Uw data in de Cloud, is dat wel veilig?
Van wie is de data?
Eén van de vragen die telkens terugkeert, heeft betrekking op het eigendom van informatie die op basis van het leveringsmodel cloud computing wordt verwerkt. Bij nader inzien gaat de vraagstelling van de veronderstelling uit dat een clouddienst de facto een vorm van uitbesteding betreft. Dat hoeft niet, maar zal wel vaak het geval zijn. Het leeuwendeel van de clouddiensten, zowel IaaS, PaaS en SaaS, wordt immers door derden, de leveranciers, aangeboden en verzorgd. De eigendomsvraag is in dit perspectief zo gek nog niet. Maar pas op. Waarom zou het gebruikmaken van een dienst van een ander sowieso een eigendomsoverdracht inhouden? Om eens wat te noemen, wie een postpakket verstuurt, draagt eigendom van deze zaak niet over aan de koeriersdienst. Dezelfde redenering biedt uitkomst bij cloud computing.
Hoe zit het met data portabiliteit?
Uit beschermingsoogpunt van de vertrouwelijkheid van de bedrijfs- informatie geldt dus de regel dat het terechte en logische behoud van eigendom op in de cloud verwerkte data alleen niet zaligmakend is. Die conclusie trekken we uit continuïteitsoogpunt door naar het gerechtvaardigde belang van een hoog beschikbaarheidsniveau van het uitbestede bedrijfsproces. Dat belang lijkt weliswaar evident, toch blijft continuïteit bij clouddiensten helaas nog altijd onderbelicht. Jammer. Wat ook de reden van een leverancierswissel mag zijn – wanprestatie of faillissement van een leverancier, wijziging ICT-beleid aan gebruikerszijde en nog veel meer gronden- import en export van data kan medewerking van de cloud leverancier verlangen. Dat hangt mede af van het gebruikte data formaat en datamodel.
Zijn er nog andere continuïteitsmaatregelen?
De rol van escrow – een van oorsprong Anglo-Amerikaanse financiële zekerheidsconstructie met juridische borging – met betrekking tot ICT is door de komst van Cloud computing ingrijpend gewijzigd. Vroeger ging het vooral om depot, verificatie en updaten van de broncode, compilers en ontwikkeldocumentatie van zwaardere standaard softwarepakketten bij een onafhankelijke derde, die, na het voltrekken van een onzeker voorval, zoals wanprestatie of faillissement van de softwareleverancier, het gedeponeerde domweg aan de gebruiker afgeeft. Deze modus operandi biedt niet langer uitkomst bij Cloud computing.
Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.