‘Ziekenhuizen zijn relatief laat in de cloud. Dat heeft te maken met de noodzaak van privacy en security. Medische data mogen niet op straat komen te liggen.’ Aan het woord is een CIO van een ziekenhuis in een middelgrote stad, die zijn organisatie momenteel voorbereidt op een overgang naar de cloud. Volgend jaar moet het gebeuren.
Dat vraagt om veel training van het medisch en verzorgend personeel. Immers, voor ziekenhuizen is IT niet de kerntaak – alle digitale middelen moeten de specialisten en het personeel ondersteunen bij de ware kerntaak: zorg verlenen aan patiënten. Toch is de cloud onvermijdelijk voor de organisatie, vindt de CIO, die MT sprak voor een onderzoek naar hoe organisaties omgaan met IT-security.
Dilemma’s in de cloud
Voor publieke en semipublieke instellingen als ziekenhuizen, onderwijsinstellingen en uitvoerende overheidsorganen is de gang naar de cloud niet eenvoudig. Veel publieke organisatie worstelen daar dan ook mee, zo blijkt uit het onderzoek dat MT samen met Proact en NetApp uitvoerde.
Er zijn organisaties, waarvoor de cloud de heilige graal is: het updaten van de software is niet langer de verantwoordelijkheid van eigen IT’ers. Het platform blijft dus altijd up-to-date omdat de cloudleverancier dat verzorgt. Ook geeft het iedere medewerker de mogelijkheid om overal en altijd in te loggen in het bedrijfssysteem.
Vooral voor organisaties met veel medewerkers onderweg en in het veld is dat gemak onmisbaar. Maar er zijn er ook die categorisch weigeren hun systemen of data met een clouddienstverlener te delen. Voor overheidsinstellingen die te maken hebben met gevoelige privédata van klanten en die tegelijkertijd goede service willen bieden, is dat een dilemma.
Veiligheid niet in de hand
Dat blijkt ook uit de data. Een minderheid, 18 procent van de onderzochte organisaties, laat al zijn data nu al in de cloud aanmaken en opslaan. Bijna een derde (30%) van de ondernemingen heeft op dit moment daarentegen al zijn data op eigen servers staan. Daarmee is voor bijna de helft van de ondervraagde IT-beslissers de keuze voor de cloud een alles-of-niets-kwestie.
Ter illustratie: voor een onderneming die wereldwijd actief is met innovatieve elektronica, is de cloud een no-go. Zo zegt de directeur: ‘Alles in onze organisatie is gedigitaliseerd. Maar omdat alle dingen die wij uitvoeren voor klanten onder strikte geheimhoudingsafspraken vallen, zullen wij nooit naar de cloud migreren. In de cloud zouden wij de beveiliging van onze gevoelige data niet meer in de hand hebben. Dat is geen optie.’
Angst voor datalekken
Security is dus een heikel punt voor degenen die de cloud argwanend bekijken. Vaak wordt dat in één adem genoemd met datalekken. Toch is ruim de helft van de onderzochte IT-beslissers laconiek over de mogelijkheid met een datalek te maken te krijgen. Ze vinden het ‘vervelend, maar geen ramp’ als een medewerker data, of zelfs intellectueel eigendom zou stelen.
Voor een kwart van de ondervraagden is diefstal van data wel rampzalig. Mede daarom is het delen van data voor veel van de ondervraagden dan ook niet vanzelfsprekend. Veertig procent deelt de eigen informatie niet met derden.
Van de meerderheid die wel bereid is data te delen, doet een meerderheid dat actief. Voor een deel van de IT-verantwoordelijken gaat de wens de eigen data te beschermen gelijk op met een huiver voor cloud computing.
Mag het wel van de wet?
Voor sommige organisaties speelt de wet een rol in de overweging. Zo zijn er IT-beslissers die ervan overtuigd zijn dat de wet migratie van privédata van gebruikers naar de cloud verbiedt. Volgens Henk de Ruiter van Proact ligt dat genuanceerder.
‘Nergens in de wet staat dat je niet gedeeltelijk mag outsourcen. Zelfs de overheid en zorg, met hun privacygevoelige data van privépersonen, mogen wel degelijk het beheer over hun data outtasken.’
De Ruiter doelt daarmee op de mogelijkheid om voor delen van de IT-operatie of IT-functies samen te werken met externe specialisten. ‘Dat is zelfs toegestaan voor de organisaties die de meest beschermde data beheren – denk aan geheime data die betrekking hebben op het landsbelang.’
‘Voor zulke gevoelige informatie zijn wel regels. Dus als je die data in de cloud deelt, moet de aanbieder van de diensten daar aantoonbaar aan voldoen.’ Dat moet je als gebruiker kunnen toetsen, stelt De Ruiter. ‘Laat je dus niet leiden door wat door anderen voor onmogelijk wordt geacht.’
Dit artikel is onderdeel van het dossier ‘IT-security’ op mt.nl. Dit dossier wordt mogelijk gemaakt door Proact. Proact levert flexibele, toegankelijke en veilige IT-oplossingen en -diensten.
Lees ook:
- 6x slim omgaan met IT-budgetten
- Daten met een zakelijke partner? Deze 5 dingen moet je doen
- Waarom de oorlog tegen legacy nooit ophoudt (en hoe je die toch wint)