Hoe slim is een Cloud first-strategie?
Een Cloud first-strategie is steeds vaker de eerste optie voor organisaties, instellingen en bedrijven om ICT effectiever, veiliger én voordeliger te maken. Uit de praktijk blijkt echter dat een te nauwe scope bij de beoordeling van verschillende toepassingen voor de cloud, leidt tot een suboptimale ICT-infrastructuur. In deze blog leg ik uit hoe je wél de juiste keuzes maakt en hoe je een Cloud first strategie doeltreffend kunt inzetten.
Wat is een Cloud first-strategie eigenlijk?
Een Cloud first-strategie betekent, dat je van alle ICT-toepassingen binnen je organisatie beoordeelt, of deze geschikt zijn voor de cloud. Als er dan in de markt een functioneel en technisch passende oplossing als clouddienst beschikbaar is, krijgt die de voorkeur.
In het volgende – enigszins aangedikte – voorbeeld laat ik zien wat er in de praktijk dan vervolgens gebeurt.
Er is een nieuwe ICT-oplossing nodig. Er wordt – naar de letter van de Cloud first-strategie – eerst gekeken of de gewenste oplossing als clouddienst te verkrijgen is. De cloudoplossing blijkt eenvoudig te bestellen en wordt snel geleverd. Het vinkje bij Cloud first kan worden gezet. Iedereen blij. Het probleem: alternatieven, zoals niet-cloudoplossingen, zijn helemaal niet meegewogen. Het gevolg: er is niet per definitie gekozen voor de beste oplossing.
Welke strategie voor ICT is in de huidige tijd het best?
De vraag is waarom je een strategie hebt? Wat is het doel? Je wilt ICT eenvoudiger, functioneler, veiliger, transparanter en voordeliger maken. Dan kan een cloudoplossing weliswaar onderdeel van een strategie zijn, maar niet het doel. Een goede oplossing links laten liggen omdat de slechte variant wél cloud is, kan je duur komen te staan. Is het niet door datalekken, dan wel door inefficiëntie. Maar een goede strategie is natuurlijk wel belangrijk. Overweeg daarom eens een Privacy first-strategie.
Nieuwe uitdagingen in de cloud
De laagdrempelige aanschaf maakt dat er snel besteld kan worden, met een versplintering van platformen, verbruik, data en beveiliging tot gevolg. En dat is een probleem waar de markt op inspeelt, met speciale oplossingen voor beveiliging, versleuteling, privacy, databehoud, integratie, consultancy en tarieven. In feite worden er oplossingen aangeboden voor een probleem dat je helemaal niet hoeft te hebben.
De meeste cloudoplossingen worden aangeboden in een zogenaamde public cloud. Een eigenschap van zo’n public cloud is dat deze opgebouwd is met diensten, waarvan je niet weet hoe die elkaar beïnvloeden of hoe ze functioneren. Het gevolg daarvan is dat er al snel extra kosten ontstaan, door achteraf noodzakelijke diensten en onvoorzien gebruik. Sluipkosten die budgetteren moeilijk maken. Je weet niet waar je data staat, wie erbij kunnen of hoe het is beveiligd. En wanneer je hebt ontdekt dat het anders is geregeld dan je dacht, of dat er een limiet wordt aangetikt, mag je weer een extra dienst afnemen. Uitzoeken hoe het allemaal zit kost veel tijd en een aanname is snel gedaan. En bovendien; is de clouddienst die je hebt gekozen hebt wel zo cloud? Of is het gewoon een server in een datacenter?
Privacy first strategie
Een Privacy first-strategie is een échte strategie, geen oplossing, zoals Cloud first. De Privacy first-strategie dwingt je om veel meer controles te doorlopen bij het selecteren van oplossingen, waarbij de cloud uiteraard niet wordt uitgesloten. Met de AVG/ GDPR én de nodige ethiek, heb je een duidelijke richtlijn bij het beoordelen van een clouddienst. Je gaat straks immers gegevens van derden of van je bedrijf afstaan aan een derde, of je geeft buitenlandse overheden toegang. Dat je daar met gezond verstand even bij stil staat, is een goed idee en wel om de volgende redenen.
