Zit uw bedrijf al in the cloud? Binnenkort zal ons kantoor de sprong wagen. Daarmee maken wij onze entree in het allernieuwste ICT-tijdperk. Cloud computing is de nieuwste trend in automatisering en wint steeds meer terrein.
Wij hadden geen enkel benul wat dat was en lieten ons daarom voorlichten. Kort gezegd komt het erop neer dat bij cloud computing of software-as-a-server (SaaS) de software die u gebruikt niet meer op uw eigen computer of server op kantoor staat, maar op een externe server. Uw leverancier geeft u via internet toegang tot zijn eigen computers waarop u gebruik kunt maken van zijn software. U voert daarin gegevens in, de software voert de verlangde bewerkingen uit en de resultaten daarvan worden opgeslagen. Dat gebeurt dan eveneens op de computers van uw leverancier, de SaaS-provider. Cloud computing komt in vele varianten voor. Vaak zijn zowel software als data in the cloud; maar er zijn ook toepassingen waarin slechts één beide in the cloud zijn. De partij die de applicatie ter beschikking stelt, maakt overigens niet zelden gebruik van computers van andere partijen, zogenaamde data centers, waar de software op draait. Het kan voorkomen dat data centers op hun beurt weer gebruik maken van de restruimte op de servers van andere data centers. Zo kunnen vele partijen betrokken zijn bij één enkele cloud toepassing.
Advocaten zien altijd beren op de weg
Wij zouden geen advocaten zijn als we hier niet een ongemakkelijk gevoel van kregen. Onze documenten, onze boekhouding en alle digitale bestanden, die in de cloud worden gegenereerd, staan bij iemand anders. Staan ze daar wel veilig? Wat gebeurt ermee? Zijn ze wel voldoende afgeschermd tegen onbevoegde nieuwsgierigen? Hoe staat het met de continuïteit van de software? Hebben wij eigenlijk wel te allen tijde toegang tot onze eigen data? En zo waren er nog veel meer vragen.
Advocaten – daar staan ze om bekend – zien altijd beren op de weg. Als geen ander kunnen zij bedenken wat er allemaal wel niet kan misgaan. Dat hoort bij hun vak. Zij worden ervoor betaald om risico’s te signaleren en contracten op te stellen waarin deze risico’s bij voorbaat al onschadelijk worden gemaakt. En aldus gaven wij ons over aan ons favoriete gezelschapsspel, bedenken wat er allemaal mis kan gaan; ditmaal met onze eigen bestanden in the cloud. Wij bedachten de gekste dingen, zoals een crash van de computer van de SaaS-provider, brand in de server-ruimte, een overstroming, een neerstortend vliegtuig, een landelijke internetstoring al dan niet als gevolg van een terroristische aanslag, een faillissement van onze leverancier en nog vele andere in meer of mindere mate onwaarschijnlijke gebeurtenissen.
Een verstandige cloud provider heeft zich ingedekt
Waarom zouden we ons eigenlijk zorgen maken over zulke gebeurtenissen, waarvan de waarschijnlijkheidskans astronomisch klein is? Omdat de impact op onze bedrijfsvoering heel groot is, wanneer het ondenkbare zich toch voordoet. Een verstandige cloud provider heeft zich tegen de meeste gevaren ingedekt. Zo zal hij zijn computers in extra beveiligde data centers hebben geplaatst en ook nog zorg dragen voor een real time back up die zich op een andere locatie bevindt. Maar hoe zijn de belangen van de eindgebruiker eigenlijk zeker gesteld in geval van een onverhoopt faillissement van ofwel de cloud provider ofwel het data center?
In een ‘old school’ situatie heeft de eindgebruiker de software op zijn eigen computers in eigen huis geïnstalleerd en bevinden de data zich daar ook. Als de software leverancier dan failliet gaat bevinden zowel de software als de data zich gewoon bij de eindgebruiker. In de meeste gevallen is de eindgebruiker in staat de software dan nog enige tijd te blijven gebruiken. Het verrichten van onderhoud aan de software wordt wel een probleem, maar dat is in de meeste gevallen niet acuut nodig. Mogelijk wordt het onderhoud door een ander bedrijf overgenomen of kan de eindgebruiker zelf de benodigde technische kennis inkopen om dat te doen. In dat laatste geval moet men wel kunnen beschikken over de source codes van de software. Dat stelt men veilig door middel van een ‘source code escrow’. Werkt men in the cloud, dan ontstaat er met een faillissement van de cloud provider wel een acuut probleem. Alle schermen gaan onmiddellijk op zwart, tenzij de curator voldoende middelen heeft om de systemen in de lucht te houden. En dat laatste is bij een faillissement vaak een probleem.
