jagen, om kennis aan te reiken en experimenten mogelijk te maken. En om vergezichten te schetsen; je moet laten zien wat er mogelijk is met cloud computing.” Andres Steijaert vult aan: “De techniek loopt ver vooruit op wet- en regelgeving. Dat is een aandachtspunt

Het internet is een onmisbaar communicatiemiddel geworden altijd in staat geweest om tijdig te anticiperen op veranderingen; hun rol is niet meer te vergelijken met die van een paar decennia geleden.”

Vergezichten schetsen Wouter de Haan geeft aan dat het cloudaanbod groot is. “We brengen in kaart welke diensten er zijn waar het onderwijs gebruik van kan maken. Daarbij gaat het niet alleen om publieke diensten, maar ook om diensten die we als hoger onderwijs gemeenschappelijk in een community cloud kunnen organiseren. Daar kunnen instellingen dan gezamenlijk gebruik van maken. Het is een grote stap voorwaarts dat we dit sa-

voor onderwijsinstellingen, maar ook voor andere organisaties én voor particulieren! Vroeger was ict schaars, nu is het er in overvloed. Dat brengt nieuwe dilemma’s met zich mee, maar ook nieuwe voordelen.” CW In de komende nummers van CloudWorks verzorgt SURF een reeks artikelen waarin verschillende groepen uit het (hoger) onderwijs aan het woord komen over wat de cloud voor hun werk voor gevolg heeft. http://www.surfnetkennisnetproject.nl/ innovatie/cloudcomputing

mei 2011 - cloudworks - 47

Interview

“Wet- en regelgeving kan cloudaanbieders helpen” “De overgang naar de cloud is vooral een gevoelskwestie.” Dat zegt John Raven, directeur van goSaaS.nl, een IT-aanbieder die grote en kleine bedrijven helpt migreren. “Angst voor schending van privacy en een slechte beveiliging is er, maar die issues zijn niet nieuw. Sterker nog: in de cloud zijn ze beter dan ooit te tackelen.” Door Ronald Bruins, freelance journalist Raven is het eens met de keuze die Microsoft onlangs maakte. Het worden hybride werelden, waarin private en public clouds door elkaar lopen en zelfs nog gekoppeld zijn aan legacysystemen. “Niet iedereen zal meteen over willen gaan, uit angst om privacy- of concurrentiegevoelige informatie kwijt te kunnen zijn. Er is geen zicht op waar de data zich bevindt en wat de cloudpartner ermee doet. Het gevoel van controle is weg.” Op die angst moet serieus worden ingegaan, en dat gebeurt volgens Raven ook. “Maar die angst is ook wat overtrokken. Dezelfde issues spelen ook

– en misschien nog wel meer – als je je servers op je eigen bedrijfslocatie hebt staan. Waarschijnlijk laat je dan via een netwerk je medewerkers op afstand de server benaderen. Wie weet wat er over die lijnen gebeurt? En zo’n server valt ook te hacken. Nog los van het feit dat een medewerker zelf allerlei bedrijfsgegevens op zijn laptop heeft staan en kan verliezen of achterover drukken.”

Duizendmaal beter Zo bekeken is data veiliger bij partijen als Google en Microsoft, beschouwt Raven. “Zij investeren miljoenen in het beveili-

Het goSaaS-team met van links naar rechts: Francois, Levina en Sander, en helemaal rechts John Raven.

48 - cloudworks - mei 2011

gen van hun datacenters. Dat kun je als bedrijf nooit doen.” Daar staat volgens de directeur tegenover dat de grootmachten eerder een doelwit zijn dan bijvoorbeeld de gemiddelde transportonderneming in Nederland. “Daarom is de beveiliging van Google en Microsoft ook duizendmaal beter.” Raven analyseert vervolgens de markt. Google heeft zijn cloud van het begin af aan opgebouwd, Microsoft verbouwt bestaande diensten en plaatst ze in de wolken. Informatietechnisch is het volgens Raven beter wat Google doet. De zoekmachinegigant plaatst delen van informatie op verschillende servers, in verschillende datacenters. De betreffende applicatie zoekt de verschillende delen bij elkaar, en dat is een betere beveiliging tegen hackers. Daar tegenover staat dat een bedrijf niet weet waar exact zijn informatie blijft. “Het is en blijft een grote black box”, aldus Raven. Wil een bedrijf zeker weten waar het data onderbrengt, dan ligt een verbintenis met Microsoft voor de hand. “Dan krijg je een plekje in een datacenter waar je daadwerkelijk naartoe kunt”, aldus Raven. “Die keuze heeft weer te maken met gevoel, met vertrouwen. Als je data in een datacenter in Zwitserland hebt opgeslagen, voelt dat anders dan dat diezelfde data in Rusland is opgeborgen.” De wet- en regelgeving van het land waar het datacenter staat, kan meespelen in de beslissing. “Dat hebben we gezien bij de overheid die liever niet zijn data over ’s lands grenzen opslaat en daar bewust niet voor kiest. Met de Patriot Act kan de Verenigde Staten bijvoorbeeld data uit datacenters in de VS moeiteloos opvragen, zonder dat we daar de reden van krijgen te weten. De vraag is of dat altijd even erg is. Vind ik het erg dat ik op de weg continu gevolgd wordt met camera’s en mijn TomTom gegevens over mijn rijgedrag doorstuurt? Op zich niet, het ligt eraan wat ermee gebeurt. Als er geen kwaad mee gedaan wordt, is het niet erg. Maar

niet alle partijen zijn even open over hun bedoelingen met de data die ze in handen hebben.”