1. Data veroudert niet persé
Twee kenmerken van data zijn dat het te dupliceren is en dat niet alle data veroudert. Stel, je hebt software waarin je personeelsgegevens bewaard. Dat staat netjes in een database. Naam, geboortedatum, BSN, kopie paspoort, salaris, adres, vakantiedagen, enzovoort. Een aantal van deze gegevens verandert nooit. Dat blijft dus te allen tijde relevante informatie, ook als die na 10 jaar lekt. Het versleuteld opslaan van data op een minder veilige locatie is dan ook geen goede oplossing. De versleuteling is over een aantal jaren namelijk niet meer veilig, maar de data is nog steeds waardevol. Je moet dus absoluut voorkomen dat het met de beveiliging van de data mis kan gaan; veilige opslag, op een veilige locatie.
2. Kleine lettertjes kunnen verraderlijk zijn
De kleine lettertjes zijn gemeengoed. Iedereen past ze toe, niemand leest ze. Er volgen hieronder wat kleine lettertjes die ik niet verzonnen heb; ze komen uit de praktijk en staan in het privacy statement van een aantal grote leveranciers. Als je ze gelezen hebt stel ik je de vraag; zou jij je BSN aan die bedrijven toevertrouwen?
We leveren persoonsgegevens aan onze partners en andere vertrouwde bedrijven en personen om het voor ons te verwerken
Vertrouwde bedrijven en personen… Dat is dus iedereen die zij vertrouwen! Maar waarop is dat vertrouwen gebaseerd?
Wij hebben servers over de hele wereld en uw informatie kan verwerkt worden op servers die niet in het land van uw herkomst staan.
Dus ook al staat je data nu in Nederland, morgen kan dat ergens anders zijn zonder je medeweten.
Wanneer u inhoud uploadt naar, toevoegt aan, opslaat in, verzendt naar of ontvangt in of via onze Services, verleent u ons (en degenen met wie we samenwerken) een wereldwijde licentie om dergelijke inhoud te gebruiken, te hosten, op te slaan, te reproduceren, aan te passen, afgeleide werken daarvan te maken, te communiceren, te publiceren, openbaar uit te voeren, openbaar weer te geven en te distribueren.
Dus alles wat je bij deze aanbieder bewaart kan publiekelijk worden gemaakt. Ook door bedrijven waar zij mee samenwerken.
We delen ook persoonsgegevens met door ons aangestuurde filialen en dochterondernemingen; met leveranciers die namens ons werken; wanneer vereist door de wet of om te reageren op juridische procedures; om onze klanten te beschermen; om levens te beschermen; om de veiligheid van onze producten te garanderen; en om de rechten en eigendommen van ons en onze klanten te beschermen.
Deze lijkt nog redelijk te zijn. Zij het niet dat er bij deze leverancier 73 bedrijven over de hele wereld binnen die categorie vallen.
Door ons verzamelde persoonsgegevens kunnen worden opgeslagen en verwerkt in uw regio, in de Verenigde Staten en in een ander land/ andere regio waarin wij of de aan ons gelieerde ondernemingen, dochterondernemingen of serviceproviders over faciliteiten beschikken.
Dat is dus gewoon de hele wereld en talloze, verschillende bedrijven.
We geven persoonsgegevens door van de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland naar andere landen, waarvoor in sommige gevallen nog niet door de Europese Commissie is vastgesteld of het geboden niveau van gegevensbescherming adequaat is.
Wel eerlijk, maar deze leverancier slaat dus gegevens op in landen waar de Europese commissie nog naar moet kijken. Je mag zelf bedenken welke landen dat zouden kunnen zijn!
Een goed privacy statement zegt het in een paar woorden
Het is best even zoeken naar de kleine lettertjes. Vaak verborgen achter titels als “Uw privacy vinden wij belangrijk” en “Wij weten hoe we uw data kunnen beschermen”. Maar waarom zou je een leverancier kiezen waarbij je niet zeker bent van wat zij doen met je data, gezien de ‘ruimte’ in hun voorwaarden? Ik vraag mij in alle eerlijkheid af: waarom is een privacy statement zo lang, wat wil je verhullen? “Wij delen niet met derden” zegt wat mij betreft genoeg en is maar een paar woorden!
