Cloud is meer dan technologie

 
14 June 2016

Tekst Jasper Bakker en Erik Bouwer

Cloud-IT is een vorm van (out)sourcing. Knoop dat in je oren, want waar de leveranciers vooral inzetten op ontzorging (snel, gemakkelijk, voordelig), moeten inkopers en afnemers vooral letten op wat ze precies kopen. Je kunt IT weliswaar naar de cloud brengen, maar verantwoordelijkheden blijven gewoon bij jezelf liggen.

Cloud-IT is hot. Uit marktonderzoek van Giarte blijkt dat 86 procent van de ondervraagde organisaties in onze community al actief zijn in de cloud. Nog maar 1 procent van de bedrijven heeft geen plannen om cloud in te zetten.*

Deze cijfers laten zien dat bedrijven de cloud omarmen. Tegenwoordig heeft vrijwel ieder bedrijf een klein of groot proces waarbij cloudgebaseerde IT wordt ingezet. Bedrijven als Netflix en Dropbox hebben zelfs hun volledige businessmodel op de cloud van Amazon gebouwd. Ook de grootste banken uit de VS – die zich, net als traditionele IT-spelers HP, IBM en Oracle, lang hebben verzet tegen cloud – zijn nu om. De doorsnee Amerikaanse onderneming maakt gebruik van gemiddeld zes clouds.**

Is cloud-IT daarmee een soort water uit de kraan geworden? En is het net zo veilig en betrouwbaar, niet alleen in technisch, maar ook in juridisch opzicht? Of laten organisaties zich tot cloud verleiden door financiële en technische voordelen en hopen ze dat er op andere vlakken niets mis gaat? Hoewel er sinds de introductie van de cloud al wordt gediscussieerd over de veiligheid van cloud, snellen de technische en financiële voordelen vooruit. Juridische ontwikkelingen hobbelen er altijd achteraan.

Cloud-IT: Is het technologie, of is het rolverdeling

Cloud is een containerbegrip. Onder cloud valt een veelvoud aan IT-middelen, waaronder rekenvermogen, opslagruimte, platformen, applicaties en infrastructuren. Vroeger werden al deze IT-middelen door bedrijven en instellingen zelf onderhouden, óf onderhoud en beheer werd door externe dienstverleners verzorgd. Cloud-IT haalt de hele keten van ontwerp, aanschaf, implementatie, onderhoud en beveiliging weg bij de afnemende partij. Wanneer je als organisatie clouddiensten afneemt, verplaats je processen van je eigen organisatie naar een dienstverlener. Cloud-IT is dan ook te zien als een combinatie van enerzijds een technisch model van IT met anderzijds een economisch model, namelijk een financiële constructie gecombineerd met dienstverlening. De grote vraag bij cloud-IT is wat er naast technologie allemaal nog meer verandert als je IT-processen naar de cloud verplaatst. Het gaat dan onder meer om verantwoordelijkheid (sourcing, ontzorging, compliancy), met aansprakelijkheid (waar kan je de provider op aanspreken?), en afhankelijkheid of continuïteit (wat kan en/of moet je doen als er iets verandert of mis gaat?). Cloud-IT heeft dus (veel) meer om het lijf dan alleen een technologie.

Cloud is niet eenvoudig

Er zijn CIO’s die hardop durven roepen ‘het staat ergens in de cloud’, of ‘het maakt me niet uit waar het staat, als ik er maar bij kan’. Was het maar zo eenvoudig. Twee facetten maken de boel helaas erg ingewikkeld. Op de eerste plaats de techniek zelf. Clouddienstverlening bestaat uit verschillende technische componenten. Het datacenter, het beheer van de server, de internetverbinding, de applicatie en de beveiliging worden vaak door verschillende dienstverleners geleverd. Daarbij gaat het ook om de mensen die met al die technologie-onderdelen werken: hardwareleveranciers en -installateurs, system integrators, telecomaanbieders en leveranciers van beveiligingssoftware, om er maar een paar te noemen. Producten die je als cloudoplossing afneemt, hebben vaak deze eigenschappen: al betaal je naar gebruik (‘p maal q’), achter het product dat je afneemt zit een hele keten.

