Waar moet ik op letten bij een overstap naar de cloud?

Voordat je gedeeltelijk of helemaal overstapt naar de cloud, is het verstandig om onderstaande aandachtspunten goed door te nemen. Punten waar je onherroepelijk mee te maken krijgt als je data gaat opslaan in de cloud. Lees daarna welke eisen je kunt, moet en wilt stellen aan je cloudprovider en hoe je deze afspraken controleert.

Direct doen (of laten):

  • Continuïteit

    Het verlies van gegevens kan vervelend zijn. Het kost je tijd en ergernis, maar als er verder geen juridische of financiële gevolgen zijn, is het belang van de continuïteit van deze gegevens 'laag'. Er zijn ook gegevens die absoluut bewaard moeten blijven. Bijvoorbeeld vanwege de bewaarplicht voor de belastingdienst of om bij eventuele conflicten sterk te staan. Het belang van continuïteit is dan 'hoog'. Bij een hoog continuïteitsbelang (het document of de data mogen niet verloren gaan) is vaak ook integriteit een voorwaarde. Integriteit houdt in dat documenten en/of data aantoonbaar origineel en onveranderd zijn. Let dus goed op de mogelijkheid of je je data geborgd kunt overzetten wanneer je wilt overstappen naar een andere cloudprovider of andere software.

    Je fysieke bedrijfsarchief, vaak een (brand)kast in een afsluitbare ruimte, moet de continuïteit en integriteit van je (papieren) documenten garanderen. Maar waar moet je op letten bij het veiligstellen van je digitale gegevens in de cloud?

    Bij minder belangrijke gegevens
    Iedere dienstverlener heeft er belang bij dat je gegevens niet kwijtraken en streeft naar goede ondersteuning; maar zij aanvaarden meestal geen aansprakelijkheid voor de opslag. 
    Bij alle gegevens moet je erop letten dat er een (automatische) back-up of export is van je cloudgegevens. Er zijn allerlei cloudproviders die dit automatisch doen.

    Tip: Test regelmatig of je je gegevens inderdaad veilig terug kunt zetten vanaf de back-up.

    Bij belangrijke gegevens
    Bij belangrijke gegevens moet je alert zijn op de beschikbaarheid en de integriteit.

    Beschikbaarheid
    Wat kan er gebeuren met je data bij een faillissement of technische calamiteiten? Voor echt belangrijke gegevens kun je vragen om een ESCROW-regeling. Sommige regelingen garanderen de beschikbaarheid van je gegevens, uitgebreidere regelingen waarborgen ook de beschikbaarheid van het systeem. Zodat, bijvoorbeeld, zelfs na een faillissement van je cloudprovider de dienst nog bepaalde tijd beschikbaar is.

    Heb je het belang van de continuïteit bepaald?

    Ja, dat heb ik gedaan
    Ja, dat heb ik gedaan print
    Open Sluit
  • Integriteit

    Voor veel bedrijfsgegevens geldt dat je voor de rechter of de overheid moet kunnen aantonen dat de data en documenten origineel en onveranderd zijn.

    Bijvoorbeeld: Je moet bij financiële gegevens en juridische stukken aannemelijk maken dat de digitale data onveranderd zijn en origineel. Ook wanneer je je gegevens in de cloud zet, ben je zelf verantwoordelijk voor de beschikbaarheid en betrouwbaarheid.

    Je moet ook aan kunnen tonen dat de financiële gegevens voor je belastingaangifte niet later zijn veranderd. Dat geldt ook voor facturen voor de BTW teruggave; die moeten authentiek zijn en aantoonbaar afkomstig van je crediteur(en).

    De integriteit van je gegevens aannemelijk maken:

    Door gegevens te vergelijken 
    Je kunt laten zien dat gegevens onveranderd zijn door ze te vergelijken met andere: zoals bankafschriften, contracten, e-mails en brieven over een onderwerp. Vergelijken is een aanvaardbare methode. Of je nu werkt met papier of met elektronische documenten. Een nadeel is wel dat het veel tijd kost, bovendien bestaat het risico dat de belastinginspecteur of rechter het toch niet overtuigend genoeg vinden. Dan zal een inspecteur of rechter in bijzondere gevallen aanvullende gegevens opvragen bij je zakenrelaties.

