Garanderen privacy en veiligheid vraagt om kritische houding klant.
Je wilt altijd en overal toegang tot je gegevens, zonder je zorgen te maken over IT. Je wilt je gewoon richten op je kerntaken. Het succes van cloud computing is door die behoeften eenvoudig te verklaren. Maar daarin schuilt ook meteen een probleem. Want hoe weet je of je data wel veilig is in de cloud?
“Het gaat vaak zo dat bedrijven aanvankelijk enthousiast worden over de functionele aspecten van een nieuw verschijnsel, zoals cloud computing. Daarna komen steevast zorgen over betrouwbaarheid, beschikbaarheid en beveiliging”, zegt Chris Verhoef, hoogleraar Informatica aan de Vrije Universiteit Amsterdam. Het gejojo tussen enthousiasme en ‘klopt het allemaal wel’ is volgens hem een veel voorkomende beweging in de IT-wereld. Een aspect dat momenteel volop in de belangstelling staat, is het juridische aspect. Waar staat de data? Wie kan meekijken? Door de Amerikaanse Patriot Act, die de Amerikaanse overheid verregaande bevoegdheden geeft met betrekking tot data van (onder meer) Nederlandse bedrijven die Amerikaanse organisaties raken, maken veel ondernemers zich zorgen.
Eurocloud
Het PRISM-schandaal dat onlangs naar boven kwam, waaruit bleek dat Amerikaanse veiligheidsdiensten zo ongeveer alle data van cloudproviders konden inzien, heeft het juridische aspect van security opnieuw nadrukkelijk op de agenda gezet. De boodschap is duidelijk: wil je bedrijfsgeheimen waarborgen of de privacy van klanten garanderen, dan moeten deze niet alleen technisch maar ook juridisch beveiligd zijn. Verhoef: “Niet voor niets denkt men in de EU, onder meer door eurocommissaris Neelie Kroes, nu serieus na over een ‘Eurocloud’ waarin de Europese wetgeving geldt. Maar voordat dit werkelijkheid wordt, moet je misschien serieus overwegen data alleen op Nederlands grondgebied onder te brengen, met Nederlandse apparaten, Nederlandse licenties en Nederlands personeel.”
Accountantsverklaring
Of het nu om juridische aspecten en privacy gaat, bescherming tegen hackers of het lekken van informatie, een kritische blik van consumenten maar zeker ook bedrijven is noodzakelijk. Zelfs wanneer IT niet hun eigen vakgebied is. Natuurlijk moet een klant ervan kunnen uitgaan dat een leverancier van cloud-diensten alle zaken rondom security goed heeft ingeregeld, maar daar schuilt nu net het probleem: je weet het niet. Een serieuze ondernemer moet misschien zelf eens langsgaan en kijken waar de servers staan en hoe procedures lopen, of in elk geval om een accountantsverklaring vragen om te informeren of een partij in ieder geval aan de ISO2700x-normering voor informatiebeveiliging voldoet. Aan een hoger niveau van security kleeft echter doorgaans wel een hoger prijskaartje. Voor niets gaat immers alleen de zon op, dus die overweging moet elke klant voor zichzelf maken.
Bij Microsoft en dan met name One drive ben je in elk geval niet veilig, die blokkeren direct en zonder waarschuwing accounts en toegang tot je gehele Microsoft 365 omgeving als er per ongeluk een bestand, wat mogelijk niet onder de de voorwaarden valt, bijvoorbeeld vanuit Whatsapp op terecht komt door automatische synchronisatie met je devices. Vooral veel consumenten zijn hiervan de dupe en zijn zonder pardon al hun foto’s, video’s, administratie, contacten en email vanfaag jaren kwijt. Ze krijgen die privé gegevens nooit meer terug en kunnen hooguit bij de Europese commissie een klacht indienen. Ik ben in een klap 280 gb en 16 jaar aan familiehistorie kwijtgeraakt op die manier en ik ben niet de enige. Inmiddels zijn we verenigd in een grote groep gedupeerden en via acm en andere consumentenorganisaties aan de bel aan het trekken hierover. Dit is gewoon onrechtmatig stelen van privégegevens naar onze mening. Kortom bezint eer ge begint aan cloud, zeker als consument. Bedrijven lopen natuurlijk een potentieel nog groter risico.