European Media Partner

Keurmerk voor Cloud providers

Outsourcing was ooit een model waarbij je een gespecialiseerde aanbieder inhuurde voor een deeltaak op het gebied van IT. Op basis van je wensen en eisen werd vervolgens maatwerk geleverd. Bij cloudsourcing ligt dat anders. Je vertelt de leverancier niet wat hij moet doen, maar je maakt gebruikt van een dienst die er al is. En ook de controle is anders. Het zijn veranderingen die vragen om harde garanties voor veiligheid en betrouwbaarheid.  

Dat vindt Michiel Steltman, directeur van Stichting DINL (Digitale Infrastructuur Nederland). Zijn organisatie brengt de belangen van de Nederlandse digitale infrastructuur sector onder de aandacht van overheid, politiek en andere belanghebbenden. DINL is betrokken bij verschillende Nederlandse en Europese ontwikkelingen op het gebied van Cloud, zekerheid en cyber security. “Als je de stap naar de Cloud maakt, is het belangrijk om een leverancier te kiezen die qua prijs en prestatie binnen je bedrijfsvoering past”, zegt Steltman. Een andere component is vertrouwen. Hoe veilig is mijn data bij een provider in de Cloud? Voorheen was het een stuk eenvoudiger, in de tijd dat het vooral om het outsourcen van de website ging. Die kon je prima buiten de deur parkeren. Er werden niet zulke hoge eisen gesteld aan de leverancier omdat er minder van af hing. Maar naarmate bedrijven meer digitaliseren en voor hun bedrijfsvoering afhankelijker worden van digitale technologie, is de keuze voor een Cloud provider niet meer vrijblijvend. “Want je legt een belangrijk deel van je risico buiten de deur. Je wordt afhankelijk van de veiligheid van een provider.” Het interessante is, zo vervolgt hij, dat de Cloud industrie een uitstekend trackrecord heeft. “Als je leest over hacken en andere incidenten gaat dat nooit over Cloud aanbieders. Dat illustreert dat zij hun zaakjes goed voor elkaar hebben. Het is ook logisch. Ze zijn immers volledig afhankelijk van het vertrouwen van hun klanten. Als het mis gaat voor een klant met tientallen opdrachtgevers, dan kan de provider wel inpakken. Daarom is het veiligheidsbewustzijn heel hoog.” 


Maar hoe weet je of jouw data in vertrouwde handen is, dat de provider voldoet aan de wet- en regelgeving? Het was deze vraag die centraal stond in de brief van het CIO Platform Nederland (de organisatie van CIO’s van 129 grote bedrijven) aan de Autoriteit Persoonsgegevens. Het Platform stelde dat het veel te complex en kostbaar is om met audits AVG-compliance bij gebruik van allerlei Cloud-services aan te tonen. “Grote afnemers zoals de overheid lukt het soms nog wel om bij leveranciers audits te doen, maar de gemiddelde mkb-ondernemer heeft daar de middelen niet voor.” Volgens Steltman is er maar één oplossing: Assurance keurmerken die aansluiten bij de behoeftes van Cloud gebruikers. “Daarvoor is een systematiek nodig die we kennen van de financiële jaarrekening, een rapportagestandaard die voldoet aan wettelijke eisen. Met een jaarrekening weten we immers genoeg om zekerheid te hebben over hoe het er financieel voor staat en of de organisatie in control is. Zulke keurmerken moeten conformiteit met wettelijke eisen van de gehele clouddienst aantonen, inclusief toeleveranciers zoals datacenters in de keten. Ook moet zo’n digitale jaarrekening duidelijkheid geven over het toepassingsprofiel qua risico en over de gebruikte normenkaders en maatregelen.” Hij besluit: “Zekerheid moet net zo laagdrempelig zijn als het gebruik van de Cloud zelf. Het tijdperk van ‘vertrouw ons maar’ is voorgoed voorbij. Cloudaanbieders die het voortouw nemen bij Assurance krijgen naar mijn overtuiging een voorsprong in de EU.”

Feit

De Stichting Digitale Infrastructuur Nederland is een coalitie van organisaties die zich samen inzetten voor een sterke digitale infrastructuur als basis van de Nederlandse digitale economie. De organisatie is de spreekbuis van duizenden bedrijven die de faciliteiten en online basisdiensten leveren voor onderwijs, wetenschap, consumenten en het bedrijfsleven. 

Delen

Journalist

Henk Dilling

Related articles