Overgaan naar de cloud is geen doorsnee IT-project. Hoe timmer je alles juridisch dicht rond privacy en andere mogelijke risico’s?
“Eigenlijk is cloud computing in essentie niet heel anders dan het uitbesteden van IT-gerelateerde diensten, zoals dat al jaren gebeurt in de vorm van hosting van websites en bedrijfssoftware.” Dat zegt advocaat Arthur van der Wees, als we hem vragen naar de juridische haken en ogen van de cloud. Van der Wees, managing partner bij het Amsterdamse kantoor Arthur’s Legal, adviseert met zijn praktijk zowel IT-bedrijven als hun gebruikers.
Cloud leeft
Dat Van der Wees zich niet beperkt tot de strikte juristerij rond IT en wat de laatste jaren als cloud furore maakt, bewijzen de ronde tafelsessies die hij de afgelopen maanden belegde met de aanbieders en afnemers van clouddiensten. Over het vertrouwen in cloud computing, de privacy-aspecten en nieuwe verdienmodellen. Het onderwerp leeft zózeer in zijn netwerk, met zóveel vragen en discussiepunten, dat de bijeenkomsten storm liepen. “Wij bedienen als het ware twee kanten van de tafel, dat biedt een gouden kans om ervaringen uit te wisselen met zakelijke gebruikers en leveranciers.” De drukte aan de ronde tafels was niet helemaal onverwacht, want Van der Wees had in de aanloop ernaartoe al gesondeerd hoe cloud computing leeft bij middelgrote en grote ondernemingen.
Vertrouwen groeit
Uit dat onderzoek bleek onder meer dat 66 procent van de ondervraagde managers het vertrouwen in cloud computing wel ziet groeien, maar het merendeel nog uiterst voorzichtig is met de overgang naar de cloud. Illustratief wat dit betreft: maar liefst 85 procent van de ondervraagden zegt andere of scherpere eisen te stellen aan een clouddienst en de dienstverlener daarachter dan aan een ‘ouderwetse’ IT-dienst. “Dat de salesafdeling met Salesforce werkt, vinden ze wel heel normaal, maar met andere primaire bedrijfsprocessen blijkt men huiverig.”
Juridische issues
Vanuit juridisch oogpunt is dat wat Van der Wees betreft niet strikt nodig. “De juridische issues die bij cloud computing spelen zijn grotendeels dezelfde als bij de outsourcing van IT zoals dat al jaren gebeurt. Je wil alles zo goed mogelijk regelen rond het gebruik van je data, de beveiliging, de privacy en de mate van service die je krijgt. In de regel ga je daarvoor niet zelf vuistdikke contracten opstellen, maar krijg je standaardvoorwaarden voorgelegd. Die pluis je uit, en waar je er niet mee uit de voeten kunt, begint het onderhandelen.” Wat Van der Wees desondanks opviel bij het onderzoek dat hij liet verrichten naar de inzet van cloud computing: de meeste respondenten gaven aan andere eisen te stellen aan een cloudprovider dan aan andere IT-dienstverleners.
Weet met wie je zaken doet
“Wat mij betreft kunnen we met de bestaande wetgeving prima uit de voeten, we hoeven niet meer regels op te stellen omdat technologie anders wordt gebruikt. Het is net als elders: je houdt goed in de gaten met wie je zaken doet, je spreekt service levels af en je legt er liefst een dikke boete op voor het geval er niet wordt geleverd.” Als General Motors een grote deal sluit met HP wordt ook uitgebreid geregeld wie van de 200.000 HP-medewerkers bij welke data mag komen en wat ermee mag gebeuren.” Wat alleen onmogelijk is: de verantwoordelijkheid voor het lekken van gevoelige gegevens bij de leverancier leggen. “Helaas: je hebt het proces gedelegeerd, maar dat ontslaat je niet van de aansprakelijkheid zodra het mis gaat.”
Klantgegevens veilig?
Die veiligheid van data hoeft er dankzij de cloud niet op achteruit te gaan. “In de tijd dat we alles nog in eigen huis hielden, maakten we lokale backups. Dat was dan een tape die bovenop de server bleef liggen of met iemand naar huis ging. Was dat veiliger? De human factor zal altijd een risico blijven.” Het bijzondere van clouddiensten is wel dat ze in de regel niet in één en hetzelfde datacenter draaien, vaak is niet op elk moment vast te stellen waar de gegevens zich fysiek bevinden.
Privacy en regelgeving
Dat heeft al veel vragen opgeleverd rond met name klantgegevens. Mogen die bijvoorbeeld zomaar de grens over? Zijn ze wel veilig in een Amerikaans datacenter, waar Justitie met de Patriot Act in de hand alle gegevens kan vorderen? “Je mag in de regel wat meer met de persoonsgegevens van je medewerkers dan met klantgegevens. Het lastige is dat elk Europees land er eigen privacywetgeving op nahoudt, met een EU-richtlijn als minimumnorm. Die privacyrichtlijn gaat dan wel terug tot 1995, toen nog 1 procent van Europa op internet zat. Het uitgangspunt is helder: klanten moeten weten wat er met hun persoonsgegevens gebeurt, en je hebt toestemming nodig om ze te verplaatsen. Maar waar je erin slaagt data te anonimiseren, is het geen punt om ze te exporteren naar een rekencentrum buiten de bedrijfsmuren. Dat gebeurt ook al bij de grote outsourcingcontracten die veel financiële instellingen in het verleden sloten. Je mag ook gerust zaken doen met Amerikaanse partijen, mits die voldoen aan de Safe Harbor-principes: ze voldoen dan aan de – strengere – Europese regelgeving.”
Patriot Act
De befaamde Patriot Act blijft desondanks een geliefd argument om toch vooral voorzichtig om te springen met cloudaanbieders. “Dat wordt nogal eens gebruikt door Nederlandse partijen als verkoopargument: bij ons bent u honderd procent veilig voor de Amerikanen. Maar de Nederlandse overheid mag ook een heleboel. Patriot Act, dat klinkt lekker agressief, maar de AFM, De Nederlandsche Bank en Nederlandse toezichthouders hebben net zo goed het recht om op elk moment data op te eisen. Ik heb zelfs de indruk, dat het de autoriteiten in de VS heel wat meer moeite kost om inzage te eisen, en dat daar een stuk spaarzamer gebruik van wordt gemaakt. ”
Kiezen voor innovatie
Toch blijkt het geen kwestie van of, maar eerder van wanneer en met welke processen. “Wat mij betreft heb je de keuze: ga je hele hoge muren optrekken rond je systemen en alles dichtspijkeren, of blijf je liever competitief en ga je binnen de nieuwe technologie de manier waarop je met data omspringt op de juiste manier managen?”