Gewenningsproces In 2015 zal volgens Raven een groot deel van het berichtenverkeer in Nederland naar de cloud zijn gebracht. Eerst e-mail, dan documenten en hij sluit zelfs CRM-systemen niet uit. “Het is een gewenningsproces. Als bedrijven eenmaal het gemak hebben ervaren, willen ze niet meer terug.” Dat geldt voor de consument die massaal de smartphone ontdekt, maar zeker ook voor bedrijven die naar de cloud toe werken. De vraag is wel of netwerkbedrijven klaar zijn om de massale toestroom van medewerkers die connectie willen met de cloud, te bedienen. “Er zijn immers nu al genoeg

problemen bij netwerkaanbieders. Aan opslag ligt het niet, de capaciteit wordt met het jaar groter. We kunnen alles bewaren, overal. En ook energie zie ik voor de toekomst niet als een probleem. Er komen nieuwe systemen die minder verbruiken, die meer opslag hebben en die kleiner zijn. Daar ben ik van overtuigd. Het is eerder het netwerk dat er niet klaar voor is. Eigenlijk geldt dat de cloud zo groot is als je over het netwerk kunt servicen.” Een kostenverlaging in het beheer van kantoorapplicaties is nog steeds de belangrijkste reden van klanten van Raven om over te stappen op de cloud. “Eenmaal over blijkt dat er in die cloud ook nog eens meer functionaliteit te vinden is, zoals videokanalen, samenwerkplekken en chatfuncties. Die voordelen sa-

men met het kostencomponent winnen het van zorgen over beveiliging en privacy. Daar ben ik zeker van. Alhoewel ik ook denk dat via wet- en regelgeving zelfs die hobbels worden geslecht. In die regels mag duidelijker dan nu worden gezegd wat van wie is op welk moment. Met die duidelijkheid zijn cloudaanbieders alleen maar geholpen.” CW

Overheid vraagt data op Weten hoeveel keer overheden data wereldwijd opvragen bij Google? En hoeveel keer ze Google vragen data te verwijderen? Zie www.google.com/transparencyreport/governmentrequests.

mei 2011 - cloudworks - 49

Partnerships

partners CloudWorks

De uitgave van CloudWorks wordt mede mogelijk gemaakt door de steun van een aantal partners.

NEOMAX De cloud-sourcingdivisie van Neomax ontzorgt bedrijven door het technisch beheer en de monitoring van bedrijfskritische applicaties uit handen te nemen. Neomax beschouwt IT als topsport. Het is haar missie de IT-omgevingen van klanten net zo goed te laten presteren als een topsporter. Samen met haar klanten schept Neomax de voorwaarden voor een optimale omgeving en helpt zij tegelijkertijd kosten te besparen en meer functionaliteit en een hogere beschikbaarheid te realiseren. Naast het outsourcen van de gehele IT-omgeving, kunnen organisaties er ook voor kiezen om hun omgeving gedeeltelijk bij Neomax onder te brengen. Neomax is betrokken en biedt kwaliteitgerichte dienstverlening op maat. Neomax verbetert de slagkracht, nauwkeurigheid en efficiëntie van IT-omgevingen. www.neomax.nl/ www.cloudsourcing.nu

Qwise Qwise is een gespecialiseerde system integrator op het gebied van virtualisatie en cloud computing. Qwise zorgt ervoor dat bedrijfsapplicaties en -informatie altijd en overal beschikbaar zijn. Hiervoor heeft het bedrijf 100 hoogopgeleide en ervaren experts in dienst, die zorgen voor een optimale integratie van diverse systemen. Op 29 september 2010 introduceerde Qwise een nieuwe dimensie in cloud computing: Qwise Nebula Worqspace. Met Nebula Worqspace is het mogelijk om anywhere, anytime te werken, veilig, betrouwbaar en tegen lagere kosten. www.qwise.nl www.qwisenebula.nl

50 - cloudworks - mei 2011

Sogeti Nederland B.V.

TelecityGroup Netherlands

Sogeti wil door gepassioneerd ict-vakmanschap bijdragen aan het resultaat van haar klanten. De visie van Sogeti is daarom als volgt samen te vatten: ´Resultaat door gepassioneerd ict-vakmanschap´. Dit betekent dat Sogeti de verantwoordelijkheid neemt voor haar activiteiten bij klanten. Ze verplicht zich aan het resultaat op basis van haar excellente professionaliteit en haar ondernemerschap. Door hechte en langdurige relaties met klanten zet Sogeti ict dusdanig in, dat het bijdraagt aan de strategische doelstellingen van haar klanten. Met het eigen Verkenningsinstituut Nieuwe Technologie (ViNT) geeft Sogeti invulling aan de koppeling tussen bestaande bedrijfsprocessen en de nieuwe ontwikkelingen. www.sogeti.nl

TelecityGroup is de belangrijkste leverancier van hoogwaardige netwerkonafhankelijke datacenters in Europa. Datacenters vormen de kernactiviteit: TelecityGroup ontwerpt, bouwt en beheert beveiligde omgevingen met hoge connectiviteit om technische, online- en IT-infrastructuur in onder te brengen. Het hoofdkantoor bevindt zich in Londen. TelecityGroup beheert 23 datacenters in de volgende steden: Amsterdam, Dublin, Frankfurt, Londen, Manchester, Milaan, Parijs en Stockholm. Het bedrijf heeft een breed en doelgericht programma voor het uitbreiden van de capaciteit. Sinds 2008 zijn nieuwe locaties geopend in Londen, Amsterdam, Stockholm, Milaan en Parijs. www.telecitygroup.nl Voor meer informatie over partnerships: Arnoud van Gemeren, [email protected].