Cloud Compliancy – het blijft taaie materie

De meeste ophef over de AVG is inmiddels achter de rug. Dat wil niet zeggen dat iedere ondernemer, overheidsdienst of padvinderijafdeling nu aan de regels voldoet. AVG compliant zijn is een continue proces en een grote groep zit nog steeds aan het begin van dat traject. Dat komt soms omdat ze iets te veel met cloud doen.

Iets met cloud doen is voor veel ondernemers heel normaal. SaaS diensten worden, zonder de onderliggende technieken te kennen, makkelijk afgenomen. Er wordt gekeken naar wat de dienst doet, of dat maximaal overlapt met de pré-cloud toepassing en meer is het niet. De ondernemer die dat doet handelt daarmee op basis van onkunde. Hij weet immers niet dat het echt beter is meer dan alleen die simpele vergelijking te maken. Zijn vertrouwde IT aanbieder, of dat nu een MSP, een ISP, een hoster met uitgebreid portfolio of een datacenter is, laat daar ook steken vallen.

Dat de IT aanbieder zijn klanten niet optimaal uitleg verschaft over de issues rond cloud is iets waarover tot voor kort twee meningen bestonden. Een klant niet alles uitleggen was normaal, vond een deel van de markt. Van een klant mag immers ook wat eigen initiatief en vooral ook interesse worden verwacht. Complete uitleg van alles dat met een cloud dienst te maken had was riskant, vond weer een andere groep. Je core business gedetailleerd communiceren kan tot ongewenste effecten leiden.

Beide standpunten zijn door de AVG niet langer te handhaven. Een gebruiker van IT diensten in het algemeen en van cloud diensten in het bijzonder (!) moet zich informeren over wat zijn aanbieder precies doet. Met die kennis kan hij zijn eigen processen verder beschrijven, wat nodig is om AVG compliant te zijn. De grotere cloud aanbieders hebben de menskracht om daar serieus werk van te maken. De manier waarop zijn uitleggen wat ze doen met data is in de regel echt goed. Jammer dat de schakel daarna nog steeds steken laat vallen. Er zijn wederverkopers van cloud diensten (en ja dat kunnen de eerder genoemde MPS’s, ISP’s et cetera zijn) en partijen die zelf ontwikkelde diensten aanbieden die in externe clouds staan die volstaan met het mailen van de link waarin AWS & Co beschrijven wat zij doen. Dat kan nooit toereikend zijn om de eigen activiteiten met betrekking tot compliancy aan de klanten voldoende te verklaren.

Voor wie dit als een abstract verhaal voorkomt volgen er twee langere maar vooral praktische vragen. Ze kwamen eerder deze week ter sprake bij een discussie over compliancy (heel voorspelbaar).

  1. Waar bevindt zich de data, hoe wordt dat gecontroleerd en wie hebben daartoe toegang?
  2. Wordt er uitsluitend met eigen personeel gewerkt of ook met derden en geldt dat voor de eigen onderneming net zo als voor het bedrijf dat het cloud platform aanbiedt?

Probeer die maar eens te beantwoorden. Je zult zien dat er een lang antwoord zal volgen, omdat er zoveel opties en schakel zijn. Moet je nagaan hoe lastig het is voor een eindgebruiker. CC is lastig, maar het is iets dat we beter moeten kunnen uitleggen.