Op de tweede plaats maakt de juridische context cloud ingewikkeld. Cloud is niet alleen een technologisch product, het is ook een dienst. Tegenover de technische complexiteit van cloud staat vaak maar één contract en één SLA. Daarbij blijft vaak onduidelijk hoe de clouddienstverlener zijn eigen deelprocessen heeft georganiseerd. Kees Stuurman, hoogleraar Normering van Informatietechnologie aan de Universiteit van Tilburg en advocaat bij Van Doorne, wijst op de complexe structuur van voorwaarden die cloudleveranciers hanteren, voorwaarden die zij bijvoorbeeld eenzijdig kunnen wijzigen. De cloudindustrie is in juridische zin onvolwassen, concludeert Stuurman***. Dat blijkt ook uit onderzoek van CloudQuadrants****: de inhoud van SLA’s sluit vaak niet aan op de vraag uit de markt. Problemen doen zich bijvoorbeeld voor rondom de definitie van ‘beschikbaarheid’. Partijen als AWS, Microsoft Azure en Google Compute beloven 99,95 procent uptime, maar gepland onderhoud wordt niet altijd meegerekend; in sommige gevallen tellen de eerste vijf minuten downtime niet mee.

Verantwoordelijkheid blijft ‘on premise’

Clouddienstverleners beloven graag volledige ontzorging, net als serviceproviders. De meeste CIO’s weten inmiddels dat outsourcing alles behalve ontzorging is. Wanneer je cloud-IT niet primair ziet als een technologie, maar als een vorm van outsourcing, wordt duidelijk dat je ook bij cloud-IT oog moet houden voor aansturen, controleren, bijsturen en samenwerken met de dienstverlener. Bij cloud-IT is dat alles extra lastig, want het gaat niet om maatwerk maar om standaarddienstverlening. Voor een lage prijs kan je niet verwachten dat de leveringsvoorwaarden geheel op maat worden gemaakt en dat je een diepgaande samenwerkingsrelatie met de leverancier opbouwt. Afwijken van standaardcontracten wordt pas mogelijk naarmate je als klant groter van omvang bent en samenwerkt met grote cloudproviders.

Een cloudgebruiker kiest dus meestal voor one size fits all. In veel SLA’s is vastgelegd dat allerlei vanzelfsprekendheden niet de verantwoordelijkheid van de cloudleverancier zijn. Zaken waarvan je denkt dat ze horen bij het afnemen van clouddiensten, en waarvan je denkt dat de  cloudleverancier het regelt. Het is vergelijkbaar met het huren van een auto: de verhuurder regelt weliswaar een schadeverzekering, maar is niet aansprakelijk voor de gevolgen als je te laat op je afspraak komt omdat de huurauto stil komt te staan. Je zult dus zelf voor een ‘plan B’ moeten zorgen. Dat geldt voor continuïteitsvraagstukken, maar ook voor aansprakelijkheid. Soms zijn de eisen die de privacyregelgeving stelt niet te realiseren in de cloud; denk aan het doen van audits bij cloudleveranciers die niet openbaar maken waar de data opgeslagen is. In andere gevallen stellen zij hun datacentra niet open voor de auditors van hun klanten.

Verantwoordelijk voor data

In veel gevallen leggen de leveranciers ook de verantwoordelijkheid voor de veiligheid van de gegevens bij de afnemer. Het is dus cruciaal dat je als cloudafnemer zelf op de hoogte bent van de beveiliging en bescherming van data, dat je zelf organiseert dat er tijdig back-ups worden gemaakt, dat je zelf zorgt voor een exit-plan om data weer terug te halen, dat je weet in welk format data weer terugkomt en dat je zelf de continuïteitsrisico’s van al deze operaties in de gaten houdt. Je moet ook zelf controleren of je dienstverlener compliant is en blijft – dus ook wanneer de wetgever veranderingen doorvoert; met name het geval als de cloudafnemer gegevensverwerking uitbesteedt. Wanneer de clouddienstverlener een actieve rol heeft in het verwerken van data (waarbij de data verandert) moet je als opdrachtgever goed weten wat er precies gebeurt. De bewerker zelf (de cloudleverancier) heeft in de bestaande wet- en regelgeving nauwelijks eigen verplichtingen. Dat geldt ook voor het verzorgen van back-ups. Vaak wordt dit wel aangeboden door een leverancier, soms betaal je er ook voor als afnemer, maar wordt deze dienst niet contractueel vastgelegd om aansprakelijkheid te  voorkomen.

