Toepassing nu. cloud computing verder dan gedacht. Onderzoek cloud computing in Nederland (1) Onderzoek

Transcriptie

1 cloud computing in Nederland (1) Onderzoek Toepassing cloud computing verder dan gedacht Afgelopen najaar voerde CloudWorks, in samenwerking met het organisatieadviesbureau Quint Wellington Redwood en het advocatenkantoor Hogan Lovells, een onderzoek uit naar het gebruik en de acceptatie van cloud computing in ons land. 54 bedrijven en instellingen verleenden hun medewerking aan de enquête en de verdiepingsinterviews. Hierin werden zowel IT- als financiële en juridische aspecten aan de orde gesteld. De onderzoekers zullen in de komende nummers van Cloud- Works het onderzoek in een aantal artikelen bespreken. In deze eerste aflevering staat de huidige toepassing van cloud computing centraal, alsmede de huidige en toekomstige investeringen. Door Frank de Vries en Arnoud van Gemeren Uit de befaamde hype cycle van Gartner blijkt dat cloud computing zich momenteel op de piek van de hype bevindt. De fase van de teleurstelling ofwel het ontzenuwen van overspannen verwachtingen staat voor de deur. Volgens dezelfde hype cycle zal cloud computing over twee tot vijf jaar realiteit zijn. De onderzoeksresultaten weerspiegelen dit beeld ten dele, maar lijken er op te wijzen dat de acceptatie van cloud computing eerder een kwestie van twee dan van vijf jaar is. nu niet Eerste gesprekken met leveranciers, markt in de gaten houden 65% 6% 4% 25% Pilotproject(en) ter leering ende vermaeck 43% 24% 2% 31% Ontwikkeling en operationalisering niet-kritieke applicaties 29% 18% 20% 33% Ontwikkeling en operationalisering kritieke bedrijfsapplicaties 25% 10% 18% 47% Figuur 1. Wat is de status van de introductie van cloud computing in organisaties? En hoe is deze naar verwachting in 2011 en 2012? (Door overlap en afrondingen zijn totalen niet altijd 100 procent.) De komende twee jaar In 2011 en 2012 is het afgelopen met de marktoriëntatie, zoals uit figuur 1 wel blijkt. Slechts een klein percentage verwacht zich dan nog te zullen oriënteren. Ook het aantal respondenten dat verteert, dat wil zeggen: de markt volgt en verkennende gesprekken met leveranciers voert. Een CIO van een financiële instelling gaf het volgende aan: We hoeven niet per se morgen volledig in de cloud te zitten. De leveranciersmarkt is zelf nog volop aan het kijken wat het onderscheidend vermogen is en wat de deliverymodellen zijn. Wel moeten we het concept zo snel mogelijk begrijpen en zorgen dat we er klaar voor zijn. Uit het onderzoek blijkt dat ruim 40 procent al pilotprojecten uitvoert. Enkele organisaties gaven als feedback voorop te willen lopen om gebruik te kunnen maken van het concurrentievoordeel. Eén deelnemer, directeur van een ict-dienstverlener, maakt er beroepshalve wel heel veel werk van en meldt: We Toepassing nu In de eerste plaats hebben de onderzoekers de huidige stand van zaken in kaart gebracht. Daaruit blijkt dat twee derde van de respondenten zich actief oriënvolgen het op de voet en testen dagelijks nieuwe toepassingen. De early adopters zijn flink vertegenwoordigd, maar we mogen al wel spreken over een early majority (zie figuur 2). 29 procent houdt zich namelijk al bezig met de ontwikkeling en operationalisering van niet-kritieke cloudtoepassingen en 25 procent durft dit zelfs al aan met bedrijfskritieke applicaties! Dit betreft dan met name organisaties uit het midden- en kleinbedrijf. wacht pilotprojecten te zullen uitvoeren, daalt dan scherp. De innovators, early adopters en early majority van dit jaar krijgen dan gezelschap van kleine aantallen nieuwe cloudgebruikers of breiden zelf nog wat uit. Het is wel duidelijk dat het peloton nu al van start is gegaan. We zien dat in 2011 in totaal bijna de helft van de organisaties niet-kritieke toepassingen zal hebben ontwikkeld of al geoperationaliseerd; een percentage dat in 2012 zal stijgen naar zo n twee derde. Een directeur Infrastructure & Operations van een verzekeringsmaatschappij gaf daarbij aan: Ik wil eerst de IT-omgeving verder virtualiseren, applicatieafhankelijkheid elimineren, een selfserviceportal bouwen, monitoring op orde hebben en 16 - cloudworks - december 2010 december cloudworks - 17

2 Figuur 2. De Gauss-curve van Rogers met betrekking tot adoptie van innovatie (bron: Wikipedia). Aangezien 29 procent van de respondenten op een of andere manier van start is gegaan met cloud computing, kunnen we stellen dat binnen de onderzoekspopulatie inmiddels al de early majority actief is geworden. Innovators 2,5 % Early adopters 13,5 % Early majority 34% informatiebeveiliging anders inrichten, voordat ik de kosten- en flexibiliteitsvoordelen van cloud computing kan oogsten. Een derde van de organisaties geeft aan te verwachten zich in het geheel niet hiermee bezig te zullen houden. Mogelijk komt de komende jaren nog verandering in dit percentage, als de rest van de late majority en de laggards zich aansluiten. Ook bij de bedrijfskritieke cloudapplicaties gaan de percentages omhoog. Een flink percentage stelt echter op dit gevoelige gebied niets te zullen ondernemen. (In het derde artikel in deze reeks zullen we