Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Cloud: waar staan mijn data?

Computable Expert

Sjaak Laan
Principal IT Architect, CGI. Expert van Computable voor de topics Cloud Computing, Infrastructuur en Datacenters.

Wil je gebruik maken van cloudservices? Doe je dat misschien al? Weet ja dan waar jouw data staan? Maakt het eigenlijk wel uit?

Cloudservices zijn er in allerlei soorten en maten. Van de ruwe  vorm (infrastructure as a services, het huren van virtuele machines  en storage) via platform as a service (het draaien van  zelfbouwapplicaties op een platform) tot volledige software as a  service (zoals Gmail of Linkedin). Welke vorm je ook kiest, overal  worden data opgeslagen. Meestal bedrijfsgevoelige data. Van e-mails met gevoelige inhoud tot en met complete klantgegevensbestanden.

Al deze data worden opgeslagen ergens in de cloud. En in de SLA  staat ongetwijfeld dat de data veilig worden bewaard (is dat zo? Kijk je jouw SLA er even op na?). Je weet echter meestal niet waar jouw  gegevens staan. En ja, dat maakt uit. Hoe zou je je voelen als jouw klantgegevens zijn opgeslagen op een server in Oezbekistan? Of in China? Hoe veilig is jouw data in een land dat cybercrime niet in het wetboek van strafrecht heeft staan?

Maar vergeet ook de politiek correcte landen niet! Als jouw data worden opgeslagen op servers in de Verenigde Staten, vallen ze onder het Amerikaans recht. Onder bijvoorbeeld de Patriot Act kan de  Amerikaanse overheid op elk moment jouw data inzien, ook zonder dat je dat weet.

In ieder geval valt jouw opgeslagen informatie niet onder de Nederlandse privacywetgeving. Het kan zijn dat jouw bedrijfsmodel het niet toestaat dat informatie in andere landen wordt opgeslagen of dat informatie moet vallen onder het Nederlands recht.

Deze aspecten moeten goed worden beoordeeld voordat informatie in de cloud wordt opgeslagen. Weet jij waar jouw data zich bevinden?

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Belangrijk om hier aan toe te voegen is dat de Wet Bescherming Persoonsgegevens van toepassing is op het moment dat via replicatie of remote hosting persoonsgegevens naar andere landen worden verstuurd. In principe moet door de personen daarvoor toestemming worden gegeven. Voor organisaties die hun klanten- of personeelsadministratie op een hosted storage onder brengen, is het dan inderdaad van belang om goed na te vragen waar de data precies worden opgeslagen.

Dit artikel beschrijft precies mijn bezwaar tegen 'de cloud'.

In het voorbeeld wordt slechts gesproken over klantgegevens, maar wat te denken van, zoals Frank al aangeeft, persoonlijke gegevens.

Maar in hetzelfde straatje past de code van de producten die we ontwikkelen. Hoe bescherm je het intellectueel eigendom van de code, als jouw data gehost is in China. Voor je het weet hebben ze ook je software nagemaakt.

En toch zullen veel bedrijven ervoor gaan. Waarom? Omdat het goedkoper is en veel bonussen van managers worden gebaseerd op de kosten die zij kunnen besparen.
Een reden waarom het goedkoop kan zijn, is bijvoorbeeld de arbeidskrachten. Maar een andere reden zou kunnen zijn omdat uw data gebruikt wordt voor datamining... Ja, zelfs Amerikaans bedrijven als Google zijn hier niet vies van. En het is aan U om dit te bewijzen. Het zou interessant zijn om uw compliance managers een verzoek te laten richten aan de cloud operator voor een audit-bezoek.

Ik zie in dit bericht en jullie reactie vooral een afwijzende houding maar volgens mij doen velen mee aan oplossingen als LinkedIN, Facebook, Twitter vanuit zakelijk oogpunt.
Laat staan voor de prive-zaken o.a. een gmail/hotmail account, spaarpassen/loterijen met een login en INTERNET bankieren!

"Waar staat mijn data?" is volgens mij niet de (volledig) juiste vraag maar "Hoe veilig is mijn data?".

Er zijn ook voor Cloud services bepaalde ISO certificeringen nodig en ik heb begrepen dat die echt niet bij het pakje boter wordt uitgegeven. Bedrijven en dus ook de bedrijfsjuristen en auditors zullen hier het huiswerk moeten doen.

