7 aandachtspunten voor overstap naar de cloud

23 april 2015 Consultancy.nl

Wie nog niet in de cloud zit is hopeloos ouderwets. En wie de voorwaarden van z'n cloudleverancier(s) klakkeloos accepteert, is hopeloos verloren. Wat nou als uw cloudleverancier in rook opgaat, vastzit aan de Amerikaanse wetgeving of z'n datacenters in Verweggistan staan? Geen idee? Daarom heeft KPN Consulting een cloudvoorwaarden-abc opgesteld.

De cloud niet gebruiken alleen vanwege de kleine lettertjes zou zonde zijn. Maar zomaar even overstappen op de cloud is geen goed idee. Een professionele aanpak is onmisbaar. Een belangrijke eerste stap is uw cloudleverancier om inzage vragen in de voorwaarden.

Let daarbij op de volgende zaken:

Is er een Disaster Recovery Plan?
93% van de bedrijven met een significant dataverlies is binnen 5 jaar failliet (Gartner). 90% van alle bedrijven die te maken krijgt met een ramp zonder een Business Continuity Plan of Disaster Recovery Plan (DRP) achter de hand te hebben, gaat binnen 18 maanden failliet (PWC). Denk bij zo'n ramp aan het defect raken van een server, per ongeluk verwijderen van cruciale data, een aanval van een hacker, enzovoorts. Check dus goed bij de cloudleverancier wat hij heeft geregeld. Laat u daarbij niet afschepen met een percentage dat weergeeft hoe snel de dienst weer in de lucht is na een calamiteit. Vraag naar het datacenter- of uitwijkbeleid. Is er een active-active-uitwijk en nemen datacenters het real time van elkaar over? Of is er tijd nodig voordat het ene datacenter het van het andere overneemt? Hoeveel data gaat verloren en hoe is de recovery echt ingericht?

KPN Consulting - Cloud

Hoe is High availability georganiseerd?
High availability betekent dat klanten dankzij spiegeltechnieken (mirroring) kunnen rekenen op een zo hoog mogelijke beschikbaarheid. Als een component uitvalt, neemt een andere machine het over. Cloudleveranciers geven meestal een percentage van de beschikbaarheid tijdens een bepaalde tijdspanne. In een Service Level Agreement (SLA) staat precies wat beschikbaar moet zijn en wat als onbeschikbaarheid wordt geteld. Stel: er is een SLA van 99,9% beschikbaarheid in de maand afgesproken, dan betekent dat maximaal 0,1% van de tijd in de maand er hinder mag zijn van ongeplande niet-beschikbaarheid. Bij 99,99% is dat 0,01% en bij 99,999% is dat 0,001%. Interessanter dan zo'n percentage is de vraag hoe tolerant de omgeving is voor verstoringen. Ga dus bij uw cloudleverancier na wat er met data gebeurt als een server crasht.

Welk recht is van toepassing op data?
Vaak vindt u in de voorwaarden van een cloudleverancier alleen terug waar de onderneming gevestigd is. Maar heeft een bedrijf bijvoorbeeld gekozen voor een cloudleverancier in Lutjebroek, dan wil dat nog niet zeggen dat de data automatisch onder de Nederlandse wetgeving valt. Een bedrijf is en blijft zelf verantwoordelijk voor de compliance, dus moet het ook controleren of alle leveranciers voldoende garanties kunnen geven. Check de volgende zaken goed: welk recht is van toepassing op welke data? Bij welke IaaS-provider staan de data? In welk land en onder welk recht vallen de beheerders? Dát data in een Amerikaanse cloud staan, hoeft geen probleem te zijn. Zolang het maar een bewuste keuze is en het past bij uw compliancebeleid.

Voorwaarden van Cloudleveranciers

Security beleid
Neem geen genoegen met een zinnetje in de voorwaarden zoals 'bij ons is uw data veilig.' Maar zaag de cloudleverancier door over hoe dan wel. Vraag om bewijzen zoals:

• Hoe ziet jullie security beleid eruit?
• Stimuleren jullie de vindingrijkheid van medewerkers, met bijvoorbeeld hackersclubs?
• Hoe worden medewerkers gescreend?
• Hoe is de fysieke beveiliging van data geregeld?
• Hoe worden medewerkers getraind in security?
• Hoe zit het met audits en normeringen?

Wat te doen bij faillissement?
Over de gevolgen van een faillissement van een cloudleverancier of van de IaaS-provider waar hij z'n dienstverlening onderbrengt, vindt u in de kleine lettertjes meestal niets terug. Check dit voordat u met een cloudleverancier in zee gaat. Bij bedrijfskritische processen moet de continuïteit goed geregeld zijn – technisch en juridisch. Zolang er geen wettelijke regels zijn en u geen goede contractuele afspraken heeft gemaakt, bent u volledig afhankelijk van de curator. Realiseer u dat dit gebied van cloudcomputing nog erg onvolwassen is. Goed advies over de juridische consequenties, inclusief verzekering tegen dataverlies, is dan ook onmisbaar.

Faillissement van je cloudleverancier

Cloud-exit-strategie geregeld?
U kunt een clouddienst opzeggen, net als elke andere dienst. De cloudleverancier moet de data dan teruggeven aan de rechtmatige eigenaar. Check van tevoren goed hoe de rollen en verantwoordelijkheden beschreven zijn. Wat staat er beschreven over hoe, wanneer en in welke vorm de data teruggegeven wordt? Volwassen cloudleveranciers bieden bijvoorbeeld API's, waarmee hun klanten data zelf eenvoudig kunnen benaderen, migreren of synchroniseren met on-premise-systemen of met andere clouddiensten. Dat betekent dat u minder afhankelijk bent van een cloudprovider en u eenvoudig van cloud naar cloud kunt hoppen.

Hoe waarborgt de cloudleverancier de privacy?
U blijft altijd zelf eindverantwoordelijk voor de naleving van de Wet bescherming persoonsgegevens (Wbp). Ga dus goed na hoe een cloudleverancier omgaat met de privacy. Uit onderzoek blijkt dat 74% van de cloudleveranciers niet geschikt is voor Europese bedrijven om data op te slaan. Ze voldoen niet aan de Europese privacyrichtlijn. Volgens deze richtlijn is het verboden persoonsgegevens te exporteren naar een land buiten de Europese Unie als dat land een ontoereikend beschermingsniveau biedt, bijvoorbeeld de Verenigde Staten. Om transport van persoonsgegevens naar de VS toch mogelijk te maken, heeft het Amerikaanse Departement van Handel in overleg met de Europese Commissie het Safe Harbor Framework opgericht. Amerikaanse organisaties die zich bij dit framework hebben aangesloten, worden gezien als organisaties die voldoen aan de Europese beveiligingsstandaard. Maar dat is onvoldoende. Neemt u een clouddienst af bij zo'n partij, check dan goed of die zich er ook aan houdt. En of de andere voorwaarden van de Wbp worden gerespecteerd.

KPN Consulting

Wees kritisch!
De groeiende behoefte aan heldere cloudvoorwaarden bij afnemers laat zien dat de Nederlandse clouddienstverlening langzaam maar zeker volwassen wordt. Maar er is nog veel nodig: SaaS-leveranciers moeten zich gaan verdiepen in het verbeteren van hun voorwaarden. Door kritisch te zijn en de juiste vragen te stellen, kunt u ze hierbij helpen. En de voordelen ervan gaan zien: werken ze met heldere voorwaarden, dan laten ze daardoor zien dat zij hun afnemers serieus nemen. En dat zorgt natuurlijk weer voor extra vertrouwen.

Nieuws

Meer nieuws over