overigens ingaan op de drijfveren en drempels die de respondenten hebben aangegeven.) Budgetten Behalve de mate van acceptatie en de plannen daarvoor, zijn de respondenten bevraagd over het percentage van hun IT-budget dat ze in 2010, 2011 en 2012 aan cloud computing besteden. Een CEO van een internationaal verpakkingsbedrijf gaf hierbij in een verdiepingsinterview aan, dat zijn organisatie dankzij adoptie van de cloud circa 15 procent van het IT-budget kon heralloceren naar businessinnovatie. Late majority 34% Laggard 16% In 2011 en 2012 is het afgelopen met de marktoriëntatie Percentage IT-budget Market share % De huidige investeringen zijn ogenschijnlijk beperkt te noemen. Ruim de helft van de deelnemers geeft momenteel niets uit aan de cloud en een kwart beperkt de uitgaven tot een tiende deel van het IT-budget. Toch kan schijn gemakkelijk bedriegen, aangezien een kwart van de organisaties nu al aanzienlijke delen van het IT-budget in cloud computing investeert (zie figuur 3). Wat gaat er in de komende twee jaar gebeuren met het IT-budget? Het aantal deelnemers dat verwacht niet in de cloud te zullen investeren, daalt in zowel 2011 als Een van de deelnemers verwoordt het zo: We geven momenteel ongeveer 30 procent van ons ITbudget uit aan de cloud. Ik zie dat in de toekomst alleen maar omhooggaan. Volgend jaar zal bijna 80 procent in elk geval een deel van het IT-budget in de cloud steken, een percentage dat over twee jaar oploopt naar bijna 90 procent! Onderzoek prijsmodellen Als groot voordeel van de introductie van cloud computing wordt vaak genoemd dat dit een verschuiving van kapitaalinvesteringen naar operationele uitgaven mogelijk maakt ( van capex naar opex ). Ook in absolute zin kan de cloud goedkoper uitpakken, zo beaamt een van de respondenten: Het was niet makkelijk uit te rekenen, maar vergeleken met een on-premisetoepassing is de cloudtoepassing zeker 200 tot 300 procent goedkoper! Een terechte vraag is of de respondenten ook onderzoek hebben gedaan naar de prijsmodellen die cloudserviceproviders hanteren. Het kan hierbij gaan om een prijs per gebruiker, al of niet gestaffeld, een prijs gebaseerd op benodigde capaciteit, al of niet getrapt, en zo verder. De antwoorden op deze vraag geven te denken. Slechts 40 procent van de respondenten heeft zich in de beprijzing verdiept. Meer dan de helft heeft dit nog niet gedaan en enkele respondenten hebben deze vraag niet beantwoord. Percentage respondenten nul 51% 22% 12% tien 25% 41% 29% twintig 8% 12% 24% dertig 4% 6% 10% veertig 2% 8% 8% vijftig 2% 0% 4% zestig 2% 4% 4% zeventig 0% 2% 4% tachtig 2% 2% 0% negentig 2% 2% 4% honderd 2% 2% 2% Figuur 3. Het percentage van het IT-budget dat de respondenten in 2010, 2011 en 2012 aan cloud computing zullen besteden cloudworks - december 2010

3 Een IT-manager bij een overheidsinstantie vermeldt nog wel: Dit wordt eind 2010 gestart. Mogelijk wijst dit onderzoeksresultaat er op dat het vraagstuk van de werkelijke kosten van cloud computing nog niet voor alle bedrijven en instellingen makkelijk te doorgronden is. Tijdens de due diligence net zo hard nodig bij cloud computing als bij reguliere outsourcing moet er goed gekeken worden welke activiteiten de leverancier uitvoert en welke activiteiten de onderneming zelf dient uit te voeren. IAAS-leveranciers leveren bijvoorbeeld niet standaard alle diensten. Voorbeelden hiervan zijn management over virtuele machines, informatiebeveiliging, netwerkmonitoring, technisch applicatiebeheer, et cetera. Cloud computing lijkt al door de early majority te worden geaccepteerd Conclusie We mogen voorzichtig concluderen dat cloud computing in ons land ook al door de early majority wordt geaccepteerd. We zijn zo voorzichtig met deze conclusie omdat de deelnemers aan dit onderzoek zichzelf in zekere zin hebben geselecteerd: wie niets met cloud computing heeft, zal wellicht niet snel aan een onderzoek op dat terrein deelnemen. Toch lijken de onderzoeksresultaten er op te wijzen dat cloud computing eerder binnen twee dan vijf jaar gemeengoed wordt. Men oriënteert zich volop en menigeen is al bezig met een pilotproject. De investeringen zijn voor het merendeel van de respondenten nog bescheiden, maar groeien de komende jaren gestaag door. Het tweede artikel in deze reeks zal in het teken staan van de vele verschillende vormen en toepassingen van cloud computing in 2010, 2011 en Wat doet het goed en wat minder goed? CW Frank de Vries com) is partner bij Quint Wellington Redwood, een bureau voor organisatieadvies op het raakvlak van organisatie en IT. Arnoud van Gemeren is uitgever van CloudWorks. Komend voorjaar zullen CloudWorks, Quint Wellington Redwood en Hogan Lovells een boekje uitgeven, met daarin deze artikelreeks, plus de uitgebreide onderzoeksresultaten. Wanneer u belangstelling hebt voor dit boekje of meer informatie over dit onderzoek wilt weten, kunt u een mail sturen naar arnoud@cloudworks.nu. De deelnemers 54 bedrijven en instellingen namen aan het onderzoek deel. Opvallend is de vrij sterke vertegenwoordiging van C- leveldeelnemers. Meer dan een derde acteert op het hoogste niveau enkele DGA s meegerekend. De