Ik volg deze ontwikkelingen in ieder geval met open vizier en voor verdere ontwikkeling van onze kenniseconomie.
Vergeet niet dat wij een prima vertegenwoordigster hebben in Neelie, toch?

@Patrick

Wat ik op Linkedin, Plaxo en Hyves heb staan is informatie die gelezen mag worden van mij. Dit is informatie die ik bewust opzet. Geen probleem dus.

Voor mijn mail gebruik ik ook geen cloud-diensten. Mijn mail komt via mijn provider recht naar huis, en blijft niet in de cloud bewaard. Zakelijke mail loopt via de werkgever, ook buiten de cloud.

Ik weet eerlijk gezegd niet waar mijn bank z'n spullen host, maar volgens mij hebben de meeste banken een eigen datacentrum waar de spullen voor internetbankieren gehost worden.

Maar je opmerking "hoe veilig is mijn data" is inderdaad zeker zo belangrijk als de "waar staat mijn data" vraag.

Ook de continuïteit van de data is belangrijk; is er iets geregeld als de hosting-provider failliet gaat; worden er in het datacentrum backups gemaakt enz enz.

Microsoft is van mening dat dit een zeer belangrijk onderwerp is en uit persoonlijke ervaring weet ik dat het bijna dagelijks aan de orde komt in gesprekken met klanten en partners.

Ook bestaan er veel meningen over dit onderwerp die niet altijd gestaafd zijn met feitelijkheden. Zo gelden er voor verschillende branches ook verschillende regels als het gaat om welke informatie wel en niet buiten een land / de EU, etc kan worden opgeslagen. En is er op het gebied van Privacy de Nederlandse WPR maar ook een EU wet die op veel punten strenger is.

Ik ben zelf geen specialist op het gebied van deze wetgeving, maar gezien het belang van goede informatie en transparantie in deze discussie publiceert Microsoft geregeld informatie over onderwerpen als compliancy, beveiliging en privacy.

Hier een citaat iuit een recent Technet Magazine artikel :

Cloud Considerations
Security and compliance are among the major concerns raised about cloud computing. However, Microsoft has a long history of serving enterprise IT needs and has taken these concerns into account. Singh points out that Microsoft’s big differentiator is how we maintain your data. "We can tell you at any given point in time where it is.
Yes, you want to put your data in the cloud, yet you want to stay compliant. You own the risk of your customers’ data getting lost. Google, for example, cannot tell you where your data is. It’s an architecture question. We can even localize compliance requirements: If you’re in the European Union [EU] and you want to be sure that your data does not go outside the EU, we can guarantee that. We make sure all the datacenters are audited. We take on the liability.”

Bron : http://technet.microsoft.com/en-us/magazine/ff394351.aspx

In een recent whitepaper heb ik een overzicht opgenomen van de op dit moment beschikbare documenten op het gebied van compliancy, beveilging en privacy rondom de Cloud diensten van Microsoft :
http://www.slideshare.net/dehaaspeter/microsoft-online-services-the-ultimate-list (bladzijde 17)

Peter de Haas
Microsoft Nederland

In onderstaand artikel geeft IBM wel aan te kunnen geven aan zijn klanten waar hun data zich bevindt.
Ik ben overtuigd dat de serieuze klanten toch voor een private cloud kiezen of een tailor made oplossing.

Bron http://www.computable.nl/artikel/ict_topics/saas/3314202/2333364/ibm-vertelt-saasklanten-wl-waar-hun-data-zijn.html

Opmerkelijk vind ik het initiatief Ozzo waar men uitgaat van een Energy Self Sufficient Data Center-concept. Kenmerkend voor dit concept is dat veelgebruikte data dicht bij de gebruiker worden opgeslagen, zodat deze data snel beschikbaar is.
Dit staat weer haaks tegenover de ontwikkelingen die we de laatste tijd hebben gezien zoals bijv. grensoverschreidend opslaan van data.