    De software waarmee je werkt
    Als je hogere eisen stelt aan de betrouwbaarheid van gegevens en documenten, moet je software de gegevens goed beveiligen (je boekhoudpakket of uw systeem voor loonadministratie, kantoorsoftware e.d.). Je moet daarbij zelf kunnen instellen wie toegang heeft tot welke documenten of gegevens, en wie gegevens mag veranderen.
    En wanneer gegevens inderdaad veranderd worden, moet de software registreren wat er is veranderd en door wie. Bijvoorbeeld nadat je ze hebt gebruikt voor een belastingaangifte, een kredietaanvraag of rapportage. Deze veranderingen komen in een audit-trail; een bestand dat aangeeft wie wanneer toegang heeft gehad tot welk document of welke gegevens, en wat er is veranderd. Deze beveiligingsaanpak is een standaard voorziening in veel administratieve software.
     
    De informatiebeveilging (fysieke locatie van de systemen van de organsiatie)
    Betrouwbaarheid begint met een veilige opslag. Dat geldt ook voor archieven op papier. Je wilt immers voorkomen dat documenten 'ineens' verdwenen zijn of 'misschien per ongeluk' veranderd. Je kunt kiezen voor opslag in een goed beveiligd datacentrum, dat wordt beheerd door vakkundige mensen. In het algemeen kiezen clouddienst-aanbieders voor een datacentrum met strenge beveiligingseisen, ook voor de fysieke toegang. Wanneer je belangrijke gegevens bewaart, is van belang of de clouddienst-aanbiedertransparant is over de fysieke locatie. Als je bedrijf zelf data opslaat, bijvoorbeeld op een PC/server in een onbeveiligde ruimte en een slecht beveiligde internetverbinding, loop je natuurlijk risico's. Gegevens kunnen ongemerkt worden veranderd of zoekraken. Daarom is - ook binnen je eigen organisatie - een goed beleid voor informatiebeveiliging belangrijk. Ongeacht de vraag of je nu wel of geen gebruik maakt van een clouddienst-aanbieder.
     
    Echtheidskenmerken (elektronische handtekening)
    Je kunt een document voorzien van een elektronisch zegel, ofwel een elektronische handtekening. De handtekening is vergelijkbaar met een handtekening op papier: je laat er mee zien dat gegevens door jou persoonlijk zijn gezien en dat je het met de inhoud van de gegevens eens bent. Een extraatje van een electronische handtekening is, dat gegevens ook niet meer ongemerkt veranderd kunnen worden: dan wordt de elektronische handtekening ongeldig.
    De veiligste variant is de gekwalificeerde elektronische handtekening; die koop je bij een leverancier die onder toezicht staat van de overheid. Alleen jij kunt deze persoonlijke handtekening gebruiken; elke wijziging in gegevens wordt opgemerkt. Met een gekwalificeerde elektronische handtekening kun je instellen dat het document alleen te openen is door iemand die (namens jou) gemachtigd is.
    Er bestaat ook een niet-gekwalificeerde handtekening, deze biedt een lager veiligheidsniveau. Deze handtekening koop je ook bij een leverancier onder overheidstoezicht; maar de controle of je werkelijk bent die je zegt te zijn, is met deze variant minder streng. Het risico bestaat dus dat men later kan betwisten of je de handtekening zelf heeft gezet, of iemand anders; je moet aanvullend bewijs kunnen tonen. Met deze variant is wel met zekerheid vast te stellen of gegevens achteraf zijn veranderd. 
     
    Beveiliging met wachtwoord
    Je kunt documenten beveiligen met een wachtwoord. Maar dat is vaak onhandig en ook niet echt veilig, want degene die het document ontvangt moet het wachtwoord kennen en bewaren.

    Kun je de integriteit aantonen?

    Ja, dat kan ik
    Ja, dat heb ik gedaan print
    Open Sluit
  • Vertrouwelijkheid

    Soms is het absoluut belangrijk dat gegevens niet in andere handen komen (van je concurrent bijvoorbeeld) of zo maar door wilvreemden kunnen worden ingezien. Op je fysieke kantoor zet je die gegevens veilig achter slot en grendel, bijvoorbeeld in een brandkast. De cloud biedt veel meer mogelijkheden om je gegevens goed op te bergen. Maar je moet dan wel goed opletten, wat voor jou de beste optie is en vragen naar de mogelijkheden bij je cloudprovider.

    Door onderstaande onderwerpen goed te regelen, kun je zo veel als mogelijk voorkomen dat onbevoegden belangrijke gegevens kunnnen inzien. 

    Geheimhoudingsclausule
    Wil je zeker weten dat je gegevens niet (per ongeluk) worden verspreid? Controleer dan of er een geheimhoudingsclausule in de voorwaarden is opgenomen. In een geheimhoudingsclausule staat welke informatie geheim moet blijven, wie de informatie wel mag inzien en voor welke periode deze overeenkomst geldt. Dit is dan meestal aangevuld met afspraken over sancties als de clausule wordt geschonden. Vooral als je gebruik maakt van (gratis) diensten met standaardvoorwaarden, moet je alert zijn op een geheimhoudingsclausule. 