Cloud is een containerbegripGI_PN9133_Cloudsourcing_boek_omslag_2016_02.indd

In Nederland geldt per 1 januari 2016 de Meldplicht Datalekken. Bedrijven dienen voor ‘adequate beveiliging’ te zorgen. Op dit moment is nog niet nauw omschreven wat dat inhoudt, maar bedrijven zijn in ieder geval verplicht een lek te melden en tevens te kunnen uitleggen wat de organisatie heeft gedaan aan beveiliging. Dat geldt ook bij het gebruik van clouddiensten: de afnemer zal zichzelf dus moeten informeren in hoeverre een aanbieder voldoet aan eisen waar ook de klant zelf aan moet voldoen.

Toenemende complexiteit

Clouddiensten worden steeds complexer en dat bemoeilijkt het afbakenen van verantwoordelijkheden. Cloud-IT is tegenwoordig meer dan het virtualiseren van servers. Door het groeiende gebruik van smartphones, tablets, apps en Wi-Fi is de locatie van gegevens, de plaats van dienstverlening en welke partij verantwoordelijk is voor een bepaald onderdeel van de clouddienst steeds moeilijker vast te leggen.  Die groeiende complexiteit vergroot  bijvoorbeeld ook de kans op verborgen kosten. In een onderzoek onder Britse publieke organisaties***** kwam naar voren dat ruim driekwart van de organisaties met een onvoorziene toename in de IT-kosten werd geconfronteerd: bijvoorbeeld aanvullende externe onderhoudskosten op hardware, veranderingen in de eigen IT-organisatie en kosten als gevolg van applicatie- integratie. Complexiteit kan ook ontstaan als een leverancier zijn diensten beëindigt. Dat overkwam klanten van security- en storageleverancier Barracuda Networks, begin 2016. Barracuda sloot ruim voor de exit samenwerkingsovereenkomsten af met migratiebedrijf Mover en cloudaanbieder Microsoft om klanten over te hevelen naar Microsofts OneDrive, of naar een andere cloudopslagdienst. Bedrijven werden door omstandigheden gedwongen tijd, geld en aandacht te steken in een migratieproces – iets waar ze niet op zaten te wachten.

Verplichtingen van de klant

Er is nog een derde verantwoordelijkheid en dat is het voldoen aan alle verplichtingen als klant. Als je een standaarddienst inkoopt, moet je je vooraf goed verdiepen in de eigenschappen en in de gebruiksvoorwaarden: de onderzoeksplicht. Dat betekent ook dat je je niet moet laten misleiden door sales- en marketingboodschappen. Is de tuinman verantwoordelijk voor een mooie tuin? Zorgt hij alleen voor flora, of kan je hem ook aanspreken op de aanwezigheid van molshopen in het gazon en een door de konijnen kaalgevreten bed met jonge sla? Staat zorg voor een goede afrastering in het contract? Is het inhuren van een tuinman eigenlijk wel voldoende voor een mooie tuin of heb je ook een timmerman en een jachtopziener nodig?

Volgens ICT-jurist Arnoud Engelfriet, partner bij juridisch adviesbureau ICTRecht, heeft de klant bij het inkopen van diensten een wettelijke onderzoeksplicht, en heeft de leverancier van diensten een wettelijke informatieplicht. Tussen beide verplichtingen zit een bepaalde spanning, maar bij het afnemen van gestandaardiseerde diensten zoals cloud-IT geldt een verzwaarde informatieplicht bij de afnemer, aldus Engelfriet. Dat betekent dat de afnemer zich moet verdiepen in de eigenschappen van de dienst: de specificaties, de kwaliteit (snelheid, betrouwbaarheid, continuïteit), de risico’s die zich kunnen voordoen en hoe je daar mee om gaat.

Financiële verantwoordelijkheid

Een andere verplichting van de klant is het doen van tijdige betalingen. Wanneer die stoppen – als gevolg van onvermogen of als gevolg van een bewuste keuze, bijvoorbeeld bij een geschil – kan de cloudprovider de toegang tot de data ontzeggen. Daarmee kan de totale bedrijfsvoering tot stilstand komen. Steeds vaker is het ook de curator die hier last van krijgt. Het afwikkelen van een faillissement wordt lastig als je geen toegang meer hebt tot  de data van het omgevallen bedrijf – iets wat zich voordeed bij kledingmerk Oilily en mediawinkel Free Record Shop. Omgekeerd, als de cloudprovider het laat afweten in de vorm van downtime, wordt er volgens contract vaak wel een compensatie geboden, maar is de omvang daarvan beperkt – bijvoorbeeld maximaal 30 procent van de maandfactuur (Amazon AWS) – en is zo’n compensatie niet inwisselbaar voor geld.

