Cloudcomputing is niet meer weg te denken uit het huidige ICT-landschap. Steeds meer ondernemers kiezen voor Cloudcomputing vanwege de flexibiliteit en kosten efficiëntie.
De risico’s van Cloudcomputing
Cloudcomputing brengt ook risico’s met zich mee. De risico’s kunnen beperkt worden door heldere en specifieke afspraken te maken met de cloudleverancier. Veel ondernemers gaan echter - soms klakkeloos - akkoord met de door de Cloudleverancier gepresenteerde standaard (strenge en soms onbegrijpelijke) voorwaarden. Het is belangrijk om specifieke afspraken te maken over de voorwaarden waaronder de cloud-dienst wordt geleverd.
Wat is cloud computing?
Cloudcomputing is het op afstand opslaan van gegevens en software van de gebruiker op externe computers. Gebruikers van een cloud dienst kunnen vanaf hun eigen locatie via internet toegang tot deze gegevens krijgen. Cloudcomputing is vaak sneller, goedkoper, flexibeler en bovendien meestal veiliger dan IT-oplossingen op een vaste locatie. Cloudcomputing is een verzamelnaam voor diverse diensten zoals:
- SaaS (Software as a Service) Software-oplossingen die als een dienst via de browser toegankelijk worden aangeboden (webmail, internetbankieren, CRM- en HRM-toepassingen);
- IaaS (Infrastructure as a Service) Reken-, back-up- of opslagcapaciteitin de cloud;
- PaaS (Platform as a Service) Cloud-oplossingen waarmee het mogelijk is om binnen een vooropgezette infrastructuur eigen applicaties te ontwikkelen en exploiteren.
Continuïteit
Een van de belangrijkste aandachtspunten is de continuïteit van de dienstverlening. In de cloud draaien vaak bedrijfskritische applicaties. Volledige beschikbaarheid van het systeem, de data en internetverbinding is daarom cruciaal. De mate van beschikbaarheid ligt grotendeels in handen van de cloudprovider. In het contract met de cloudprovider kunnen afspraken worden gemaakt over de service levels, gegarandeerde beschikbaarheid en gevolgen van het niet nakomen van beschikbaarheidsgaranties in de vorm van boetes of service credits. Dergelijke afspraken bieden cloudproviders meer "incentive” om de beschikbaarheid op peil te houden.
Hoe goed de afspraken ook zijn, niet alle storingen zijn te voorkomen. Om die reden is het raadzaam een specifieke "disaster recovery” procedure overeen te komen om de (financiële en praktische) consequenties van een storing te beperken. Afspraken kunnen worden gemaakt over het (periodiek) maken van back-ups en het gereed hebben van een schaduwsysteem. Ook is het raadzaam om naast dergelijke preventieve maatregelen afspraken te maken over de te nemen herstelmaatregelen door de cloudprovider in geval van een storing.
Vendor lock-in
Als de bedrijfsvoering van de klant grotendeels afhankelijk is van de cloudprovider bestaat het risico op een "vendor lock-in”. Dat wil zeggen dat een overstap naar een andere dienstverlener onmogelijk is als gevolg van de afhankelijkheid van de dienstverlener. Dit risico kan worden beperkt door een heldere exit-regeling overeen te komen. Bij voorkeur wordt een heldere opzegregeling bedongen en wordt de cloudprovider contractueel verplicht actief te faciliteren bij de overstap naar een andere cloudprovider.
Faillissement
Faillissement van een cloud provider kan er toe leiden dat de klant plotseling geen gebruik meer kan maken van haar applicaties (bijvoorbeeld een online boekhoudpakket). Bij aanvang van de dienstverlening kunnen afspraken worden gemaakt om de gevolgen van een faillissement beheersbaar te maken. Hierbij valt bijvoorbeeld te denken aan het maken van afspraken met de cloudprovider en de (internet)host op grond waarvan de internethost zich verplicht de dienst toch (tijdelijk) in de lucht te houden als de klant de overeengekomen vergoeding voldoet. Een dergelijke afspraak kan de klant meer tijd geven de overstap naar een nieuw pakket te maken.
Privacy
Privacy speelt een belangrijke rol bij Cloudcomputing. De Wet Bescherming Persoonsgegevens (Wbp) is van toepassing op de verwerking van alle persoonsgegevens in de cloud. Zowel de klant als de cloudprovider zijn gebonden aan de Wbp. In de Wbp is bijvoorbeeld vastgelegd dat doorgifte van persoonsgegevens naar een land zonder "passend beschermingsniveau” niet is toegestaan. Een enkele uitzondering daargelaten mogen persoonsgegevens niet buiten de Economische Ruimte worden gebracht. Veel klanten hebben geen idee in welk land hun persoonsgegevens uiteindelijk worden opgeslagen. Sommige cloudproviders maken gebruik van datacentra in de VS. Denkbaar is dat de klant vervolgens als verantwoordelijke wordt aangesproken wegens schending van de Wbp. Het is daarom van cruciaal belang dat heldere afspraken worden gemaakt over de wijze van verwerking en doorgifte van persoonsgegevens.
Tip: Onderhandel met de cloudprovider
Het maken van specifieke afspraken met de cloudprovider is vaak makkelijker gezegd dan gedaan. Veel cloudproviders hanteren een "take it or leave it” beleid, waarbij de klant feitelijk geen andere keuze wordt geboden dan akkoord te gaan met het standaard contract van de cloudprovider. De Europese Commissie biedt mogelijk uitkomst. De Europese Commissie meent dat de huidige standaard contracten te complex zijn en met name de belangen van leveranciers behartigen. Een expertgroep is aangesteld om modelcontracten op te stellen die enerzijds de belangen van klanten waarborgen en anderzijds makkelijker te begrijpen zijn. Wanneer die contracten gereed zijn is nog niet bekend. Tot die tijd blijft het raadzaam goede en specifieke afspraken te maken om de aan cloud computing verbonden risico’s zoveel mogelijk te beperken. Dankzij de toename van het aantal cloudproviders hebben klanten steeds meer te kiezen. De toegenomen concurrentie op de "cloud markt” zorgt mogelijk voor meer onderhandelingsruimte. Vanzelfsprekend is het verstandig juridisch advies in te winnen bij het aangaan van een overeenkomst met een cloudprovider.