‘Cloud computing’ als realiteit en risico

Toen de redactie van het tijdschrift Informatieprofessional (IP) mij vroeg om voor het oktober­num­mer mijn licht eens te laten schijnen op de juridische implicaties van ‘cloud computing’ werd ik gestimuleerd om eer eens wat literatuuronderzoek en webresearch te doen. Wetende dat ‘cloud computing’ een enorme vlucht aan het nemen is, is het de moeite waard eens in beeld te bren­gen wat het begrip betekent en welke implicaties dat heeft voor de wereld om ons heen. We hebben immers de mond vol van ‘cloud computing’, van Web 2.0. en van het semantische web. Op het moment dat ik mijn manuscript bij de redactie had ingediend, besteedde De Financiële Tele­graaf kort aandacht aan het verschijnsel, en dan met name aan de risico’s die het met zich mee­brengt en de nieuwe regelgeving die nodig zou zijn. Of dat nodig is laat ik in het midden; zeker is, dat er (naast baten) veel risico’s zijn.

Bij de term ‘cloud computing’ komt bij mij altijd The Big Switch. Rewiring the world, from Edison to Google van Nicholas Carr voor de geest. Niet omdat het een geniaal boek is (want dat is het niet), maar wel om de levendige en enthousiaste beschrijving van de wonderen en gevaren van het Inter­net, de ‘World Wide Computer’, zoals Carr het noemt. Het is een vreemd boek, dat eigenlijk niet over ‘cloud computing’ gaat, maar het toch beschrijft. Het bestaat uit twee delen, die weinig ge­meen hebben, behalve dat ze over het Internet en daaraan gerelateerde ver­schijn­selen gaan. In het eerste deel (blz. 5-103) beschrijft Carr de geschiedenis van elektriciteit en van computers en verge­lijkt daarbij de ontwikkeling die daarbij werd doorgemaakt, van een tech­nologisch beperkt, lokaal gebruik tot een snel gecentraliseerd netwerk van verbindingen. Zowel elektriciteit als computers veranderden de manieren waarop we leven, met elkaar omgaan en zaken afhandelen. De gebruikte metafoor stelt Carr in staat om te stellen dat het Internet, door de integratie die het genereert, de aanleiding is van de wisseling van het lang gebruikte client-servermodel naar, wat hij noemt, ‘util­ity computing’. ‘Utility computing’ wordt, zo zegt Carr, net zoals de elektrische stroom vooral gefa­ciliteerd door de ontwikkelingen in netwerktechnologie. In een dergelijke omgeving fungeren som­mige bedrijven als ‘utilities’, die enkel een platform bieden waarop andere partijen toepas­sin­gen ontwikkelen. Gebruikers kunnen die platformen snel en tegen lage kosten benutten om daarop snel allerlei toepassingen aan hun klanten als dienst aan te bieden. In dit deel van The Big Switch be­schrijft Carr ‘cloud computing’ in optima forma. In het tweede deel van zijn boek (blz. 105-232) schrijft Carr over allerlei aspecten, die de ‘World Wide Computer’ bepalen en de dreigingen, die daaruit voortvloeien (bijvoorbeeld voor de privacy van de gebruikers). Hoewel zeer lezenswaardig hebben deze hoofdstukken vreemd genoeg weinig te maken met het verschijnsel ‘cloud coumput­ing’, zoals dat in het eerste deel zo enthousiast is gepresenteerd.

Gartner wijst op een vijftal kenmerken van een ‘cloud’:

  1. het is gebaseerd op diensten;
  2. het is schaalbaar en elastisch, d.w.z. dat de capaciteit ervan op basis van behoefte kan worden aangepast, zonder dat investeringen of desinvesteringen noodzakelijk zijn;
  3. het deelt een verzameling hard- en softwarebronnen, die efficiënt worden benut (door vele ver­schillende partijen namelijk) en daardoor relatief goedkoop aangeboden;
  4. het wordt per gebruikseenheid betaald; en
  5. het maakt exclusief gebruik van internetformaten en -protocollen, zoals http, IP en RST.

