Welke eisen stel ik aan de cloudprovider?

Net als bij elke zakelijke relatie, stel je ook aan de overeenkomst met een cloudprovider een aantal eisen. Leg deze eisen voor het afsluiten van de overeenkomst vast en bedenk hoe je wilt controleren of de cloudprovider de afspraken nakomt.

Antwoord:

print

  • Scope van de clouddienst

    Bij de vraag hoe je eisen vastlegt in afspraken of ze controleert, kijk je eerst naar de scope van de dienst. Oftewel, wat omvat de dienst die je wilt afnemen?

    Bij de keuze van een cloudprovider heb je verschillende opties:

    • Ruimte
      Je huurt een beveiligde ruimte in een datacentrum, al dan niet met servers waar je je eigen software op draait, of die de provider voor je inricht.
    • Ruimte + beheer
      Vaak worden onderdelen van de functionaliteit in andere datacentra uitgevoerd; bijvoorbeeld gespecialiseerde diensten rond beveiliging, de opslag van grote hoeveelheden data, functies voor digitaal betalen, de digitale verbindingen met de bank, specifieke rapportage mogelijkheden.
    • Applicatie
      Je huurt een bepaalde toepassing (boekhoudsoftware, een systeem voor CRM, mailing, HRM).
    • Risico's
      Wanneer je alleen de (beveiligde) ruimte huurt neem je zelf de verantwoordelijkheid over de risico’s genoemd. Behalve dan de fysieke beveiliging van de ruimtes.

    Wanneer je zowel de ruimte als beheer inhuurt, worden de risico’s grotendeels afgedekt in de afspraken met en leveringsvoorwaarden van de cloudprovider. Een deel van die risico’s wordt echter door de applicatie afgedekt die je gebruikt. Met name de authorisatie wie welke gegevens te zien krijgt en mag veranderen en de audittrail (vastleggen wie wat heeft veranderd met welke bevoegdheden) wordt vaak geregeld door de specifieke applicatie.

    Wanneer je een applicatie huurt, beheers je alle risico’s door afspraken te maken dan wel de leveringsvoorwaarden te controleren.

  • Wat bepaalt de kwaliteit van de cloudprovider?

    De kwaliteit van de cloudprovider wordt bepaald door vijf onderdelen.

    1. Datacentrum
      De kwaliteit van het datacentrum heeft onder meer te maken met de constructie van het gebouw, de fysieke toegangsbeveiliging, brandbeveiliging, voorzieningen bij stroomuitval, de koeling, milieuvriendelijkheid en duurzaamheid, beschikbaarheid van aansluitingen op het internet.
    2. Computing-infrastructuur
      Bij de kwaliteit van de computing-infrastructuur gaat het om hardware. Belangrijke vragen zijn daarbij of de configuraties bestand zijn tegen uitval en hoe snel men capaciteit kan toevoegen. Ook de toegangsbeveiliging is een aandachtspunt. Ook belangrijk is de kwaliteit van het onderhoud, de opslagsystemen en back-upvoorzieningen.

      Samenwerkende clouddiensten: de complexiteit van clouddiensten maakt het moeilijk om alles in eigen beheer te organiseren. De meeste clouddienst-aanbieders werken dan ook met gespecialiseerde leveranciers voor het datacentrum en de computing-infrastructuur. Bij clouddiensten en -services is bijna altijd sprake van een keten van leveranciers.

      Virtualisatie: Een veel gebruikte technologie voor deze onderlinge infrastructuur is virtualisatie. Daarmee kan een leverancier snel capaciteit bijschakelen en onderhoud plegen aan hardware. Dat gebeurt zonder verstoring van de beschikbaarheid van de clouddiensten voor de gebruikers. Voor clouddienst-aanbieders die alles in eigen beheer doen is die kwaliteit moeilijk haalbaar.

