Cloud SLA voor de overheid moet antwoord geven op de volgende vragen

Cloud630416Cloud en SLA – het zijn twee begrippen die onlosmakelijk verbonden zijn en waar tenminste twee partijen ook altijd aandacht aan zouden moeten besteden. Dat komt tegenwoordig ook steeds vaker voor, helemaal als de clouddienst groter is of er van grote afhankelijkheid sprake. En dat is ook goed zo.

Over wat er in een SLA moet en mag staan en wat er niets te zoeken heeft, daarover lopen de meningen uiteen. Her en der worden standaard SLA’s verstrekt of workshops SLA’s opstellen gegeven, maar de factor maatwerk blijft daarin wat onderbelicht. Binnen Europa zijn er meerdere initiatieven de kwaliteit van de SLA’s te verbeteren. Idee daarachter is dat niet alleen betere documentatie, maar ook zaken als heldere lay-out en begrijpelijk taalgebruik door aanbieders leidt tot meer transparantie. Dat alles heeft naar verwachting weer een positieve impact op cloud gebruik. Of het effect van die initiatieven kun je van mening verschillen en het meten van de effecten is lastig. Daar loopt de EU niet als enige tegen aan. In de VS is precies het zelfde waarneembaar. De VS lijken wel een stapje verder te zijn, want de federale overheid heeft een set vragen benoemd die door elke cloud SLA beantwoord moet worden. Een 100% score en zo niet dan kan de federale overheidsdienst (in principe) achteraf geen goedkeuring meer krijgen voor de gesloten deal en zijn de juridische rapen gaar.

De lijst in kwestie is best overzichtelijk en alleen al daarom de moeite van het doornemen waard. Zelfs zonder dat je een cloud aan een overheid levert is het iets dat je naast je eigen voorwaarden en SLA kunt houden die je aan je klanten geeft. Het is tegelijk ook leerzaam met deze lijst in de hand te zien wat je eigen leveranciers, zoals datacenters en netwerkbedrijven leveren.

  1. Zijn de rollen en verantwoordelijkheden echt duidelijk
  2. Zijn de kernbegrippen helder gedefinieerd (“spreken we dezelfde taal en hanteren we het zelfde jargon?”)
  3. Is duidelijk hoe de performance wordt gemeten?
  4. Is duidelijk hoe en wanneer de overheidsklant toegang tot de eigen gegevens en netwerken heeft?
  5. Performance wordt gemeten, maar is ook duidelijk hoe de overheidsklant aangeeft dit gezien en geaccordeerd te hebben?
  6. Is DR naast gepland ook getest (en hoe vaak?)
  7. Zijn partijen het er over eens wat uitzonderlijke criteria zijn (waardoor de SLA niet geldt, denk aan de classificatie van een natuurramp)
  8. Naar welke maatstaf wordt security gemeten (voor defensie geldt natuurlijk iets anders dan voor een ziekenhuis)
  9. Is de meldplicht van datalekken en security incidenten gepland en getest?
  10. De consequenties voor het niet naleven van de SLA zijn ook ondubbelzinnig?

Van lijst naar de praktijk: dit overzicht is door de Amerikaanse Federale Rekenkamer opgesteld op basis van onderzoek naar 21 cloud contracten en daarbij horende SLA’s van 5 ministeries. 1 op de 3 federale cloud contracten voldeed aan alle punten. De lat ligt met deze 10 punten nog niet eens zo hoog. Toch is geeft het een aardige indruk. SLA’s voor Amerikaanse ministeries blinken niet uit in helderheid en transparantie en laten daarom veel vragen onbeantwoord.

Omdat er nogal wat Amerikaanse cloud aanbod op de Nederlandse markt beschikbaar is (understatement) zal het hier dus niet veel beter zijn.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.