categorie ITmanagement (senior en mid-level) is tevens sterk vertegenwoordigd. Tellen we de deelnemende IT-topmanagers op bij de C-levelgroep, dan blijkt dat bijna de helft van alle deelnemers op hoog niveau binnen de organisatie werkzaam is. We mogen concluderen dat cloud computing voor de meeste organisaties een behoorlijk strategisch onderwerp is. De onderzoekers hebben ook gekeken naar de verdeling over de verschillende branches (zie figuur 4). Opvallend is de sterke vertegenwoordiging van IT-dienstverleners, met vijftien deelnemende organisaties. Deze branche zal de cloud tot realiteit moeten maken en onderschrijft blijkbaar het motto practice what you preach. Ook de financiële sector, die traditioneel vooroploopt met de toepassing van IT, is goed vertegenwoordigd. Verder is er een mooie spreiding met deelnemers uit zeer diverse sectoren: van overheid tot bouw, van onderwijs tot transport. De omvang van de deelnemende organisaties in termen van fte s en omzet is behoorlijk. Ruim een derde heeft meer dan medewerkers en een derde van deze groep (zo n 11 procent van het totaal dus) zelfs meer dan Ook het middenbedrijf is goed vertegenwoordigd. Ruim 31 procent heeft tussen de 100 en medewerkers. Ook het kleinbedrijf, waar SaaS aardig in trek is, blaast met een derde van het aantal deelnemers een aardig deuntje mee. Als we naar de bruto omzet van de responderende organisaties kijken, gaat 20 procent over de 250 miljoen euro per jaar heen (zes organisaties boeken meer dan een miljard). 18,5 procent behaalt omzetten tussen 50 en 250 miljoen, 18,5 procent minder dan 50 miljoen en een derde minder dan tien miljoen euro per jaar. Branche Percentage Bouw 7,4% Detailhandel 0,0% Financiële dienstverlening 14,8% IT-dienstverlening 27,8% Gezondheidszorg 9,2% Groothandel 0,0% Horeca/recreatie 1,8% Industrie 7,4% Transport 5,5% Centrale overheid 9,2% Decentrale overheid 3,7% Ander 12,8% Figuur 4. Percentage respondenten per branche cloudworks - december 2010

4 cloud computing in Nederland (2) Onderzoek Kiezen uit vormen en smaken Eind vorig jaar voerde CloudWorks, in samenwerking met het organisatieadviesbureau Quint Wellington Redwood en het advocatenkantoor Hogan Lovells, een onderzoek uit naar het gebruik en de acceptatie van cloud computing in ons land. 54 bedrijven en instellingen verleenden hun medewerking aan de enquête en de verdiepingsinterviews. Hierin werden zowel IT- als financiële en juridische aspecten aan de orde gesteld. De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek. In deze tweede aflevering staan de specifieke inrichtingsvormen en dienstverleningsmodellen van cloud computing centraal. Waarin investeren de respondenten, als het de inrichtingsvormen public, private of hybride cloud betreft? En waarin als het om de dienstverleningsmodellen SaaS, PaaS en IaaS gaat? Door Frank de Vries en Arnoud van Gemeren 10 - cloudworks - februari 2011 februari cloudworks - 11

5 Een bekend probleem bij cloud computing is het definitievraagstuk. Cloud computing is een algemene term voor het leveren van hosted services via het internet. Deze diensten zijn over het algemeen onderverdeeld in drie categorieën: infrastructuur as a service (IaaS), platform as a service (PaaS) en software as a service (SaaS). Een clouddienst heeft drie verschillende kenmerken die het onderscheiden van de traditionele hosting. De dienst wordt verkocht per eenheid zoals bijvoorbeeld per minuut of uur, per gebruiker of per transactie de dienst is elastisch een gebruiker kan op ieder moment zo veel of zo weinig van een dienst afnemen als wenselijk en de dienst wordt volledig beheerd door de aanbieder. De afnemer hoeft alleen een pc en internetaansluiting te hebben. Bij dit onderzoek is verder gekozen om de definities van de Open- Crowd Cloud Taxonomy 1 te hanteren. Hier zijn de respondenten bij het invullen van de enquête ook op gewezen. Public, private of hybride In de eerste plaats is in kaart gebracht of er wordt gekozen voor een public of een private cloud, dan wel een hybride inrichtingsvorm. Een public cloud levert diensten aan iedereen op internet. Een IaaS wordt momenteel volop betrokken bij de vormgeving van sourcingsstrategieën 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 19% 20% 31% 30% private cloud is kleinschaliger, is op maat gebouwd met behulp van virtualisatietechnieken voor één of een beperkt aantal organisaties. Private clouds maken gebruik van een aantal basiskenmerken van cloud computing (dienstverlening, 17% 13% 13% 57% 20% 9% 30% 41% Niet Private cloud Public cloud Hybride cloud Figuur 1. Wanneer verwacht men cloud computing voor het eerst in te zetten? De cijfers in deze figuur geven aan wanneer men cloud computing voor het eerst wenst in te zetten en in welke inrichtingsvorm. De grafiek geeft dus niet een optelling van het feitelijk gebruik van de verschillende cloudvarianten per jaar aan, maar de verwachte voorkeur voor de inrichtingsvorm wanneer respondenten eenmaal in een betreffend jaar tot een bepaalde cloudoplossing overgaan. Zo denkt 20 procent van de respondenten in 2012 een hybride cloud in te gaan richten. flexibele capaciteit), maar