      Tip: zoek uit in de deelnemersvoorwaarden van je provider hoe de borging is van de kwaliteit van het datacentrum, de apparatuur en de mensen. Je kunt over die aspecten gerichte afspraken maken in een Service Level Agreement (SLA).
    3. Organisatie
      Kwaliteit van organisatie (mensen, opleiding, ervaring, beveiliging, support, procedures). Een goed beheer van een datacentrum en de daarin geplaatste systemen vergt een breed takenpakket. Zoals het regelen van de toegangsbeveiliging, zowel tot het gebouw als - via internet - tot de servers, het updaten en beveiligen van de servers en de software, het monitoren en regelen van belasting/capaciteit van het netwerk. Dat vereist goed opgeleide medewerkers en heldere procedures.
    4. Toepassingssoftware
      Kwaliteit van de toepassingssoftware, zoals toegangsbeveiliging, mogelijkheden voor monitoring, uitwisselbaarheid van gegevens. De toepassingssoftware legt bijvoorbeeld vast wie welke gegevens op welke manier verandert. Het bestand waarin deze gegevens staan is een audit-trail.
    5. Juridische aspecten
      Continuïteit (faillissement, calamiteiten, storingen), wettelijke zaken rond eigendomsrecht, auteursrecht, privacy en overstapmogelijkheden.
  • Vastleggen en controleren van de kwaliteit

    Welke zekerheden de cloudprovider kan bieden liggen vast in de leveringsvoorwaarden. Onderdeel van de die leveringsvoorwaarden is een Service Level Agreement (SLA).

    De leveringsvoorwaarden (afspraken of maatwerk)
    Veel cloudproviders hebben vaste leveringsvoorwaarden waar je geen invloed op kunt uitoefenen. Dat merk je vaak in de prijs. Soms betekent dit dat de provider gebruik mag maken van je informatie, want daar geef je toestemming voor door de voorwaarden te accepteren. Daar moet je zeker alert op zijn. De meeste providers hebben leveringsvoorwaarden die je als ondernemer behoeden voor bedrijfsrisico’s. Grotere bedrijven hebben soms liever maatwerk en spreken specifieke leveringsvoorwaarden af.

    De Service Level Agreement
    Je mag van je clouddienst-aanbieder een goede SLA verwachten waarin alle belangrijke zaken zijn geregeld.

    Afspraken over de continuïteit en de beschikbaarheid
    Een goede cloudprovider is duidelijk over het datacentrum waar hij (delen van) de diensten uitbesteedt, en wat de afspraken met die partijen zijn. In de SLA staan afspraken over de procedures voor situaties waarin een dienst onverhoopt uit de lucht is. Als het onaanvaardbaar is dat je website tijdelijk offline is, dan heeft dat een prijskaartje. Dat geldt ook wanneer je wilt doorwerken met een back-up van uw documenten. Wanneer gegevens of de dienst van groot belang zijn voor je bedrijf, moet je ook afspraken maken wat er gebeurt bij faillissement van je provider of een van de partijen die deeldiensten leveren. Je kunt zelf regelmatig back-ups maken van je data: dan kun je vaak wel verder werken. Veel verder gaat een escrow-overeenkomst. Die garandeert dat je data beschikbaar blijven en dat de dienstverlening bij calamiteiten automatisch doorloopt via andere datacentra. Sommige escrow-overeenkomsten garanderen dat zelfs na een faillissement de dienst nog een tijd beschikbaar blijft.

    Afspraken over beheer en ondersteuning
    Een belangrijk aspect vormen de afspraken over beheer en de ondersteuning: de communicatie rond onderhoud, gepland of ongepland.

    Afspraken over juridische aspecten
    In de leveringsvoorwaarden staan clausules met toezeggingen over vertrouwelijkheid, geheimhouding, privacy en eigendomsrecht. Ook biedt de cloudprovider helderheid over de samenwerking en afspraken met andere leveranciers.

  • Garanties over het nakomen van afspraken

    Garanties over het (kunnen) nakomen van afspraken zijn er op verschillende niveaus. Om te beginnen heeft een cloudprovider er alle belang bij dat hij zijn afspraken nakomt. Aan negatieve publiciteit heeft hij immers niets. En ook voor hem zal het belangrijk zijn een goede relatie met je bedrijf op te bouwen en te onderhouden.

    Is het voor jou erg belangrijk om risico’s te vermijden? Kijk dan of je leverancier beschikt over een certificering, een verklaring of een keurmerk. Controleer of die ook van toepassing zijn op de toeleveranciers van het datacentrum en/of de computing- infrastructuur. Onafhankelijke partijen kunnen een verklaring afleggen over het beheer en de veiligheid van een datacentrum en de financiële gezondheid van een serviceprovider. Dat waarborgt dat een clouddienst-leverancier zijn verplichtingen kan nakomen. Het is wel belangrijk dat je weet wat en hoe er is gecontroleerd. 

