Uw data in de Cloud, is dat wel veilig?

door 27 juni 2015

In een van onze eerdere blogs is het al eens ruim aan bod gekomen en we hebben er zelfs een seminar over geor­ga­ni­seerd, maar met de recentste ontwik­ke­lingen rondom Facebook toch nog eens wat extra goede raad met betrek­king tot het opslaan van uw infor­matie in de Cloud.

Van wie is de data?

Eén van de vragen die telkens terug­keert, heeft betrek­king op het eigendom van infor­matie die op basis van het leve­rings­model cloud computing wordt verwerkt. Bij nader inzien gaat de vraag­stel­ling van de veron­der­stel­ling uit dat een cloud­dienst de facto een vorm van uitbe­ste­ding betreft. Dat hoeft niet, maar zal wel vaak het geval zijn. Het leeu­wen­deel van de cloud­dien­sten, zowel IaaS, PaaS en SaaS, wordt immers door derden, de leve­ran­ciers, aange­boden en verzorgd. De eigen­doms­vraag is in dit perspec­tief zo gek nog niet. Maar pas op. Waarom zou het gebruik­maken van een dienst van een ander sowieso een eigen­doms­over­dracht inhouden? Om eens wat te noemen, wie een post­pakket verstuurt, draagt eigendom van deze zaak niet over aan de koeriers­dienst. Dezelfde rede­ne­ring biedt uitkomst bij cloud computing.

We hebben echter al eerder gewaar­schuwd. Eigendom vertelt niet het volledige juri­di­sche verhaal. Een infor­matie-eigenaar kan een ander bijvoor­beeld een licentie (gebruiks­recht) verlenen. En dat is precies wat de algemene voor­waarden van Google doorgaans bepalen. Wie gebruik­maakt van een cloud­dienst, geeft de leve­ran­cier een in tijd en omvang soms zelfs zeer brede licentie op de inhoud van met name opslag­dien­sten, die op basis van cloud computing worden geleverd. Dat kan voor de klant onwen­se­lijk zijn. Meer algemeen: waarom streeft een cloud­le­ve­ran­cier überhaupt een gebruiks­recht op de infor­matie van haar klanten na, anders dan nood­za­ke­lijk voor de tech­ni­sche levering van de service?

Hoe zit het met data porta­bi­li­teit?

Uit bescher­mings­oog­punt van de vertrou­we­lijk­heid van de bedrijfs- infor­matie geldt dus de regel dat het terechte en logische behoud van eigendom op in de cloud verwerkte data alleen niet zalig­ma­kend is. Die conclusie trekken we uit conti­nu­ï­teits­oog­punt door naar het gerecht­vaar­digde belang van een hoog beschik­baar­heids­ni­veau van het uitbe­stede bedrijfs­proces. Dat belang lijkt weliswaar evident, toch blijft conti­nu­ï­teit bij cloud­dien­sten helaas nog altijd onder­be­licht. Jammer. Wat ook de reden van een leve­ran­ciers­wissel mag zijn – wanpres­tatie of fail­lis­se­ment van een leve­ran­cier, wijziging ICT-beleid aan gebrui­kers­zijde en nog veel meer gronden- import en export van data kan mede­wer­king van de cloud leve­ran­cier verlangen. Dat hangt mede af van het gebruikte data formaat en datamodel.

Zijn er nog andere conti­nu­ï­teits­maat­re­gelen?

De rol van escrow – een van oorsprong Anglo-Ameri­kaanse finan­ciële zeker­heids­con­structie met juri­di­sche borging – met betrek­king tot ICT is door de komst van Cloud computing ingrij­pend gewijzigd. Vroeger ging het vooral om depot, veri­fi­catie en updaten van de broncode, compilers en ontwik­kel­do­cu­men­tatie van zwaardere standaard soft­wa­re­pak­ketten bij een onaf­han­ke­lijke derde, die, na het voltrekken van een onzeker voorval, zoals wanpres­tatie of fail­lis­se­ment van de soft­wa­re­le­ve­ran­cier, het gede­po­neerde domweg aan de gebruiker afgeeft. Deze modus operandi biedt niet langer uitkomst bij Cloud computing.

SaaS-escrow draait om het beschik­baar houden van de appli­catie (betreft doorgaans een continue cloud­dienst) en het verlenen van toegang van de bedrijfs­in­for­matie wanneer de cloud­le­ve­ran­cier niet meer levert. Dat kan op verschil­lende manieren, bijvoor­beeld door de hosting provider niet-zijnde cloud­le­ve­ran­cier, contrac­tueel te verplichten door te blijven leveren, terwijl het escrow- agent­schap de beta­lings­ver­plich­tingen overneemt. Dat vraagt om voor­af­gaande toestem­ming van de Cloud­le­ve­ran­cier. Bovendien zal de escrow-agent de rol van de cloud­le­ve­ran­cier slechts voor beperkte tijd (drie tot zes maanden) willen overnemen. Voor een struc­tu­reel Plan B moet de klant dus zelf zorgen.
Met dank aan Mr.V.A. de Pous als bedrijfs­ju­rist en industrie-analist.
Hij houdt zich sinds 1983 bezig met de juri­di­sche aspecten van digitale tech­no­logie en infor­ma­tie­maat­schappij en is mede­werker van uitge­verij Fence­Works.

Wilt u meer te weten komen over dit onderwerp?

Noteer dan alvast de 26ste November in uw agenda, voor het seminar van Business meets IT met als thema “Cloud & Business Conti­nuity” in samen­wer­king met Belgium Cloud.

Pin It on Pinterest

Share This