    De software: machtingingen en wachtwoorden
    Een minimale eis bij vertrouwelijkheid is: software met toegangsbeheer. Bij veel administratieve software kun je gemakkelijk instellen wie toegang heeft tot welke documenten en gegevens. Je kunt ook instellen wat geautoriseerde personen kunnen of mogen doen met die gegevens. De software moet dan wel kunnen aangeven of er gegevens zijn veranderd die eigenlijk onveranderd moesten blijven, en zo ja, wie die verandering heeft doorgevoerd.
     
    Informatiebeveilging
    Voor optimale vertrouwelijkheid is informatiebeveiliging een aandachtspunt. Dat gaat niet alleen om fysieke beveiliging, maar ook om mensen (opleiding, ervaring) en de organisatie (procedures zoals updates). Veel cloudproviders informeren je over hun beveiligingsbeleid in de standaardvoorwaarden. Je kunt vaak ook zelf afspraken maken. 
     
    Land van vestiging
    Een van de kenmerken - en voordelen - van de cloud is dat je gegevens in principe overal ter wereld kunnen staan, en dat je overal vandaan bij je data kunt. Je cloudprovider moet echter voldoen aan het Nederlandse recht en dus ook aan de Nederlandse privacywetgeving. Als hij afspraken over geheimhouding en eigendomsrecht niet nakomt, kun je hem via de Nederlandse rechter aanspreken. Je kunt ook expliciet met je provider afspreken dat je gegevens in Nederland of in Europa moeten worden opgeslagen.

    Heb je de vertrouwelijkheid gewaarborgd?

    Ja, dat heb ik gedaan
    Ja, dat heb ik gedaan print
    Open Sluit
  • Eigendomsrecht

    Wanneer je er zeker van wilt zijn dat je de eigenaar blijft van informatie, zoals bijvoorbeeld je contracten en financiële gegevens, als je gegevens in de cloud opslaat, moet je alert zijn op het eigendomsrecht. De clouddprovider mag je gegevens niet gebruiken zonder je toestemming. Bij het plaatsen van gegevens in de cloud is eigendomsrecht een belangrijk aandachtspunt: sommige cloudproviders behouden zich namelijk het recht voor om je gegevens te gebruiken zonder je toestemming. Houd hier rekening mee en bepaal voor jezelf hoe laag of hoog het belang van auterusrecht is.

    Belang van auteursrecht is laag
    Sommige (gratis) cloudproviders vragen je gegevens te mogen (her)gebruiken. Dat gebeurt bijvoorbeeld om gerichte reclameboodschappen te kunnen sturen of advertenties te tonen aan je bezoekers.Soms geef je de provider toestemming om data te verspreiden, zoals foto’s of filmpjes. In veel gevallen is dat niet erg, maar het wordt vervelend als je klant een concurrerende advertentie te zien krijgt, terwijl hij je informatie wil bekijken.

    Belang van auteursrecht is hoog
    Als het belang van auteursrecht hoog is, is het van belang in de servicevoorwaarden te kijken of afspraken te maken met de cloudprovider. Een voorbeeld van een clausule die het eigendomsrecht goed regelt: 'Ondernemers blijven eigenaar van alle ingevoerde gegevens. Dit zal de provider in de voorwaarden bepalen.' Deze clausule is afkomstig uit de eisen aan de cloudprovider die het keurmerk Zeker-OnLine* stelt.

    Voorbeeld servicevoorwaarden waar je mee te maken kunt krijgen:
    Google is een ultiem voorbeeld van gratis clouddiensten waarbij je als 'tegenprestatie' afziet van je eigendomsrecht en het inzagerecht. 

    Fragment uit Google Servicevoorwaarden (maart 2012):
    'Wanneer u inhoud uploadt naar, of anderszins toevoegt aan onze Services verleent u Google (en degenen met wie we samenwerken) een wereldwijde licentie om dergelijke inhoud te gebruiken, te hosten, op te slaan, te reproduceren, aan te passen, afgeleide werken daarvan te maken (zoals afgeleide werken als gevolg van vertalingen, aanpassingen of andere wijzigingen die we aanbrengen om ervoor te zorgen dat uw inhoud beter werkt met onze Services), te communiceren, te publiceren, openbaar uit te voeren, openbaar weer te geven en te distribueren.'