leveren in het algemeen minder kostenvoordelen op in vergelijking tot de andere inrichtingsvormen. Een hybride cloud is een mengvorm van deze beide varianten, waarbij sommige diensten zich in een private cloud bevinden en andere in een public cloud. Of de keuze nu valt op private of public: het doel van cloud computing blijft om eenvoudige, schaalbare toegang tot computing resources en ITdiensten te leveren. Het zal niet verbazen dat private cloud het over de gehele linie wat beter doet dan de andere inrichtingsvormen: niemand neemt graag risico s met een min of meer publiek domein in een markt waar open standaards voor interoperabiliteit en industriebrede privacystandaards nog ontbreken. Het privacyniveau binnen de Europese Unie is op een hoger niveau vastgesteld dan in de rest van de wereld en geen enkele overheidsinstelling of onderneming neemt graag privacyrisico s. Veel cloudproviders leveren daarbij niet de noodzakelijke loggingen audit-trailinformatie die vanuit weten regelgeving of vanuit de eigen organisatie geëist wordt. Hierdoor kan cloud computing voor sommige organisaties om complianceredenen ongeschikt zijn. Toch verwachten respondenten ook in 2011 van de public cloud gebruik te maken. Volgend jaar zal private cloud de dominante vorm zijn, op enige afstand gevolgd door hybride varianten. In verdiepingsinterviews kwam naar voren dat de meeste ict-omgevingen van grote ondernemingen en overheden in de toekomst zullen groeien naar een private of hybride inrichtingsvorm. Dit gegeven de grote, hedendaagse mix van dienstverlening, applicaties, databases en platformen. Niet alles wordt gemigreerd naar de cloud, voorbeelden hiervan zijn legacy-omgevingen. Niet alle applicaties zijn daarnaast beschikbaar of geschikt voor een gedistribueerde en gevirtualiseerde omgeving. Een applicatie die veel data moet verwerken, kan in de cloud bijvoorbeeld tegen grenzen aanlopen. De hoeveelheid benodigde bandbreedte wordt hier niet alleen een uitdaging het bijbehorende kostenniveau doet veel businesscases eruit zien als een financiële wanprestatie, maar ook de bezorgdheid over het gebrek aan controle over activa en het geboden niveau van veiligheid en privacy bij gebruikmaking van public clouds speelt een belangrijke overweging om te gaan voor een private of hybride inrichtingsvorm. SaaS Vervolgens zoomt het onderzoek in op software as a service en stelt de vraag welk type applicaties betrokken gaat worden van de cloud. SaaS wordt hierbij als volgt gedefinieerd: Cloud based delivery of complete software applications that run on infrastructure the SaaS vendor manages. SaaS applications are accessed over the Internet and typically charged on a subscription basis. (Definitie: Cloud Taxonomy.) SaaS-leveranciers hebben de afgelopen jaren veel voordeel gehad van technologische innovaties op het gebied van bijvoorbeeld multitenancy, data- en webarchitecturen en niet te vergeten: webstandaarden. Hierdoor werd de kans groter dat meerdere browsers, platformen en end-users konden inprikken op hun SaaS-toepassing. Van de drie dienstverleningsmodellen diende SaaS zich als eerste aan. Bekende voorbeelden van SaaS zijn Salesforce.com, SugarCRM, SAP By Design en Netsuite. De cijfers in figuur 2 geven per jaar aan wanneer men SaaS wenst in te zetten en voor welk functioneel domein. Zo denkt 19 procent van de respondenten pas in 2012 tools voor projectmanagement als SaaS-toepassing af te nemen. In de periode verwacht 57 procent van de respondenten hier gebruik van te maken. Kijkend naar de uitkomsten zoals weergegeven in figuur 2, valt op dat respondenten softwareapplicaties voor kritieke processen zoals financials, security en in mindere mate gevoelige processen als sales en HRM nog niet aan de cloud toevertrouwen. Implementatie van SaaS en plannen daartoe hebben vooral betrekking op pakketten voor collaboration, contentmanagement en projectmanagement. Kantooroplossingen van Nederlandse en Belgische bodem zijn ContactOffice en Viadesk. Andere bekende SaaS-spelers zijn Cisco WebEx Collaboration, Citrix GoToMeeting, Dimdim, Google Apps, Microsoft Office Live, Oracle Cloud Office, Zimbra en Zoho. Een andere constatering is dat SaaS nu al realiteit is. Legenda: 1 = Billing 2 = Collaboration 3 = Content/documentmanagement 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 73% 6% 10% 10% 44% 48% 8% 23% 25% 15% 17% 21% 4 = ERP 5 = Financials 6 = HRM 7 = Projectmanagement 73% 71% 8% 8% 10% Niet 8 = Sales 9 = Security 10 = Social networks Figuur 2. Wanneer verwacht men SaaS voor het eerst in te zetten en voor welk domein? PaaS Ook bij platform as a service is de definitie van Cloud Taxonomy aangehouden. PaaS wordt als volgt gedefinieerd: Delivery of a virtualized application runtime platform that has a software stack for developing applications or application services. PaaS applications and infrastructure are run and managed by the services vendor. Van de dienstverleningsmodellen is PaaS de jongste verschijningsvorm. Voorbeelden zijn: Microsoft Azure Services Platform, Google App Engine, Force.com door Salesforce. com, VMforce.com en Amazon Web Services. PaaS bleek in 2010 met name te