    De meest voorkomende certificaten en/of keurmerken zijn:

    • ISO27001 en ISO27002, twee standaarden voor informatiebeveiliging;
    • Zeker-OnLine* voor financiële systemen en binnenkort ook voor meerdere typen cloudapplicaties.
    Met een verbindend Keurmerk geven samenwerkende leveranciers aan dat zij de kwaliteit van hun diensten/producten garanderen. Zo is het keurmerk Zeker-OnLine gericht op online administratieve software. Dit keurmerk betekent dat opgeslagen en/of verwerkte gegevens goed worden bewaard en een degelijke basis zijn voor betrouwbare rapportages e.d. (aangiften, jaarrekening, voor kredietaanvraag en kredietrapportage). Hoewel de belastingdienst betrokken is bij de ontwikkeling van het keurmerk Zeker-OnLine, betekent dit niet dat de fiscus een aangifte automatisch heeft 'goedgekeurd'. Op de website van de Belastingdienst staat te lezen hoe zij Zeker-OnLine beoordelen als veilig en betrouwbaar keurmerk. Voor een helder overzicht over welke zaken je afspraken moet maken, bij een hoog risicoprofiel, kun je de documenten van Zeker-Online* raadplegen. Deze zijn specifiek gemaakt voor administratieve software in de cloud. Maar ze zijn relevant voor iedereen die belang hecht aan de veiligheid van gegevens in de cloud.


    In het keurmerk Zeker-OnLine zijn deze richtlijnen en adviezen van belang en onderdeel van het normenkader van dit keurmerk:

    1. ICT-Beveiligingsrichtlijnen van het NCSC voor webapplicaties*  en mobiele apparaten*;
    2. EU-privacyverklaring en -richtlijnen;
    3. Notice and Take Down (NTD) voor systemen met content van derden;
    4. Safe harbor* indien leveranciers uit de Verenigde Staten betrokken zijn bij systemen met NL overheid of privacy.

    3402-rapport: géén certificaat of keurmerk
    Een 3402-rapport (ISAE-3402, internationaal) wordt vaak onterecht gezien als een certificaat of keurmerk, maar is dat zeker niet. De beroepsorganisatie van IT-auditers, NOREA*, bestrijdt dit verkeerd gebruik van een 3402-rapport dan ook actief. De 3402-richtlijn zegt iets over de manier waarop een audit moet worden ingericht en op welke verplichte wijze erover gerapporteerd moet worden. NOREA heeft een audit-alert uitgegeven waarin dieper wordt ingegaan op het misverstand rond en het verkeerd gebruik van een 3402-rapport. Dit aler kun je in zijn geheel lezen op de website van Zeker-OnLine*. 

    Meer zekerheid
    Je kunt je  afhankelijkheid van een clouddienst-aanbieder verminderen. Zorg voor goede, automatische back-ups en kopieën van jouw gegevens. En zorg dat je probleemloos kunt overstappen naar een andere aanbieder (waarbij je jouw data dus eenvoudig kunt exporteren/importeren).

    Certificaten en/of keurmerken zeggen ook iets over de financiële gezondheid van je cloudprovider. Financiële continuïteit en investeringsvermogen van je provider zijn van belang, om te blijven werken aan de kwaliteit en betrouwbaarheid van het datacentrum. Dat verkleint het risico dat je onaangenaam verrast wordt door uitval of storing bij je provider, waarbij je data of diensten niet beschikbaar zijn.
     
    Je kunt ook een escrow-overeenkomst met je provider afspreken. Deze regeling garandeert dat je bij grote calamiteiten altijd over je gegevens kunt beschikken, ook bij faillissement. Het is zelfs mogelijk, afhankelijk van de afspraken, dat er een werkende omgeving beschikbaar blijft.
     

    *Door op de links te klikken, word je naar de website in de link gestuurd. De link opent automatisch in een nieuw tabblad

  • Als in de voorwaarden onderwerpen ontbreken

    Controleer goed of alle onderwerpen die jij belangrijk vindt ook in de voorwaarden van de cloudprovider staan. Zo niet, bespreek je wensen en eisen. Professionele leveranciers herkennen deze onderwerpen en zullen op je vragen zijn voorbereid. Maar in de nog jonge clouddiensten sector is niet iedere aanbieder even transparant.

    Een cloudprovider die niet helder is, kan iets te verbergen hebben. Het is niet vanzelfsprekend dat er onduidelijke antwoorden zijn of dat je lang moet wachten op antwoorden. Bij een hoog risico van je data moet je je afvragen of het verstandig is om met die provider zaken te doen.