    *Door op de link te klikken, word je naar de website in de link gestuurd. De link opent automatisch in een nieuw tabblad

     

    Heb je het eigendomsrecht vastgelegd?

    Ja, dat heb ik gedaan
    Ja, dat heb ik gedaan print
    Open Sluit
  • Beschikbaarheid en ondersteuning

    Als je 24 uur per dag zaken wilt kunnen doen, bijvoorbeeld door je klanten op elk moment van de dag in staat te stellen online bestellingen te plaatsen, wil je dat je clouddienst continue bechikbaar is en ondersteuning door de cloudprovider aanwezig is. Daar hangt een prijkskaartje aan. 100 procent beschikbaarheid en dag-en-nacht ondersteuning kost geld. Afspraken voor 24/7 ondersteuning kun je met je provider maken. Ook als je minder beschikaarheid nodig hebt, is het goed om deze afspraken vast te leggen in de leveringsvoorwaarden van de cloudprovider.

    Heb je de beschikbaarheid en ondersteuning geregeld?

    Ja, dat heb ik gedaan
    Ja, dat heb ik gedaan print
    Open Sluit
  • Overstappen

    Overstapkosten zijn de kosten die je maakt bij de overstap naar een nieuwe leverancier van software of cloudprovider. 

    Wanneer je software gebruikt, worden gegevens vaak in een specifiek formaat opgeslagen. Dat kan als gevolg hebben dat je later moeilijk kunt overstappen naar een andere cloudprovider. Dat gaat dan tegen hoge kosten of, alternatief, je betaalt een vast bedrag zodat de (oude) leverancier je gegevens bewaart.

    Hoe belangrijk zijn overstapkosten?
    Vaak spelen overstapkosten geen rol. Het is voldoende een export of back-up te maken van je documenten en databestanden. Een overstap naar een andere cloudprovider is niet meer dan het opnieuw uploaden of importeren van deze gegevens. Soms zijn diensten en mogelijkheden zo uniek dat overstappen geen optie is; er zijn gewoon geen andere providers. Denk aan diensten van Apple: apps op de iPad, iPhone of het gebruik van Microsoft Office of de Blackberry. Soms hangt er een prijskaartje aan de relatie met één commerciële leverancier. Ze weten immers dat je niet gemakkelijk weg kunt en kunnen dus zelf de prijs bepalen. Probeer om vooraf goede (meerjarige) prijsafspraken te maken. De overstap naar (gratis) open source software of gratis clouddiensten brengt vaak overstapkosten mee, omdat het converteren van documenten en databestanden naar een ander (leesbaar) format tijd en geld kost.

    Directe overstapkosten
    Overstapkosten weeg je af tegen de verwachte voordelen. In de praktijk zijn de voordelen moeilijk in geld uit te drukken. Door de overstap verwacht je bijvoorbeeld meer gemak, en/of dat je nieuwe zaken kunt doen (met je website of social media) of dat je het imago van je bedrijf kunt verbeteren.

    Bij een overstap moet je je digitale gegevens vaak overzetten naar een ander systeem. Bij belangrijke gegevens, zoals contracten, financiële administratie of klantgegevens, is het raadzaam om te controleren of de kopie/back-up van je gegevens nog wel 'origineel' is. In sommige gevallen moet je een back-up aanhouden van de originele gegevens bij je oude provider, of moet je de papieren originelen scannen en bewaren. Of je krijgt een 'gewaarmerkte' kopie van de gegevens zoals ze bij je leverancier stonden. Zo biedt het keurmerk Zeker-OnLine een 'export' met alle belangrijke gegevens om de authenticiteit en integriteit aan te tonen, ook na een overstap. Samen met andere documenten (vergelijken) kun je dan aannemelijk maken dat het inderdaad de originele gegevens betreft.

    Indirecte overstapkosten
    Er zijn ook indirecte overstapkosten: bijvoorbeeld om je personeel te trainen en te laten wennen aan het nieuwe systeem (en de fouten die daarvan misschien het gevolg zijn), of om de systemen van je zakenpartners of klanten goed aan te sluiten. Vaak moet je je manier van werken aanpassen aan nieuwe software en krijgt je personeel nieuwe verantwoordelijkheden en taken.

    Heb je de overstapkosten in kaart gebracht?

    Ja, dat heb ik gedaan
    Ja, dat heb ik gedaan print
    Open Sluit
  • Illegale content

    Realiseer je goed dat als andere partijen informatie op je website kunnen plaatsen, je er wel verantwoordelijk voor bent. Dus: als op die informatie auteursrechten rusten of als het gaat om verboden materiaal (kinderporno, privéfoto’s), kun je aansprakelijk worden gesteld. En moet je wellicht een schadevergoeding betalen aan de auteur of kun je strafrechtelijk vervolgd worden.