worden ingezet voor schaalbare databasesystemen. Platformen voor softwareontwikkeling en testen komen in 2011 duidelijk in zwang: 22 procent van de respondenten geeft aan in 2011 cloudplatformen te gaan gebruiken. Een beleidsmedewerker van een overheidsinstelling gaf aan terughoudend te 10% 6% 13% 65% 6% 15% 15% 44% 19% 21% 17% 63% 15% 6% 17% 77% 4% 8% 10% 44% 6% 19% 31% zijn over zowel PaaS- als SaaS-dienstverleningsmodellen: SaaS en PaaS kunnen tot een complete vendor lock-in leiden, omdat deze leveranciers bedrijfseigen, proprietary interfaces (API s) gebruiken. Er is een gebrek aan standaards, de kosten om te switchen kunnen hoog zijn wanneer je er eenmaal aan vastzit. IaaS Infrastructure as a service is gedefinieerd als: Delivery of raw, virtualized computing infrastructure such as servers- and storage-as-a-service to build applications. IaaS vendors let enterprises customize infrastructure to their application needs. IaaS is een relatief nieuwe tak van sport in Nederland. Het wordt momenteel volop betrokken bij de formulering van sourcingsstrategieën en aangehaald voor OTA-omgevingen en back-up & disaster recovery. Veel ondernemingen en overheidsinstanties zijn al bezig om hun infrastructuur te virtualiseren wat een goede stap is richting IaaS cloudworks - februari 2011 februari cloudworks - 13

6 niet Business intelligence 10% 12% 8% 71% Database 18% 16% 12% 55% Development & testing 8% 22% 12% 59% Integratie 10% 14% 8% 69% Figuur 3. Wanneer verwacht men PaaS voor het eerst in te zetten en voor welk domein? (Door afrondingen en overlap zijn totalen niet altijd 100 procent.) niet Back-up & disaster recovery 24% 14% 14% 49% Cloud brokers 2% 6% 12% 80% IT-servicemanagement 12% 12% 14% 63% Servers 29% 22% 14% 35% Storage 27% 24% 16% 33% Virtuele werkplekken 29% 20% 22% 29% Figuur 4. Wanneer verwacht men IaaS voor het eerst in te zetten en voor welk domein? Bij IaaS is de klant in veel gevallen zelf verantwoordelijk voor onder andere uitgifte van virtuele machines, beveiliging, applicatiemanagement en netwerkmonitoring. Het is dan ook zaak om hier bij de vormgeving van businesscases en tijdens due diligence maar ook tijdens de uitvoering van de pilot rekening mee te houden. De indruk leeft overigens dat grote ict-leveranciers in Nederland met name zoekende zijn naar hun onderscheidend vermogen in de cloud ten opzichte van traditionele cloudleveranciers als Amazon Elastic Compute Cloud (EC2), AppLogic, Google Storage for Developers, en Rackspace JungleDisk. Publicaties De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek naar cloud computing in Nederland. Artikel 1 verschenen in CloudWorks nr 6/2010 De achtergrond van de respondenten, de status van de introductie van cloud computing in hun organisaties, en de bijbehorende investeringsplannen. Artikel 2 in dit nummer De keuzes van de respondenten waar het gaat om de inrichtingsvormen public, hybride versus private cloud en de dienstverleningsmodellen SaaS, PaaS en IaaS. Kritieke bedrijfsprocessen worden niet ver-saas-t De onderzoeksresultaten laten een brede toepassing zien van IaaS (servers, storage, back-up & disaster recovery). Opvallend is dat de toepassing van ITservicemanagementtools om cloudinfrastructuren te beheren verhoudingsgewijs achterloopt. Deze tools bieden functies aan die cloudproviders niet bieden of zijn gespecialiseerd in het beheer van bepaalde applicatietechnologieën. Een voorbeeld hiervan is Ylastic om Amazon Web Services makkelijker te beheren. Artikel 3 in CloudWorks nr 2/2011 Waarom overweegt men cloud computing? Welke drempels zijn er als het gaat om de toepassing van cloud computing? Artikel 4 in CloudWorks nr 3/2011 Juridische aspecten van cloud computing, met name op het gebied van data in de cloud. (Mogelijk gevolgd door een vijfde artikel, eveneens van juridische aard.) Dit voorjaar geven CloudWorks, Quint Wellington Redwood en Hogan Lovells een boekje uit, met daarin deze artikelenreeks, plus de uitgebreide onderzoeksresultaten. Wanneer u belangstelling hebt voor dit boekje, kunt u een mail sturen naar Arnoud van Gemeren, uitgever van CloudWorks (arnoud@ cloudworks.nu). Conclusie Uit de onderzoeksresultaten en verdiepingsinterviews komt naar voren dat grote organisaties en overheidsinstellingen een grotere voorkeur hebben voor private clouds of een hybride inrichtingsvorm. Het MKB durft en kan sneller schakelen naar de public cloud. Gezegd dient te worden dat zij ook relatief sneller voordeel halen uit de cloud, kijkend naar beperktere budgetten en -kennis om volledig zelf de IT-dienstverlening te leveren, beperkte aanwezigheid van legacy en de wereldwijd geboden flexibiliteit indien men gebruikmaakt van de cloud. Alle drie de dienstverleningsmodellen (SaaS, PaaS en IaaS) worden geadopteerd. IaaS lijkt hierbij het meest populair. Het derde artikel in deze reeks zal in het teken staan van de drijfveren en drempels voor cloud computing. CW Noten 1 Zie opencrowd.com/. Frank de Vries (F.de.Vries@quintgroup. com) is partner bij Quint Wellington Redwood, een bureau voor organisatieadvies op het raakvlak van organisatie en IT. Arnoud van Gemeren (arnoud@cloudworks. nu) is uitgever van CloudWorks cloudworks - februari 2011