‘Cloud computing’ impliceert dus het uitbesteden van technologie – en het terug ontvangen daarvan als een ‘managed service’ tegen een bepaald dienstenniveau. Hierdoor verdwijnen investeringskosten en wordt er betaald voor het gebruik van de dienst.

‘Cloud computing’ is, zo verzekert iedereen mij, ‘hot’. Vooral leveranciers nemen het op in allerlei producten en diensten. Ze willen aansluiten bij een van onderop komende ‘revolutie’. De gewone computergebrui­ker is namelijk al lang bezig met ‘cloud computing’: wie maakt geen gebruik van internet bankieren, online CRM, online boek­houden, Gmail, Yahoo mail, MSN, Flickr, You Tube, iTunes, de.licio.us, Technorati, Google Maps, Joost, iPhone Apps e.d. ? Allemaal applicaties of diensten, die via het In­ter­net interactief worden ge­bruikt en breed zijn geaccepteerd. Veelal kennen we die applicaties en dien­sten tot nog toe als Web 2.0., door Tom O’Reilly in 2005 uitgebreid beschreven. In die zin is ‘cloud computing’ een realiteit, waaraan niet meer te ontkomen valt. Maar het is ook riskant, en het verschijnsel kent vele uitdagin­gen.

De meest in het oog springende uitdagingen zijn denk ik de afhankelijkheid van netwerkverbindingen en van (wellicht van ‘proprietary’ software gebruik makende) ‘cloud’-aanbie­ders. Is de netwerkverbin­ding snel genoeg qua bandbreedte en reactiesnelheid ? Is de verbinding continue? Hoe groot is de kans op wegvallen van de verbinding ? Welke cloud-leverancier biedt de gewenste betrouw­baar­heid qua bedrijfscontinuïteit en gebruikte technische infrastructuur ? Hoe staat het met de bevei­li­ging ? Een andere uitda­ging is het feit dat er nauwelijks standaarden zijn. Zo is overstappen van de ene naar de andere cloud-aanbieder een nog onbekend terrein. Migreren, duurzaamheid van content en ‘eigenaarschap’ daarvan komen in het vocabulaire van de ‘cloud’-leveranciers nau­we­lijks voor, terwijl dat kritische aspecten zijn. De grootste uitdaging evenwel vormt de juridische complexiteit van ‘cloud comput­ing’.

Op het rechtskader van ‘cloud computing’ drukt vooral privacywetgeving haar stempel. Deze wetgeving schrijft voor het gehele verwerkingstra­ject allerlei organisa­to­rische en technische maatregelen voor. Bovendien mogen persoonsgegevens zonder toestemming van het ministerie van Justitie niet buiten de Europese Economische Ruimte (EER) worden ver­werkt. Dit laatste punt is problematisch in ‘the cloud’. Immers, er zal vaak sprake zijn van grens­over­schrijdende gegevensverwerking. Daarmee krijgen de rechtsverhoudingen interna­tionale di­men­sies en raken zij verschillende jurisdicties, zowel privaatrechtelijk als (mogelijk) straf­rechtelijk. Welk recht is op de rechtsverhouding van toepassing en welke rechter is in geval van welk type con­flict bevoegd hierover te oordelen ?

‘Cloud computing’ leidt tot juridische risico’s, zoals:

  1. een grotere kans op datalekken;
  2. een grotere kans op te snel vernietigen of te lang bewaren van content;
  3. de doorgifte van content naar landen buiten de EER;
  4. een verminderde controle van de klant op de verwerking van de content door de leverancier in overeenstemming met de toepasselijke regelgeving;
  5. de in beslagname van de hardware (bijvoorbeeld in het kader van de Amerikaanse Patriot Act), waarop ook de content van een niet betrokken partij is opgeslagen.