Bron: http://www.computable.nl/artikel/ict_topics/maatschappij/3382927/2429449/25-ictbedrijven-gaan-broeikasgas-te-lijf.html?utm_source=Nieuwsbrief&utm_medium=E-mail&utm_campaign=Redactiemailing

Het issue "waar bevind zich mijn data" is inderdaad niet de kern van de zaak. De essentie bij opslag van gegevens die aan wet- en regelgeving moeten voldoen is de vraag "ben ik wel in control". Dat geldt voor iedere partij, het heeft helemaal niets met uitbesteding te maken.

Twee misvattingen die ik vaak tegenkom zijn:
- Als ik mijn data "zelf opsla” is het veilig en voldoe ik aan de wet
- data “mag het land niet uit”

De eigenaar van data: dat is de partij die de data opslaat , is en blijft de partij die aan regels en wetten moet voldoen; of die data nu op een disk onder de keukentafel staat , op een stick wordt meegenomen of is opgeslagen in een datacenter van een derde partij, het geeft geen enkel uitsluitsel over compliance met wetten en regels. Het gaat erom hoe de keten is ingericht en hoe de veiligheid en toegang zijn geregeld. Daar kun je dus in zijn algemeenheid helemaal niets over zeggen.

Verder is er geen enkele Europese wet die expliciet iets zegt over electronische data en de geografische locatie. Wel zeggen wetten iets over de eisen die aan opslag, ontsluiting en bewaartermijnen etc. worden gesteld. Het is dus zo dat je erop moet letten dat degene aan wie je de opslag toevertrouwd, de zaak met net zoveel zorg regelt als dat wanneer je het zelf zou (moeten) doen. Dat kan door die partij te vragen een audit report ( bijvoorbeeld een SAS-70) te overleggen, waarin staat welke zaken zijn geregeld.

De enige kwestie waar de locatie echt een rol speelt is bij privacy data. Bij privacy data blijft in de EU de natuurlijke persoon altijd de eigenaar, degene die het opslaat is slechts een tijdelijke “beheerder”. In de VS is dat anders; daar wordt degene aan wie de data is verstrekt de eigenaar, vandaar dat wij in de EU niet staan te springen om onze privacy data aan een US partij toe te vertrouwen.

Anders gezegd: je bent beter ale je je dataopslag uitbesteed bij een partij die de zaken heeft geregeld via een SAS-70, dan wanneer je dat zelf moet doen zonder zo’n control set en audit ; compliance 100% zelf regelen is veel meer dan een “eigen” diskje op een “eigen” server ; iets waar menigeen zich stevig op verkijkt.

@Michiel Steltman: De vraag *waar* mijn data opgeslagen wordt kan wel degelijk relevant zijn. Het is bijvoorbeeld zo dat financiële instellingen in Zwitserland door de Zwitserse wet verplicht worden om hun data op te slaan op servers die fysiek in Zwitserland staan.

Het probleem met SaaS is dat bedrijven best 100 verschillende applicaties willen gebruiken, maar dat ze niet de databases en datacenters van die 100 leveranciers ieder jaar willen controleren. SaaS schaalt dus niet! Wel technisch, maar niet organisatorisch. Na een paar applicaties daalt, zoals Gartner recent aangaf, het enthousiasme. Eigenlijk wil je SaaS (Software) en IaaS (Infrastructuur) ontkoppelen, zodat je in een soort Cloud AppStore SaaS applicaties kunt kiezen en die draaien bij door jou gekozen en geaudite IaaS leveranciers. Lijkt ver gegrepen, maar de eerste Cloud aanbieders volgens dit nieuwe broker model zijn al live en maken de cloud meer beheer(s)baar.

In een outsourcing situatie staat data vaak al in het buitenland. Dat is vaak ook al afgesproken met de klant. Het datacenter voldoet dan aan hoge eisen. Netwerk technisch is het ook niet makkelijk om erbij te komen. Het legal aspect blijft belangrijk.In een outsourcing situatie is daar al veel over onderhandeld en duidelijk. Dit is en hoeft bij cloud niet anders te zijn. Je moet afspraken maken met de leverancier. Verder zal je altijd je data moeten classificeren eer je beslist waar je het gaat laten hosten. Immers dat bepaalt hoe gevoelig die data is. Je ziet sowieso een trend dat business kritische data en applicaties niet perse buiten de deur worden gezet. Immers dat is gevoelige informatie. Maar inderdaad, men moet er wel goed over nadenken eer men denkt aan cloud services.

