Cloudgebruik ontslaat de ‘uitbestedende’ partij niet van verantwoordelijkheid. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
Het gebruik van externe ict-middelen en -diensten is geen kwestie van alles aan een ander (kunnen) overlaten. Het is al bekend dat dit geldt voor outsourcing, waarbij de uitbestedende partij vinger aan de pols moet houden en regie moet voeren. De kwestie van verantwoordelijkheid lijkt echter nieuw te zijn voor cloud computing, waarbij een organisatie toch eveneens essentiële ict-activiteiten elders laat gebeuren, uitvoeren en/of faciliteren.
Voor sommigen is het wellicht een open deur dat cloud computing de gebruikende organisaties niet ontslaat van hun eigen it-taken, waaronder niet alleen verantwoordelijkheid op papier maar ook beheerwerk in de praktijk. Cloudaanbieder Microsoft heeft het in ieder geval nodig geacht om klanten te wijzen op de grenzen van ieders verantwoordelijkheid. Dit mede met het oog op security; dat is en blijft grotendeels een zaak voor de klant. Wat vind jij?
Tja, als het over cloud gaat word ik wellicht geacht te reageren.
Maar in mijn ogen is het zo obvious dat de aanbestedende partij de verantwoordelijkheid blijft dragen.
Je kunt een oppas voor je kinderen regelen, maar als ouder blijf je verantwoordelijk. Daar hoort ook een vooronderzoek bij (hoe weet je dat de oppas haar verantwoordelijkheid serieus neemt).
Dat je helder communiceert over deze verantwoordelijk lijkt me ook logisch.
Wellicht dat je wat discussie kan krijgen over details waar de grens ligt, maar zo diep is de vraagstelling ook niet….
(Cloud)hosters weten niets van applicatie security.
Als je dit als aanbestedende partij (al dan niet bewust) negeert, dan verdien je gewoon de boete die wordt opgelegd door de AP wanneer je klanten/leverancier/personeels data op straat ligt.
Als eigenaar van data ben je eindverantwoordelijk. Dat betekent niet dat de cloud-aanbieder geen verantwoordelijkheid heeft. Als je een bepaalde dienst afneemt, moet je er vanuit kunnen gaan dat deze veilig is en de cloud-aanbieder moet handvatten geven om dit te kunnen controleren. Als je huurder bent van een pand en er wordt ingebroken, dan ben je zelf verantwoordelijk, maar als je je productie hebt uitbesteed aan een dienstverlener en er wordt ingebroken bij die dienstverlener, dan is de dienstverlener verantwoordelijk. Microsoft maakt onderscheid tussen SaaS, IaaS en Paas omdat de verantwoordelijkheden bij deze diensten ook verschillend zijn.
Doorgeredeneerd kom ik uit op de volgende keten: de clouddienstverlener is niet verantwoordelijk; de computerserviceverlener, extern of intern, is niet verantwoordelijk; de programmeur is niet verantwoordelijk… Welke verantwoordelijke (eind)gebruiker heeft de onverantwoorde beslissing genomen om ICT in te schakelen? Of is de keten toch een cirkel? Hoe dan ook: de (on)verantwoordelijkheid blijft…
“Maar in mijn ogen is het zo obvious dat de aanbestedende partij de verantwoordelijkheid blijft dragen.” aldus onze Scheringa van de Cloud.
Gestapelde uitbesteding zoals kredietcrisis 2009 ? Wie was er ook al weer verantwoordelijk en wie heeft uiteindelijk betaald ? Hoe werd herhaling voorkomen ?
helder communiceren, obvious, logisch..
boeien.
@Rik Opdam
Ik dacht het niet. Als jij je SAP applicatie bij een private cloud hosting bedrijf hebt neergezet en je hebt de laatste 5 jaar niet meer gepatched want ’te duur’ of een herhaaldelijk ‘komt nu even niet uit’, dan ben je als eigenaar van dat systeem wel degelijk schuldig wanneer dat systeem wordt gehackt en vertrouwelijke data wordt gelekt.
Het antwoord is hier niet zo zwart-wit, de provider heeft bepaalde verantwoordelijkheden welke met allerlei exoneratieclausules ontkent worden, de bordjes bij garderobes welke de directie ontslaan van aansprakelijkheid bij diefstal missen echter redelijkheid en billijkheid.
Microsoft legt nu de verantwoordelijkheid voor de data classificatie terug bij de klant, zoiets als de banken eerder deden met allerlei complexe beleggingsproducten, maar het lijkt erop dat het Europese hof op sommige punten hier toch anders over denkt. Er is wel degelijk een zorgplicht voor de provider omdat je geen (horizontaal) data governance in kunt richten als je gescheiden (verticale) silo’s hebt:
https://castlebridge.ie/sites/default/files/default/files/one_slide_summary_of_gdpr_and_information_governance.png
Henri,
Vraagstelling is wel diep, het gaat hier niet om de service maar de data. Want ‘Mind the gap’ tussen proces- en informatie uitkomsten die voor een explosie aan ongestructureerde data gezorgd heeft, daarin zit vast ook enige gevoelige informatie die nu nog te gemakkelijk in de cloud gezet wordt. De belofte van digitale transformatie gaat om BIT (business, Information & technology) van alle disconnected processen in de huishouding zelf die nu vraagt om een interieur verzorger, data classificatie gaat dus om het poetsen.
Let even op het schrijven van Microsoft getiteld: ‘Data classification for the cloud readiness’ aangaande het verschil tussen NIST (information flow) en ENISA (asset classificatie) die zo sprekend lijkt op het verschil tussen proces en residu in het gegeven plaatje.
Rik Opdam,
Zou je – op basis van gegeven plaatje – een duidelijk RACI model kunnen schetsen in zowel de (NIST) information flow en de verantwoordelijkheid voor assets (ENISA) zoals data als we kijken naar de gebruikelijke opdelingen in het beheer?
Ik stel deze vraag omdat 90% van de data ‘koud en vergeten’ is door bestuurlijk Nederland die vergeet dat het bonnetje een digitaal residu is van een proces en steeds vaker tot een pijnlijke conclusie leidt aangaande de integriteit. Let even op het pijltje van ‘evidence’ in het plaatje als het om de archivering gaat. De toegankelijkheid van een pointer tot het medium verwijderen is niet genoeg als we kijken naar het probleem van de cloud.
Je kan er door verschillende brillen naar kijken. Juridisch, Technisch, Pragmatisch, Imago schade en accountability.
Neem verantwoording en verdiep hoe je leverancier daar mee om gaat.
@KJ Dat is het verschil tussen IAAS PaaS en SAAS. Als je besluit niet te patchen, dan is dat logischerwijs nalatigheid. Als je SaaS – provider verantwoordelijk is voor de patches ligt dat weer anders,
@Rik
Dat is de theorie. De wet heeft echter het laatste woord in dit soort kwesties. In April 2016 is de General Data Protection Regulation Act aangenomen die in 2017/2018 overal in de EU zal gelden.
In deze Act staan 2 belangrijk begrippen beschreven : ‘data controller’ en ‘data processor’.
Er geldt dat de data processor uiteindelik verantwoordelijk is voor de beveiliging van de data. Hoewel die respectievelijk de rollen ‘data eigenaar = uitbestedende organisatie’ en ‘*AAS leverancier’ lijken te beschrijven is er sprake van een groot grijs gebied.
Denk bijvoorbeeld eens na over de implicaties hiervan wanneer de cloud provider bepaalde data processing activiteiten heeft outgesourced naar India, bijvoorbeeld.
Lees meer hier: http://tinyurl.com/qxmajs5