    Je kunt deze problemen voorkomen door een 'notice and takedown'-protocol op te nemen op je website. Dit protocol geeft aan hoe je omgaat met illegale informatie. Er staat onder meer in dat rechthebbenden en bezoekers kunnen melden als zij op je site illegale informatie aantreffen en wat je met hun melding doet. Het is dus verstandig om voor het hosten van je website te kiezen voor een leverancier die zo'n protocol hanteert, zoals de deelnemers van de brancheorganisaties voor hosting en cloud providers DHPA* of ISPConnect*.

    *Door op de links te klikken, word je naar de website in de link gestuurd. De link opent automatisch in een nieuw tabblad

    Ben je beschermd tegen illegale content?

    Ja, dat ben ik
    Ja, dat heb ik gedaan print
    Open Sluit
  • Privacy

    Als je een website hebt en persoonsgegevens verwerkt (bijvoorbeeld voor een nieuwsbrief of een bestelling) moet je je houden aan de Wet bescherming persoonsgegevens (Wbp). De Autoriteit Persoonsgegevens (AP) ziet toe op de naleving van de wet door bedrijven. Wanneer je zelf je privacygevoelige gevens opslaat in de cloud (dat wil zeggen, gegevens die te herleiden zijn tot een specifieke persoon) in de cloud, moet je je ook houden aan een aantal wettelijke eisen.

    Je kunt specifiek op zoek gaan naar een provider die in Nederland of Europa gevestigd is of vragen naar een safe-harbor*-verklaring (als de provider in de VS is gevestigd). Vraag een privacyverklaring van je leverancier en controleer of hij werkt in overeenstemming met de Nederlandse privacywetgeving. Wanneer je zelf online persoonsgegevens van bezoeker verwerkt (bijvoorbeeld voor een nieuwsbrief of voor bestellingen) of wanneer je het gedrag van online bezoekers registreert via cookies, let dan op de volgende zaken:

    • Plaats een privacyverklaring;
    • vraag bezoekers toestemming voor het gebruik persoonsgegevens;
    • Sluit een bewerkersovereenkomst met je provider;
    • Biedt bezoekers de mogelijkheid voor inzage persoonsgegevens;
    • Maak duidelijk aan je online bezoekers dat je cookies gebruikt en met welk doel;
    • Toon je adresgegevens op je website;
    • Biedt klanten en bezoekrs de mogelijkheid persoonsgegevens in te zien.

    Klik voor meer informatie over het beschermen van persoonsgegevens op onderstaande links:

    *Door op de links te klikken, word je naar de website in de link gestuurd. De link opent automatisch in een nieuw tabblad

    Voldoe je aan de wet?

    Ja, dat doe ik
    Ja, dat heb ik gedaan print
    Open Sluit
  • Land van vestiging

    Bepaal voor jezelf of het land van vestiging van de cloudprovider een belangrijke afweging is of niet om voor een bepaalde provider te kiezen. 

    De praktijk leert dat overheden vrijwel altijd toegang kunnen vragen tot je (persoons)gegevens, wanneer daar redenen voor zijn, bijvoorbeeld in het kader van terrorismebestrijding. Vaak gebeurt dat op basis van verdragen tussen landen onderling of bijvoorbeeld tussen de Euroepse Unie (EU) en de Verenigde Staten (VS). De omstandigheden en voorwaarden voor toegang zijn op verschillende plaatsen in de wereld anders geregeld. Daarbij is niet altijd duidelijk is waar je gegevens worden opgeslagen en in welke mate overheden of andere partijen toegang hebben tot deze informatie. Dat is lastig voor internationaal opererende aanbieders van clouddiensten, omdat men met verschillende juridische stelsels te maken heeft. Laat je hier zo goed als mogelijk over informeren door de provider als dit een issue voor je is. 

    Ook voor internationaal opererende gebruikers van clouddiensten is het lastig om in overeenstemming te zijn met de privacyregels van specifieke landen of regio’s. Overigens is er vaak toestemming van een rechter nodig voordat overheden gegevens mogen inzien. Amerikaanse en Europese privacyregels lopen uiteen, maar de EU beschouwt Amerikaanse cloudproviders als voldoende veilig als ze safe harbor* gecertificeerd zijn.

    *Door op de link te klikken, word je naar de website in de link gestuurd. De link opent automatisch in een nieuw tabblad

    Heb je het land van vestiging bepaald?

    Ja, dat heb ik gedaan
    Ja, dat heb ik gedaan print
    Open Sluit