7 cloud computing in Nederland (3) Onderzoek Drempels en drijfveren Eind vorig jaar voerde CloudWorks, in samenwerking met het organisatieadviesbureau Quint Wellington Redwood en het advocatenkantoor Hogan Lovells, een onderzoek uit naar het gebruik en de acceptatie van cloud computing in ons land. 54 bedrijven en instellingen verleenden hun medewerking aan de enquête en de verdiepingsinterviews. Hierin werden zowel IT- als financiële en juridische aspecten aan de orde gesteld. De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek. In deze derde aflevering staan de argumenten voor en tegen cloud computing centraal. Door Frank de Vries en Arnoud van Gemeren Argumenten tegen cloud computing lotprojecten uit. 29 procent houdt zich bezig met de ontwikkeling en operationalisering van niet-kritieke cloudtoepassingen en 25 procent durft dit zelfs al aan met bedrijfskritieke applicaties. De investeringen zijn voor het merendeel Percentage Privacy van gegevens 42.5% Angst voor afhankelijkheid leverancier 33.3% Geboden niveau van informatiebeveiliging 31.4% Ontbreken van wet- & regelgeving 27.7% Onze huidige omgeving is nog niet geschikt 22.2% Systemen niet willen delen met andere partijen (multi-tenancy) 20.3% Gebrek aan kennis 18.5% Onvoldoende in staat om dit zelf te regisseren 18.5% Geboden dienstverleningsniveaus sluiten niet aan op wensen 16.6% Onvoldoende mogelijkheden tot parametrisering of maatwerk 16.6% Voldoet niet aan toepasselijke wet- & regelgeving 14.8% Ontbreken van marktstandaards 14.8% Noodzaak upgraden netwerkcapaciteit 12.9% Beperking van innovatie 5.5% Niet door onszelf ontwikkeld 1.8% Noodzaak investeren in application delivery/network traffic management 1.8% Ander 20.3% Figuur 1. Percentage respondenten dat op grond van een specifiek argument niet voor cloud computing zou kiezen (respondenten is gevraagd een of meerdere argumenten te selecteren). van de respondenten nog bescheiden, maar groeien de komende jaren gestaag door. Maar waarom kiest men voor de cloud of juist niet? Waarom niet? Er zijn behoorlijk wat argumenten tegen cloud computing aan te dragen. Vaak hebben die argumenten te maken met de relatieve onvolwassenheid van deze markt. Hiaten in het aanbod van leveranciers en de technologie moeten nog worden ingevuld. Er bestaat een bezorgdheid over leveranciersafhankelijkheid en de beveiliging van gegevens. De vraag is hoe zwaar deze argumenten wegen in de ogen van de respondenten. Het zwaarste argument tegen cloud computing blijkt met ruim 40 procent zonder meer de bewaking van de privacyrechten te zijn. Met name grote ondernemingen en overheidsinstellingen willen hun bedrijfskritieke of privacygevoelige gegevens niet in de public cloud hebben en kiezen mede daardoor liever voor een private of hybride variant. Bij het MKB weegt het privacyaspect minder zwaar en geven de te realiseren kostenvoordelen de doorslag. Clouds waarin allerlei data van bedrijven, maar in het bijzonder ook de clouds Uit het onderzoek blijkt dat twee derde van de respondenten zich oriënteert op cloud computing, dat wil zeggen: de markt volgt en verkennende gesprekken met leveranciers voert. Ruim 40 procent van de respondenten voert reeds piwaarin vooral data van personen worden verwerkt, trekken de aandacht van privacywaakhonden. Data wordt namelijk op vele manieren gebruikt en niet zelden grenzeloos opgeslagen zonder dat het precies duidelijk is wat er in welk land met de data gebeurt. Binnen de Europese Unie is de privacywetgeving geharmoniseerd. Dat betekent dat als in een van de landen van de EU aan de wettelijke voorwaarden voor de verwerking van data is voldaan, vrij verkeer van data mogelijk is van en naar de andere landen van de EU. De EU heeft deze vrijheid uitgebreid voor uitwisseling van data binnen enkele andere landen, waaronder alle landen van de Europese Economische Ruimte (EER). Dit zijn de EU-landen aangevuld met IJsland, Liechtenstein en Noorwegen. Het probleem ontstaat echter wanneer data buiten deze landen wordt opgeslagen of verwerkt. (In het volgende artikel van deze reeks gaan we verder in op het juridische aspect van de bescherming van informatie.) Direct gelinkt aan het privacyargument komt met ruim 30 procent het geboden niveau van informatiebeveiliging. Informatiebeveiliging, of liever gezegd een gebrek daaraan, wordt in de praktijk vaak als argument gebruikt tegen cloud computing. Dit argument blijkt het meest aangevoerd te worden door met name grote organisaties en overheidsinstellingen. In de verdiepingsinterviews geeft het MKB aan waarschijnlijk vooruit te gaan op het geboden niveau van informatiebeveiliging bij gebruikmaking van de cloud. Dit, gegeven de beperkte kennis en investeringsruimte die zij zelf hebben in vergelijking tot veel cloudleveranciers. De reputatieschade van een beveiligingsincident wordt voor een cloudleverancier daarbij groter geacht dan voor één individuele klant. Goede beveiliging biedt een cloudleverancier onderscheidend vermogen, aldus een chief security technology officer van een wereldwijd opererende netwerkleverancier. De klant heeft zelf echter ook iets te doen. Helemaal omdat plaats-, tijd- en 10 - cloudworks - maart 2011 maart cloudworks - 11

