Is de sector overrompeld door de recente ontwikkelingen?

We kunnen het onmogelijk negeren, daarvoor zijn de ophef en impact eenvoudigweg te groot. De besluiten die de laatste week vanuit het Witte Huis in Washington zijn genomen raken de IT sector hard. De problemen en uitdagingen van de hele wereld beschrijven gaat ISP Today niet doen, de focus in dit artikel ligt op de EU en vooral Nederland.

De afgebeelde tweet van Erik Bais is een goed startpunt. De vraag die hij stelt is valide. Wetende dat privacy “as we know it” schijnbaar niet meer geldt voor niet Amerikaanse ingezetenen, moet je je afvragen wat daarvan de consequenties (meervoud!) zijn. Waarom zou je nu nog je data in de VS opslaan als je weet dat alles wat dat uitmaakt niet meer wordt beschermd op de manier die eerder was overeengekomen. Alles terughalen naar de EU (exclusief het VK, want daar is vanwege Brexit en lokale wetgeving ook het nodige aan de hand) klinkt als logische en op papier de makkelijkste oplossing.

Erik spreekt de overheden aan maar dat lijkt ons te beperkt. Als het voorgaande Amerikaanse beleid overboord is gezet, dan geldt het voor elk type data van elke type klant. De vraag over de dataopslag moet dus ook worden gesteld aan het bedrijfsleven groot en klein, aan goede doelen en aan iedereen die wel eens data in een Amerikaanse cloud of DC heeft ondergebracht. Daarmee kom je vanzelf uit op een heikel punt, dat in de ophef van vorige week is ondergesneeuwd: wie weet met zekerheid te zeggen waar zijn/haar data allemaal staat. Het is een vraag die bij grotere ondernemingen en overheden standaard aan de orde is, maar voor het eerst sinds tijden moeten ook anderen zich weer over die vraag buigen. Aan wie moeten die vragen gesteld worden? Is dat het hoofd techniek, de inkoopafdeling of de webdesigner waar men zaken mee doet.

Je kunt nog een verdiepingsslag maken, zoals Artiën in een tweet al opperde, door de vraag te stellen: betreft dit alleen datacenters in de VS, of gaat het om DCs met een Amerikaanse eigenaar? De strijd tussen Microsoft over data in het Ierse DC moet daarom meer dan ooit op de voet gevolgd worden. Een variatie op Artiën’s vraag is er ook nog: moeten we ook anders naar gewone hostingdiensten gaan kijken? Moeten Europese klanten, dan wel resellers, van GoDaddy, of het recent door de Amerikanen overgenomen HostEuropa zich nu zorgen maken dat de data niet meer afdoende beschermd is. Diezelfde vraag kan trouwens ook nog gesteld worden over in de VS gevestigde partijen waar domeinnamen worden geregistreerd. Het lijkt ons dat er genoeg redenen zijn de focus niet te beperken tot DCs op Amerikaans grondgebied.

De ontwikkeling zet verder zo te zien een forse streep door de pogingen van Privacy Shield (de opvolger van het afgeschoten Safe Harbor) een succes te maken. Daarom zal er achter de schermen door de Europese Commissie het nodige worden gedaan helder te krijgen wat er nu echt aan de hand is. Moet je daar als ondernemer, die iets doet met clouddiensten, op wachten? Moet je je als provider, met klanten die cloud koppelingen hebben, nu opeens zorgen maken en op zoek gaan naar alternatieven? Moet je als DC gebruiker nu een exit strategie gaan verzinnen?

Het antwoord op die vraag zou moeten zijn: Nee, want hoe vervelend, onduidelijk en schadelijk de huidige situatie ook mag zijn: iedereen die zijn zaken goed voor elkaar heeft houdt ook rekening met slecht nieuws. Daarop bereid je je voor met een Business Continuity Plan, een draaiboek waarin je benoemt wat je moet doen als er iets niet gaat zoals het hoort te gaan.

BCPs, dat was jaren lang iets waar je multinationals en ISO gecertificeerde bedrijven mee bezig zag. Met wat er de laatste week is gebeurd mag duidelijk zijn geworden waarom ook andere, kleinere organisaties, en in ieder geval de Nederlandse en Europese hosting, datacenter en cloudsector, een bijgehouden BCP in de lade moeten hebben liggen. Opdat zij zich nooit laten overrompelen door ongehoopte of onvoorziene ontwikkelingen.