Uw data in de Cloud, is dat wel veilig?

door 27 juni 2015

agsdix-smc-cache-1
In een van onze eerdere blogs is het al eens ruim aan bod gekomen en we hebben er zelfs een seminar over geor­ga­ni­seerd, maar met de recentste ontwik­ke­lingen rondom Facebook toch nog eens wat extra goede raad met betrek­king tot het opslaan van uw infor­matie in de Cloud.

Van wie is de data?

Eén van de vragen die telkens terug­keert, heeft betrek­king op het eigendom van infor­matie die op basis van het leve­rings­model cloud computing wordt verwerkt. Bij nader inzien gaat de vraag­stel­ling van de veron­der­stel­ling uit dat een cloud­dienst de facto een vorm van uitbe­ste­ding betreft. Dat hoeft niet, maar zal wel vaak het geval zijn. Het leeu­wen­deel van de cloud­dien­sten, zowel IaaS, PaaS en SaaS, wordt immers door derden, de leve­ran­ciers, aange­boden en verzorgd. De eigen­doms­vraag is in dit perspec­tief zo gek nog niet. Maar pas op. Waarom zou het gebruik­maken van een dienst van een ander sowieso een eigen­doms­over­dracht inhouden? Om eens wat te noemen, wie een post­pakket verstuurt, draagt eigendom van deze zaak niet over aan de koeriers­dienst. Dezelfde rede­ne­ring biedt uitkomst bij cloud computing.

We hebben echter al eerder gewaar­schuwd. Eigendom vertelt niet het volledige juri­di­sche verhaal. Een infor­matie-eigenaar kan een ander bijvoor­beeld een licentie (gebruiks­recht) verlenen. En dat is precies wat de algemene voor­waarden van Google doorgaans bepalen. Wie gebruik­maakt van een cloud­dienst, geeft de leve­ran­cier een in tijd en omvang soms zelfs zeer brede licentie op de inhoud van met name opslag­dien­sten, die op basis van cloud computing worden geleverd. Dat kan voor de klant onwen­se­lijk zijn. Meer algemeen: waarom streeft een cloud­le­ve­ran­cier überhaupt een gebruiks­recht op de infor­matie van haar klanten na, anders dan nood­za­ke­lijk voor de tech­ni­sche levering van de service?

Hoe zit het met data portabiliteit?

Uit bescher­mings­oog­punt van de vertrou­we­lijk­heid van de bedrijfs- infor­matie geldt dus de regel dat het terechte en logische behoud van eigendom op in de cloud verwerkte data alleen niet zalig­ma­kend is. Die conclusie trekken we uit conti­nu­ï­teits­oog­punt door naar het gerecht­vaar­digde belang van een hoog beschik­baar­heids­ni­veau van het uitbe­stede bedrijfs­proces. Dat belang lijkt weliswaar evident, toch blijft conti­nu­ï­teit bij cloud­dien­sten helaas nog altijd onder­be­licht. Jammer. Wat ook de reden van een leve­ran­ciers­wissel mag zijn – wanpres­tatie of fail­lis­se­ment van een leve­ran­cier, wijziging ICT-beleid aan gebrui­kers­zijde en nog veel meer gronden- import en export van data kan mede­wer­king van de cloud leve­ran­cier verlangen. Dat hangt mede af van het gebruikte data formaat en datamodel.

Zijn er nog andere continuïteitsmaatregelen?

De rol van escrow – een van oorsprong Anglo-Ameri­kaanse finan­ciële zeker­heids­con­structie met juri­di­sche borging – met betrek­king tot ICT is door de komst van Cloud computing ingrij­pend gewijzigd. Vroeger ging het vooral om depot, veri­fi­catie en updaten van de broncode, compilers en ontwik­kel­do­cu­men­tatie van zwaardere standaard soft­wa­re­pak­ketten bij een onaf­han­ke­lijke derde, die, na het voltrekken van een onzeker voorval, zoals wanpres­tatie of fail­lis­se­ment van de soft­wa­re­le­ve­ran­cier, het gede­po­neerde domweg aan de gebruiker afgeeft. Deze modus operandi biedt niet langer uitkomst bij Cloud computing.

SaaS-escrow draait om het beschik­baar houden van de appli­catie (betreft doorgaans een continue cloud­dienst) en het verlenen van toegang van de bedrijfs­in­for­matie wanneer de cloud­le­ve­ran­cier niet meer levert. Dat kan op verschil­lende manieren, bijvoor­beeld door de hosting provider niet-zijnde cloud­le­ve­ran­cier, contrac­tueel te verplichten door te blijven leveren, terwijl het escrow- agent­schap de beta­lings­ver­plich­tingen overneemt. Dat vraagt om voor­af­gaande toestem­ming van de Cloud­le­ve­ran­cier. Bovendien zal de escrow-agent de rol van de cloud­le­ve­ran­cier slechts voor beperkte tijd (drie tot zes maanden) willen overnemen. Voor een struc­tu­reel Plan B moet de klant dus zelf zorgen.
Met dank aan Mr.V.A. de Pous als bedrijfs­ju­rist en industrie-analist.
Hij houdt zich sinds 1983 bezig met de juri­di­sche aspecten van digitale tech­no­logie en infor­ma­tie­maat­schappij en is mede­werker van uitge­verij Fence­Works.

Wilt u meer te weten komen over dit onderwerp?

Noteer dan alvast de 26ste November in uw agenda, voor het seminar van Business meets IT met als thema “Cloud & Business Conti­nuity” in samen­wer­king met Belgium Cloud.

Pin It on Pinterest

Share This