8 apparaatonafhankelijk kunnen werken, tevens voor veel organisaties hoog op de agenda staat. Beveiliging op alleen het netwerkniveau wordt bij cloud computing als niet meer toereikend gezien. De angst voor leveranciersafhankelijkheid wordt met ruim 30 procent tevens als een belangrijk tegenargument gezien. Leveranciersafhankelijkheid komt voor bij alle drie de clouddienstverleningsmodellen. Bij software as a service betreft het lock-in op dataniveau; bij platform as a service betreft het lock-in op application programming interfaces (API s) en componentniveau. Bij infrastructure as a service kan het lock-in aangaande controle over en beheer van virtuele machines betreffen, maar ook (on)haalbaarheid van het naar buiten trekken van gegevens uit de cloud via internet. De lock-in is grosso modo het grootst bij SaaS en het kleinst bij IaaS. Andersom dienen organisaties meer onderhoud en kennis binnenshuis te hebben bij IaaS dan bij SaaS. Verder signaleren we een breed scala aan argumenten tegen, die telkens voor een minderheid van de respondenten belangrijk zijn. Waarom wel? Kijkend naar de antwoorden van de respondenten, valt een aantal hoofdstromen te ontdekken die we hierna zullen bespreken. De hoogste score is weggelegd voor reductie en flexibilisering van kosten. De verwachte kostenreductie en de vervanging van kapitaalinvesteringen (CAPEX) Argumenten voor cloud computing Het zwaarste argument tegen cloud computing is zonder meer het privacyaspect door operationele uitgaven (OPEX) oefent voor ruim 60 procent van de respondenten een grote aantrekkingskracht uit. De huidige economie maakt cloud computing aantrekkelijk voor organisaties die werk moeten uitvoeren maar geconfronteerd worden met een te klein IT-budget. De introductie van serviceportalen, doorbelasting aan de eindgebruiker, en flexibele op- en afschakeling van capaciteit hebben tevens een positief effect op het bewuste gebruik en derhalve uitnutting van het ITbudget van de organisatie. Niet ver daarna komt met ruim 55 procent het elasticiteitsaspect van cloud computing, ofwel het pay as you go -karakter ervan. Cloud computing stelt ondernemingen in staat om hun businessmodel, producten en diensten sneller aan te passen. Het maakt dienstverlening flexibeler en efficiënter in vergelijking tot traditionele IT-omgevingen. SaaS-applicaties kunnen bijvoorbeeld in een fractie van de tijd worden ingezet in vergelijking tot de benodigde tijd van traditionele on-premiseapplicaties. IaaSresources kunnen direct gebruikt worden, zonder traditioneel inkoopproces en uitvoerig installatie- en testproces. Percentage Kostenreductie en -flexibiliteit 60.3% Eenvoudige schaalbaarheid 56.6% Vereenvoudiging onderhoud hardware en software 47.1% Onderdeel bedrijfsstrategie (beperken tot kernactiviteiten) 45.2% Regelen van continuïteit / disaster recovery 20.7% Kennisgebrek / personeelsgebrek (vergrijzing) 13.2% Voorkomen van langdurige migratieprojecten 9.4% MVO (green IT) 7.5% Uitfaseren legacy 5.6% Ander 15.0% Figuur 2. Percentage respondenten dat op grond van een specifiek argument voor cloud computing zou kiezen (respondenten is gevraagd een of meerdere argumenten te selecteren). Circa 45 procent geeft aan dat een bedrijfsstrategie van beperken tot kernactiviteiten een argument voor cloud computing is. Hier draait het dus om een afweging ten aanzien van sourcing. Veel organisaties heroverwegen periodiek hun benadering van het sourcingsvraagstuk. Strategische sourcing omvat meer dan alleen uitbesteding: het richt zich vooral op de optimale inzet van mensen en middelen binnen en tussen organisaties. Een adjunct-directeur van een verzekeringsconcern gaf het volgende aan: We voelden er niets voor om opportunistisch een aantal keuzes ten aanzien van sourcing te maken. Zoiets doe je voor een periode van meerdere jaren. Bovendien moet sourcing bij het bedrijf en vooral de maturity van de business passen. Je kunt je behoorlijk in de vingers snijden als je niet datgene krijgt wat je nodig hebt. We hebben ervoor gekozen om op een gedegen manier de sourcingsstrategie vorm te geven. Opvallend laag scoren uitfaseren van legacy en het voorkomen van langdurige migratietrajecten, aangegeven door respectievelijk 5,6 procent en 9,4 procent van de respondenten. Blijkbaar wordt de cloud niet ingezet om snel van oud zeer af te kunnen komen. Kennis- of personeelsgebrek al of niet in relatie tot de oprukkende vergrijzing speelt ook niet zo n grote rol met een score van 13 procent. De oplossing voor het recent in de pers breed uitgemeten potentiële gebrek aan ict ers en de verwachte druk op de Nederlandse kenniseconomie wordt nog niet herkend in cloud computing. Dit is een opvallende uitkomst, omdat anderzijds maar liefst 47,1 procent van de respondenten op zoek is naar vereenvoudiging van het onderhoud aan hardware en software. Mogelijk is dit meer een kostenkwestie dan een gebrek aan deskundige medewerkers. Een van de hekkensluiters als argument voor cloud computing is green IT. De relatieve energiezuinigheid van de grootschalige