Leren van de Diginotar affaire

Het laatste woord over de ontstane situatie rond Diginotar is zeker nog niet gesproken. Evenmin is het waarschijnlijk dat iedere betrokkene écht tevreden kan zijn met alle constateringen en rapportages. Voor het eerst is er namelijk in Nederland op zo’n grote en direct ongrijpbare wijze iets fout gegaan. Zo zeer zelfs dat de overheid heeft besloten voor haar doen hard in te grijpen en de touwtjes in handen te nemen.

Dat laatste is uitzonderlijk, in de regel stapt een klant over naar een andere leverancier of de leverancier komt met een nieuw team aanzetten om zo in goed onderling overleg de scherven te lijmen. In dit geval is dat allemaal niet aan de orde. De overheid heeft op een ondubbelzinnige wijze aangegeven geen vertrouwen meer te hebben in de leverancier.

Huidige situatie
Precies dat is iets dat meer aandacht behoeft, hoe vaak komt het voor dat de klant zo duidelijk zegt: “We hebben het enige tijd aangekeken, maar je bent te licht te bevonden”. En nog belangrijker: hoe kun je dit voorkomen?

Een eerste rondgang met die vraag langs marktpartijen en deskundigen leverde gemengde reacties op. De meeste hosting gerelateerde bedrijven wijzen op ISO’s en andere schriftelijke indicaties die aantonen dat ze veilig en betrouwbaar werken. Ook noemt een aantal de testimonials die met trots op de website staan vermeld. Externe partijen herkennen de vraag achter de vraag, maar komen toch met opmerkingen als “zorg voor goede contracten” en “regelmatige controle van de boeken”. Wat deze reacties weergeven is dat de nadruk vooralsnog ligt op het kunnen aantonen van kwaliteit op basis van rapportages die een voorliggende periode beschrijven. Hier wordt door bedrijven ook vrij veel energie, tijd en dus geld ingestoken vanuit de gedachte dat het een verantwoorde investering is. Want met bijvoorbeeld een ISO krijg je aantoonbaar eerder klanten die zorgen voor een bovengemiddelde omzet.

Wat ontbreekt
Hoe kwaliteit, data integriteit en dergelijke tijdens de duur van de overeenkomst wordt geborgd en aangetoond is lastiger. In sommige contracten wordt dit issues getackeld door het toezeggen van periodieke rapportages. Voor wijzigingen wordt er vaak gebruik gemaakt van ad-hoc projectteams die alles minutieus documenteren. Maar beiden bieden geen antwoord op de vraag hoe gereageerd dient te worden in geval van een hack, grondige ddos of datalek. De meeste contracten en leveringsvoorwaarden melden deze zaken niet eens, ook voor dienstverlening die verder gaat dan sharedhosting.

Pro-actief
Hierin verandering aanbrengen, dus pro-actief zorgen voor een communicatie tussen leverancier en klant in geval van bovenstaande voorvallen en het instellen van betere controle mechanismen, lijkt in het licht van de Diginotar affaire een evenzo verstandige als logische zet. Dat betekent eveneens niets minder dan het openbreken van contracten en mogelijk zelfs het aanpassen van de leveringsvoorwaarden. Normaal zijn leveranciers daar huiverig voor, maar omdat het hier nadrukkelijk kan worden gebracht als een verdere verbetering van de dienstverlening lijkt die zorg in dit geval ongegrond.

Dat er tegelijkertijd invulling wordt gegeven aan het begrip datalekken is verstandig maar tegelijkertijd ook weer een complicerende factor. De laatste berichten waren dat met name de telecombedrijven de uiterste best doen vooral niets te hoeven publiceren. Het is te hopen dat die houding, in het licht van de communicatieflaters rond de Diginotar affaire, verandert.

Concluderend: de Diginotar affaire is niet iets om trots op te zijn. Het confronteert aanbieders, afnemers en toezichthouders van e-diensten met tekortkomingen. Tegelijkertijd biedt het aanbieders de mogelijkheid bestaande processen onder de loep te nemen en concrete verbeteringsvoorstellen te doen waar alle partijen van profiteren.

Over Rashid Niamat

Laatste artikelen