Privacy biedt Nederlandse IT-bedrijven een mooi marketingargument voor een 100 procent Nederlandse cloud. Zin of onzin?
'Met CloudNL zijn klanten verzekerd dat deze diensten voldoen aan de voor hun branche geldende wet- en regelgeving.' Kijk, KPN snapt zijn marketing-abc: als je onzekerheid bij je klanten kunt wegnemen, happen die graag toe. En onzekerheid is er volop rond cloud computing. Want: staat een privacywaakhond als het College Bescherming Persoonsgegevens wel toe dat data het land verlaten? En wat vindt de Nederlandsche Bank ervan, als ik financiële gegegevens opsla in de cloud van pakweg Microsoft?
Zorgen over privacy
Terechte zorgen in de bestuurskamer. Het kan aanlokkelijk (goedkoper, flexibeler, sneller) zijn om de cloud in te gaan, maar zeker als daarbij het hele financiële hebben en houden van klanten of informatie over hun gezondheid meegaat, kun je daar niet zorgvuldig genoeg mee omspringen. Russische hackers liggen op de loer om gegevens af te tappen. En zodra je zaken doet met een Amerikaanse aanbieder van IT-diensten, komt daar nog een bijzondere partij bij die onaangekondigd kan snuffelen in je klantgegevens: de Amerikaanse justitie.
Amerikaanse cloud
Inmiddels is dat gegeven berucht onder managers die overwegen zaken te doen met Amazon, Salesforce of andere grote 'Amerikanen' voor clouddiensten. Met een beroep op de zogenoemde Patriot Act kunnen Amerikaanse opsporingsdiensten, met name de FBI, inzage in gegevens vorderen bij IT-bedrijven. Zelfs zonder opsporingsbevel kunnen ze spitten, en dat ook nog zonder dat derden dat te weten komen: de IT-bedrijven in kwestie kunnen een zwijgplicht opgelegd krijgen.
Graaibevel ligt gevoelig
Voor Nederlandse bedrijven kan dat in theorie een probleem opleveren, stelt internetjurist Arnoud Engelfriet. 'Die Amerikaanse wetgeving, met name dat 'graaibevel', is controversieel, en biedt niet de waarborgen op Europees niveau.' Ook privacywetgeving zoals op ons continent ontbreekt in de States. Op basis van de Europese privacyregels is de export van data naar landen buiten de EU daarom formeel niet toegestaan. 'Maar je kunt je afvragen of de Amerikaanse praktijk nu werkelijk voor problemen heeft gezorgd, of dat het koudwatervrees is voor de nieuwe ontwikkelingen. In Nederland zal justitie ook niet vooraf om toestemming vragen aan een betrokken bedrijf om inzage in je gegevens te krijgen.'
KPN: CloudNL
De privacybezwaren tegen de export van klantgegevens overzee leiden ertoe, dat bedrijven voor alle zekerheid toch liever met een niet-Amerikaanse partij in zee gaan. Nederlandse aanbieders spelen daar handig op in. KPN voorop: dat doopte zijn clouddiensten zelfs ronduit CloudNL. 'Wij kunnen garanderen dat alle data in Nederland blijven', zegt Gerard Schiebroek van KPN IT Solutions. 'En dat is wel degelijk relevant voor onder meer bedrijven die te maken hebben met specifieke regels rond de uitbesteding van hun IT. Wij richten ons met CloudNL op de zorg, financiële instellingen en de overheid.'
Audits door Deloitte
KPN heeft meer clouddiensten, die het deels vanuit India in de lucht houdt. Om CloudNL staat echter een hek. Bovendien is door de consultants van Deloitte de risico-analyse gedaan, die bijvoorbeeld financiële instellingen verplicht zijn te doen voordat ze hun IT uitbesteden. 'Dat ze zelf die risico-analyse niet hoeven te maken, scheelt een hoop rompslomp. We hebben ook duidelijk op papier staan, wat er met de data gebeurt zodra klanten vertrekken.' Al met al garandeert het zogenoemde compliancy framework van Deloitte, dat de KPN-cloud aan alle regels en wensen van toezichthouders voldoet. 'En Deloitte houdt vier keer per jaar een audit, om vast te stellen dat dat zo blijft.'
Better safe…
Jazeker, CloudNL, gehuisvest ergens in Aalsmeer, is door zijn aard wat duurder dan de andere clouddiensten die KPN deels vanuit India laat draaien. Zoals de Amerikanen zelf zeggen: better safe than sorry. Maar is een puur Nederlandse cloud wel noodzaak? Nee, zegt Engelfriet. 'Er is wat privacywetgeving betreft geen verschil tussen een Europese of een Nederlandse cloudaanbieder. Maar het is blijkbaar een relevant marketingargument. En er valt met de uitstekende infrastructuur in Nederland een prima dienst op te zetten, die voldoet aan de privacyregels.'
CloudNL gaat live
Volgens Schiebroek van KPN kopen zijn klanten de zekerheid dat ze voldoen aan alle wettelijke eisen. 'En we trekken heel veel aandacht met ons aanbod, van klanten, analisten en de rest van de IT-wereld.' In september kondigde KPN zijn dienst aan, binnenkort gaat die live. Inmiddels heeft de eerste klant getekend om 15.000 werkplekken onder te brengen in de oranje cloud. 'Goed gerunde bedrijven weten heel goed onderscheid te maken tussen gevoelige data en generieke diensten,' zegt Schiebroek. 'Van dat laatste accepteren ze gerust dat die uit een Europese of Amerikaanse cloud komt. Maar een accountant wil niet dat zijn klantdata het land verlaat.'
DNB maakt reclame
Dat Nederlandse toezichthouders niet mordicus tegen de Amerikaanse cloud zijn, bewees overigens deze maand De Nederlandsche Bank. Die behandelt clouddiensten als alle andere vormen van uitbesteding aan derden: zo lang er een grondige risico-analyse aan vooraf is gegaan en het geen belemmering oplevert voor het toezicht, is er geen bezwaar tegen utibesteding. Ook niet aan een Amerikaanse partij. Vorige week meldde DNB dat Microsoft voldoet aan de toezichtseisen door een zogenoemd right to examine op te nemen in zijn contractsvoorwaarden: 'Naast het al eerder overeengekomen 'right to examine' (onderzoeksrecht) voor de Office 365 diensten van Microsoft is DNB ook het 'right to examine' voor de producten Microsoft Azure en Microsoft Dynamics met Microsoft overeengekomen.' De berichten lezen bijna als reclame, maar ze staan toch echt op de DNB-website.