Hoe kies je de juiste leverancier bij een Privacy first strategie?
Jij bent zelf verantwoordelijk voor de data die je opslaat. De leverancier voor je dataopslag moet het jou eenvoudig maken om AVG-compliant te zijn. Dat kunnen zij je niet garanderen met ellenlange voorwaarden of met allerlei certificaten. Hoe je dan wel een goede leverancier kiest, leg ik hieronder uit in een paar stappen.
Stap 1: Begin met het wegstrepen van die leveranciers waar het privacy statement ‘boekdelen’ spreekt.
Stap 2: Om een product te kunnen kiezen waarmee je data AVG-compliant kunt bewaren en gebruiken, moet je weten wat de toepasbaarheid is. Is het product geschikt voor de data die je wilt bewaren en waarom is dat zo? Daarvoor moet er een sensible use policy beschikbaar zijn. Een voorbeeld vind je hier: https://tuxis.nl/sensible-use-policy
Stap 3: Gebruik de juiste technieken voor dataopslag. Bijzondere persoonsgegevens bewaren en versturen in een e-mail is sowieso een slecht idee, óók wanneer je e-mailleverancier tot de puntjes gecertificeerd is. Een product moet dus ook op technisch gebied goed worden bekeken.
Stap 4: Gooi de reclamefolder weg en vraag de leverancier het hemd van het lijf op technisch gebied. Gebruik daarbij de onderstaande vragenlijst.
Vragenlijst voor leveranciers van dataopslag
- Leveranciers in de keten hebben mogelijk toegang tot je data:
- Wie zijn die leveranciers in de keten? (subverwerkers)
- Is de hele keten van leveranciers Europees?
- Krijg ik een verwerkersovereenkomst?
- Dataverlies is ook een datalek. Back-ups zijn belangrijk:
- Hoe vaak worden ze gemaakt?
- Wat wordt er bewaard?
- Hoeveel versies?
- Heb ik toegang tot die back-ups?
- Waar staat die data?
- Staat die data wel geografisch gescheiden?
- Rechten op de data:
- Van wie is de data nadat het geplaatst is? (Als het niet op jouw eigen apparatuur staat blijft dat een heikel punt, wat door een enkele zin in een overeenkomst anders kan zijn dan je denkt.)
- Wat is de vaste locatie van opslag en wat is het land waar de leverancier is opgericht (dit bepaalt welke overheid erbij kan).
- Beveiliging:
- Wat doet u om mijn data veilig te stellen?
- Wordt die beveiliging getest? Hoe vaak?
En hoewel dit technische vragen zijn, moeten deze prima te beantwoorden zijn vanuit parate kennis. Als de leverancier het te ingewikkeld vindt om uit te leggen, dan is dat geen goed signaal.
Zelf verantwoordelijk, dus zelf alles doen?
Bij de keuze van een data-opslagleverancier is goede Informatie noodzakelijk, zodat je kunt voldoen aan de AVG-richtlijn. Lees de richtlijn er maar eens op na. Daar staan onder andere de volgende belangrijke aanwijzingen in.
- Je mag geen data verliezen.
- Data moet toegankelijk zijn.
- Je mag geen data lekken.
- Krijg je een verwerkersovereenkomst?
- Verwerkt de leverancier de data of verzamelt hij?
- Behoud je de rechten op geplaatste data?
- Is er opslag van data, of een leverancier in de keten, buiten de EU?
- Mag de leverancier capaciteit buiten de EU halen?
- Is er wetgeving van toepassing die een niet-EU-overheid toegang verschaft (zoals bij Amerikaanse leveranciers)?
Als je dit zo leest, dan lijkt alles zelf maar doen de veiligste oplossing. Maar dat wil ik helemaal niet adviseren. Zowel zelf doen als laten doen is immers mensenwerk. Wat ik bedoel, is dat je niet moet aannemen dat het wel goed geregeld zal zijn, want vaak genoeg is het dat niet. Loop daarom niet achter de Cloud first-meute aan, maar denk zelf na en zet je privacy op de eerste plek. Volg een slimme strategie; Privacy first.