Complexiteit kan ook ontstaan als een leverancier zijn diensten beëindigt

Aansprakelijkheid

Organisaties die kiezen voor cloud-IT moeten nog steeds voldoen aan allerlei regels, bijvoorbeeld fiscale bewaarplichten, het beschermen van persoonsgegevens en sinds kort ook het melden van datalekken. Binnen organisaties geldt op al deze vlakken bestuurdersaansprakelijkheid en die geldt zelfs wanneer individuele medewerkers zelf besluiten (dus buiten de IT-afdeling om) om cloudoplossingen te gebruiken zoals Gmail of Dropbox. Verantwoordelijkheid en aansprakelijkheid gaan niet altijd vanzelfsprekend in elkaar over. Soms is de cloudprovider verantwoordelijk voor het voldoen aan de SLA, maar is in diezelfde SLA vastgelegd dat er geen aansprakelijkheid geldt voor bepaalde gevolgen. En in andere gevallen ligt zowel verantwoordelijkheid als aansprakelijkheid bij de afnemer van de clouddienst.

Juridische aspecten GI_PN9133_Cloudsourcing_boek_omslag_2016_02.inddvan data

“Data is wettelijk gezien geen erkend fenomeen; het is een bijproduct van dienstverlening”, stelt ICT-jurist Engelfriet. Bij storingen, uitval of zelfs ondergang van een cloudaanbieder ligt hier een juridisch mijnenveld. Hoe valt data terug te vorderen, in geval van vrijwillige relatiebeëindiging of faillissement? Wie betaalt de kosten voor het opdiepen, eventueel herstellen en uiteindelijk exporteren van data voor de individuele klant? Een fysiek product zoals een fiets of auto valt te claimen: eigendomsbewijs overleggen, het product aanwijzen en ophalen. Cloud is een dienst, net als ‘schoonmaken’ of ‘catering’. Je kunt wel de dienst afnemen, maar die dienst kan je niet zo maar verplaatsen naar een andere locatie. Wil je je data of applicaties terughalen uit de cloud, dan heb je toegang tot systemen nodig en die is niet vanzelfsprekend.

Complicaties rondom data

In de rechtspraak bestaan inmiddels verschillende voorbeelden van complicaties, uiteenlopend van aansprakelijkheid voor schade, tot belemmering van het afwikkelen van een faillissement. In 2014 is KPN veroordeeld****** tot het betalen van een schadevergoeding van 140.000 euro aan een kleine ondernemer voor het per ongeluk wissen van een online back-up. De kosten voor de geleden schade zijn bepaald op basis van het uurtarief voor het opnieuw (laten) maken van de verloren gegane bestanden. Een ander voorbeeld is het faillissement in 2013 van de Amerikaanse cloudopslagaanbieder Nirvanix. Het bedrijf gaf na het informeren over het faillissement zijn klanten slechts twee weken de tijd om te handelen. Voor de ongeveer duizend klanten ging direct de klok lopen om hun gigabytes en terabytes aan data te redden. Zij werden acuut geconfronteerd met verschillende vragen: hoe was hun opslag eigenlijk verdeeld over locaties en hoe konden ze de data elders onderbrengen? Bij het redden van hun data moesten ze rekening houden met het gevaar van een ‘cloudrun’: als alle klanten tegelijk hun data ophalen, kan dat de toegangssnelheid negatief beïnvloeden en dat zou het redden van data weer in gevaar kunnen brengen.