Voor een dergelijke risicovolle en bedrijfskritische situatie lijkt mij een standaardcontract met een ‘cloud’-dienstverlener onacceptabel. Een analyse die ik van die contracten uitvoerde, brengt mij tot de conclusie dat deze afnemers in zeer afhankelijke en onmogelijke po­sities plaatsen, waarbij:

  1. grote onzekerheden bestaan over de gegarandeerde ‘uptime’;
  2. er een onduidelijke verdeling is van verantwoordelijkheden;
  3. de leverancier in staat is de content van de klant te gebruiken;
  4. er onvoldoende waarborgen zijn voor de bescherming van de privacy en de geheimhouding van de gegevens van de klant;
  5. er geen of minimale aansprakelijkheid is van de leverancier voor eventuele schade;
  6. de leverancier het recht heeft de dienst aan te passen of te beëindigen zonder reden en zonder de klant tijdig daarvan op de hoogte te stellen;
  7. een ‘exit plan’ ontbreekt en de leverancier niet de verplichting heeft de content van een klant te bewaren (bijvoorbeeld bij het eenzijdig staken van de dienstverlening); en
  8. van ongelimiteerde en ongecontroleerde onderaanbesteding gebruik gemaakt kan worden door de leverancier.

In een ‘cloud computing’- contract dienen deze aspecten dus te worden ondervangen om alle juridische complicaties zo goed als mogelijk tegemoet te treden. Om dat te doen is nieuwe regelgeving nog niet direct noodzakelijk. ‘Cloud computing’ zal in de komende tijden van bezuiniging gezien worden als een mogelij­ke en interessante automatiseringsoptie, misschien zelfs wel als een (misplaatste) reddingboei om van de vele kostbare en mislukkende IT-projecten ‘af te komen’. Het concept biedt immers vele mogelijkheden om kos­ten te besparen en tegelijkertijd kwaliteit en performance te ver­hogen. Uiteraard kunnen die laatste twee alleen indien de hiervoor benoemde uitdagingen en ju­ri­dische compli­ca­ties worden onder­van­gen. Veel organisaties zijn echter vooral gechar­meerd van de kos­tenverminderingen, die kun­nen worden gerealiseerd, en de mogelijkheden om de eigen, complexe informatie infrastructuren af te bouwen. Ze zijn zich niet bewust van de potentiële problema­tiek, die ‘cloud computing’ met zich meebrengt. Juist die uitdagingen en com­plicaties echter oefe­nen rechtstreeks invloed uit op de per­for­mance van bedrijfsprocessen (qua doelmatigheid, maar vooral qua rechtmatigheid) en zijn niet zomaar te onder­vangen. Dat vergt nogal wat, waardoor het van belang is de risico’s, die or­ga­ni­saties lopen, goed in kaart te brengen en af te wegen. Ik vrees dat vele organisaties dat op een veel te beperkte wijze zullen doen, gedreven door de wens vele kosten te besparen…

Voor de uitleg van een aantal experts over ‘cloud computing’ klik hier.

2 gedachten over “‘Cloud computing’ als realiteit en risico”

  1. Dag Geert-Jan,

    Leuk om eens wat artikelen te lezen. Ik ben van mening dat het niet zo heel veel zin heeft om de ‘of cloudcomputing goed is’ vraag te stellen. De tijd heeft ons al ingehaald. Dit zegt niet niet dat cloud computing dus volwassen is. Het is dus goed om te investeren in het groeiproces (lees kritische vragen stellen).

    In je betoog stel je dat er grote risico’s kleven aan cloud computing, waaronder een grotere kans op datalekken, minder controle, etc… Waar is dit op gebaseerd? Ik betwijfel dit namelijk. Als het over veiligheid gaat, denk ik dat een goede cloud leverancier het beter geregeld heeft dan dat zijn 1000 klanten dit individueel doen. We horen echter vrij weinig van deze incidenten omdat ze intern afgedaan worden. Anders gesteld, ik dat dat als je deze 1000 klanten langsgaat (in de veronderstelling dat ze het allemaal lokaal hebben draaien) dat de kans groter is dat je een datalek vindt.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.