Hoe langer de keten des te groter de risico’s
Een standaard oplossing is niet te geven. Daarvoor bestaan er teveel varianten in de wijze waarop cloud computing is georganiseerd. Kenmerkend voor cloud computing is dat er vaak meer partijen bij betrokken zijn dan in een ‘old school’ situatie. Een langere keten brengt doorgaans meer continuïteitsvragen met zich mee. In elk geval de volgende aspecten verdienen het om bij stil te staan wanneer men zich in the cloud gaat wagen.
1. Hoe hou ik grip op mijn data? Is een snelle beschikbaarstelling van de data gegarandeerd? Een bevestigend antwoord is eigenlijk alleen te geven wanneer men zorg draagt voor regelmatige back ups en die back ups uit de feitelijke macht van de cloud provider haalt/houdt. Vaak kan dat op een vrij eenvoudige wijze door een kopie van de data in eigen huis op te slaan. Denk bijvoorbeeld aan de zogenaamde ‘audit file’ bij boekhoud pakketten. Het is dan niet onverstandig om af en toe eens te testen of die back up ook echt werkt. Maar soms is de data zo omvangrijk of de situatie zo complex dat daar allerlei technische voorzieningen voor nodig zijn.
2. Hoe waarborg ik de continuïteit van de applicatie? Gaat het om standaardsoftware, dan is er wellicht vergelijkbare software op de markt, waarin de data kunnen worden ingelezen. Die data moeten dan wel in een algemeen toegankelijke database zijn opgeslagen en dus niet in een applicatie-eigen manier. Gaat uw cloud provider failliet dan kunt u in dit geval overstappen naar een ander. Uiteraard gaat dat niet helemaal vanzelf en kost deze overstap enige tijd. Bestaat er echter geen vergelijkbare software of kan de data uit uw oude applicatie niet zonder meer in een andere applicatie worden ingelezen, dan wordt het lastiger. U bent dan afhankelijk van de blijvende beschikbaarheid van de bestaande applicatie. Die beschikbaarheid dient dan gegarandeerd te worden door andere partijen. Die partijen moeten ervoor zorgen dat de applicatie van de cloud provider, die op een server van een data center draait gedurende een bepaalde periode kan blijven functioneren. Dat kan op verschillende manieren. In die periode kunt u de overstap maken naar een andere leverancier of een andere oplossing bedenken. Deze waarborgfunctie van een extern bedrijf wordt ook wel ‘cloud escrow’ genoemd.
Nadenken over risico’s is voor directeuren dagelijkse kost
Het behoort tot de taken van het bestuur om belangrijke risico’s waar de onderneming aan bloot kan staan onder ogen te zien en maatregelen te treffen om de gevolgen daarvan tot een aanvaardbaar niveau in te perken. Nadenken over risico’s is dus niet alleen een geliefde bezigheid van advocaten, maar is ook voor directeuren een terugkerende activiteit. Zoals bij iedere belangrijke verandering is ook bij de overstap naar the cloud een grondige risicoanalyse noodzakelijk. Daarin dienen niet alleen de operationele risico’s, maar ook de juridische risico’s, zoals een eventueel faillissement van de Saas-provider, aandacht te krijgen.
Hebt u opmerkingen naar aanleiding van dit bericht of wilt u reageren, dan nodig ik u daar van harte voor uit. U kunt gebruikmaken van het onderstaande dialoogscherm of een e-mail sturen naar harmsen@immix.nl.
Hebt u opmerkingen naar aanleiding van dit bericht of wilt u reageren, dan nodig ik u daar van harte voor uit. U kunt gebruikmaken van het onderstaande dialoogscherm of een e-mail sturen naar harmsen@immix.nl.
Rik,goed en helder artikel. Beschikking houden over je eigen data is cruciaal voor een continuiteitsgarantie.
BeantwoordenVerwijderenOpvallend vind ik dat men in de "Old School" situatie vaak minder alert is, terwijl dit een veel kwetsbaarder situatie is. Tsjeard.