Compliancy is niet te koop

GI_PN9133_Cloudsourcing_boek_omslag_2016_02.inddDe techniek schrijdt voort, maar de juridische kanten van het afnemen van clouddiensten sluiten niet altijd goed aan op de belangen van de business. In veel cloudproposities wordt de schimmigheid vergroot doordat providers met de bepaalde facetten van hun dienstverlening (zoals gecertificeerde beveiliging, audits en compliancy) de indruk wekken dat zij niet alleen een bepaalde taak, maar ook de bijbehorende verantwoordelijkheden oppakken. Als je compliancy koopt, betekent dit nog niet dat je het ook krijgt. Ook al is jouw cloudprovider volledig Payment Card Industry Data Security Standard (PCI DSS) gecertificeerd, je bent en blijft als klant zelf verantwoordelijk voor de compliancy op dat vlak. Kortom, net als bij outsourcing verleg je wel de controle en de directe operationele aansturing (tot en met de beveiliging en het uitvoeren van audits), maar de verantwoordelijkheid voor de bijbehorende risico’s blijft bij de inkoper van diensten liggen. Bedrijven zijn op dit vlak veelal onbewust onbekwaam, aldus ICT-jurist Arnoud Engelfriet. Volgens hem hebben zich nog maar weinig problemen voorgedaan en ontbreekt het bij bedrijven aan een besef van urgentie. Ook speelt mee dat we als consument gewend zijn aan clouddiensten. De verwachting is overigens dat de (Europese) wet- en regelgeving en het toezicht op het gebied van databescherming (privacy en security) steeds strenger zullen worden, waarbij er steeds minder ruimte is voor lokale uitzonderingen.

IT in de cloud: meer afhankelijk?

Om risico’s te beperken is er maar één oplossing, zorg voor een back-up elders

Uitbesteden maakt je afhankelijk – met name van de mensen die bij de dienstverlenende organisatie werken. Zij hebben hun eigen belangen en hanteren hun eigen voorwaarden. Die afhankelijkheid kan schade opleveren: in de vorm van onderbrekingen en verstoringen, in de vorm van juridische kosten of in de vorm van imagoschade. Soms komen bedrijfsprocessen stil te liggen als gevolg van dataverlies of downtime. Uit een in opdracht van EMC door Vanson Bourne wereldwijd uitgevoerd onderzoek******* blijkt dat bedrijven in 2013 wereldwijd 1.360 miljard euro  misliepen door dataverlies en ongeplande downtime van IT-systemen. Voor Nederland ligt dat bedrag op ruim 3,2 miljard euro. Daarbij is 275 miljoen euro toe te schrijven aan het daadwerkelijke verlies van gegevens, het resterende verlies wordt veroorzaakt door de daarmee samenhangende downtime van IT-systemen. Techniek wordt gemakkelijker, maar ook het besef van risico’s neemt geleidelijk toe. Uit onderzoek van de Nationale Eurocloud Monitor blijkt dat bedrijven databeveiliging steeds meer als grootste obstakel beschouwen, terwijl de kosten voor (en complexiteit van) integratie als steeds minder grote hindernis worden gezien. Toch heeft ruim een derde van de bedrijven nog steeds geen exitplan voor het verlaten van een publieke cloud. Bij bedrijven die wel een exitplan hebben, is in de periode van 2012 tot 2015 met name de aandacht voor het data-migratieplan toegenomen: hoe krijgen we data in een bruikbaar format terug?

Het hoeft niet meteen altijd fout af te lopen met clouddiensten; ook in ogenschijnlijk alledaagse aanpassingen van de propositie kunnen risico’s zitten. Zo heeft Microsoft eind 2015 de onbeperkte opslagruimte geschrapt voor betalende gebruikers van Office 365 voor persoonlijk gebruik. Deze klanten hadden de onbeperkte ruimte op OneDrive al een jaar officieel aangeboden gekregen. Ook andere leveranciers kunnen eenzijdig de voorwaarden, de tarieven of zelfs complete diensten veranderen. De ultieme nachtmerrie voor een CIO is natuurlijk dat een clouddienst ‘verdwijnt’: door faillissement of opheffing. Om dat risico te beperken is er maar één oplossing: zorg voor een (tweede) back-up of oplossing elders.

Noten

* Cloud Sourcing marktonderzoek van Giarte (2016)
** https://www.rightscale.com/lp/state-of-the-cloud
*** http://ibestuur.nl/seminar/regelgeving-loopt-achter-bij-cloud-computing
**** http://blog.weolcan.eu/hoe-volwassen-is-het-cloud-service-level-agreement-met-uw-provider-eigenlijk
***** http://www.cloudpro.co.uk/leadership/5377/public-sector-wasting-more-than-300m-a-year-on-hidden-cloud-costs
****** http://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBDHA:2014:6526
******* http://www.channelconnect.nl/nieuws/52235/dataverlies-en-down-time-itsystemen-kost-nederland-3-2-miljard-europer-jaar.html