De plaats van de data is in principe in de service overeenkomst bepaald. Als er niets bepaald is dan staat het de provider in principe vrij om de data overal op te slaan. Veel bedrijven en overheden eisen dat de data in een bepaalde regio is opgeslagen, bijvoorbeeld in de Europese Unie, Verenigde Staten of Rusland. De aanbieder zal voor die regio’s aparte data centra en service overeenkomsten aanbieden. Als klanten eisen dat data in een bepaald land of datacenter wordt opgeslagen is het aan de leverancier om hier al of niet op in te gaan en of hier extra kosten voor in rekening te brengen. Ergens moet er wel een grens getrokken worden. Het is niet werkbaar voor een aanbieder om klanten te laten bepalen op welke etage en in welk rack en op welke server en disk de data staat.

M.i. zullen bedrijven goed moeten nadenken over hun data.

Begin gemakkelijk, maak een basis classificatie:

1. Maakt niet echt uit wie ze ziet,
2. Vertrouwelijk, maar niet bedrijfskritisch,
3. Bedrijfskritisch.

Zo zul je data uit de eerste groep zonder enig probleem in de Cloud hosten. Data uit de tweede groep zullen een discussiepunt vormen. Het kan met goede SLA's, encryptie en dergelijke. Data die in de laatste groep vallen, misschien nog niet – maar dat is een beslissing van het bestuur, niet van mij...

Hoe paranoïde moeten we worden over data hosting in de Cloud, zolang (bedrijfskritische) data gekopieerd kunnen worden naar een USB stick, die vervolgens verloren wordt?

De fysieke locatie waar data opgeslagen wordt, blijkt vaak een hekel punt bij SaaS diensten. Het probleem binnen Europa is dat we met zoveel verschillende landen zijn met ieder zijn eigen wetgeving en regulering, en er daarnaast nog emotionele redenen spelen (een Engelsman zal zijn data niet graag in Frankrijk opslaan). Dit is één van de redenen waarom Cloud en SaaS in De Verenigde Staten sneller ontwikkelt, gezien het allemaal onder dezelfde wetgeving valt. Met BackupAgent hebben we al regelmatig meerdere deployments bij één klant gedaan die vestigingen in meerdere landen heeft, omdat klanten willen dat de data in eigen land opgeslagen staat. Dit zou wat mij betreft één van de aspecten zijn die bovenaan de agenda moet komen van een Europese Cloud/SaaS-wetgeving.

Bij gesprekken over Cloud Computing met klanten en partners blijkt steeds weer dat de locatie van data een zeer belangrijk onderwerp is. Naast veel vragen zijn er ook veel meningen over dit onderwerp die vaak niet gebaseerd zijn op feiten, of heel algemeen zijn.

“Onze data moet in Nederland blijven” is een veel gehoorde opmerking. De regels welke informatie wel en niet buiten Nederland of buiten de EU mag worden opgeslagen verschillen per branche en zijn afhankelijk van het soort informatie. In de praktijk zijn er weinig branches die expliciet voorschrijven dat data in Nederland moet blijven.

Als aanbieder van Cloud Services moet je duidelijkheid geven aan je afnemers waar hun data zich bevindt; binnen Nederland, binnen de EU of daarbuiten. Voor veel bedrijven is het van belang dat hun data binnen de EU moet blijven en niet gerepliceerd wordt naar de Verenigde Staten of andere delen van de wereld. Op dit punt mag er dus geen onduidelijkheid bestaan.

Certificeringen en kwalificaties van datacenters en het personeel dat daar werkt zijn een randvoorwaarde voor het leveren van diensten aan bedrijven en overheden. Beveiliging, privacy en het kunnen voldoen aan wet- en regelgeving zijn in deze context allemaal belangrijk. Op dit punt zie ik ook een belangrijk onderscheidend vermogen tussen de verschillende aanbieders van Cloud Services. Er zijn veel vragen over deze onderwerpen en gelukkig ook veel heldere antwoorden. Dit zie je bijvoorbeeld terug in het aantal grote bedrijven in Nederland dat nu al Cloud Services afneemt.

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2010-06-07T18:53:00.000Z Sjaak Laan
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.