cloudomgevingen bij providers wordt blijkbaar nog niet vaak aangegrepen om maatschappelijk verantwoord ondernemen voor wat betreft het energiegebruik van IT te realiseren. Drie perspectieven Vanuit het perspectief dat de bezwaren tegen cloud sourcing kunnen worden overwonnen, is het belangrijk dat organisaties die nu of in de toekomst gebruik wensen te maken van de mogelijkheden van cloud sourcing, zich hierop gaan voorbereiden. Uit de praktijk blijkt dat deze voorbereiding in ieder geval gericht moet zijn op de organisatorische inbedding van clouddiensten vanuit drie perspectieven: architectuur, sourcingsstrategie en regievoering. Cloud onder architectuur Een belangrijke stap in de voorbereiding op de cloudevolutie is nadenken over een gedegen architectuur. Om ervoor te zorgen dat gevraagde diensten en bijbehorende performance ook in de toekomst gehaald worden tegen optimale kosten met maximale flexibiliteit, is het belangrijk het (gewenste) bedrijfsproces en IT-landschap te beschrijven in een enterprisearchitectuur, zodat cloud sourcing ingepast kan worden. Zeker bij organisaties die kiezen voor een hybride inrichtingsvorm (57 procent van de respondenten), zal heel bewust gekeken moeten worden naar aandachtsgebieden als integratie, portabiliteit, interoperabiliteit, toepassing van standaarden, latency en redundantie. Informatiebeveiliging verdient hierbij extra aandacht. Voorheen werd een grote muur geplaatst rondom de IT-infrastructuur van de organisatie. Bij cloud sourcing moet echter de bedrijfsinfrastructuur een opener karakter krijgen om diensten uit de cloud te kunnen combineren met de eigen IT-voorzieningen. De bestaande beveiligingskaders zullen vaak vanwege verouderde principes aangepast moeten worden. Concreet zal de muur rondom organisaties vervangen moeten worden door gerichte beveiliging van de aparte onderdelen van de informatievoorziening. Kennis van het applicatielandschap is hiervoor onontbeerlijk. Dit proces van gerichte beveiliging wordt deperimetrisatie of eindpuntbeveiliging genoemd. Een gegevenshuishouding in de cloud vereist dat een organisatie haar identity, authenticatie- en accessmanagement op orde heeft en dat die vormen van management geïntegreerd zijn in die van de cloudleverancier. Cloudsourcing als onderdeel van sourcingsstrategie Bij de formulering van een sourcingsstrategie maakt men bewust een afweging tussen het zelf leveren dan wel het uitbesteden van dienstverlening. Hierbij zijn kwaliteit, flexibiliteit, kosten en risico s terugkerende onderwerpen. Clouddiensten moeten worden ingepast in het palet van in en uit te besteden diensten. De eerdergenoemde enterprisearchitectuur dient als richtinggevend kader voor de wijze van inpassen van clouddiensten als onderdeel van een toekomstbestendige sourcingsstrategie. Het gebruik van architectuur behoedt organisaties voor significante risico s als het gaat om eventuele introductie van nieuwe diensten, releases en wijzigingen in het deels gecloudsourcete IT-landschap. De selectie van mogelijke clouddiensten en -leveranciers verschilt in de kern niet van de aanpak van meer traditionele uitbestedingen. Wat wel veranderd is, is het traditionele leveranciersveld dat is aanzienlijk vergroot en ook heeft cloudsourcing gevolgen voor de contractering. De wijze van integratie van de clouddiensten en ook de gekozen clouddienstverleningsmodellen (SaaS, PaaS en IaaS) kennen hun specifieke juridische aandachtspunten. Afhankelijk van het model verdienen onderwerpen als privacyrechten, geschillenbeslechting, impact van leveranciersafhankelijkheid, exitmogelijkheden en licentie-eigendom extra aandacht. Regie en management van clouddiensten Cloudsourcing vraagt, net als traditionele IT-dienstverlening om regievoering vanuit de afnemende organisatie. Het wordt een kunst om een balans te vinden tussen enerzijds de snelheid en flexibiliteit die het gebruik van cloudsourcing biedt aan eindgebruikers, en anderzijds de noodzaak om vanuit IT-management toch de vinger aan de pols te houden en indien nodig zelfs bij te sturen als het gaat om zaken als beveiliging, integratie, portabiliteit en interoperabiliteit. Het vinden en vooral behouden van de balans vraagt om een goede voorbereiding. Onder het motto regeren is vooruitzien moeten de clouddiensten vooraf worden ingepast in het dienstverleningsmodel, in de bijbehorende producten- en dienstencatalogus (met af te nemen IT-producten en -diensten) en in gerelateerde kosten(doorbelastings) cloudworks - maart 2011 maart cloudworks - 13

9 modellen. Door dit goed op elkaar af te stemmen is het mogelijk de voordelen van de cloud (lage kosten, snelle levering en maximale schaalbaarheid) te combineren met de noodzaak om overzicht op en beheersbaarheid van het totale IT-landschap te behouden. Behalve het inpassen van clouddiensten richting de gebruiker is het belangrijk de (toe)levering van deze diensten ook in te passen in de bestaande beheerorganisatie die verantwoordelijk is voor het gehele IT-landschap. De uitvoering van processen als configuratie-, beschikbaarheids- en capaciteitsmanagement verandert omdat (delen van) de IT-diensten vanuit een cloud (en dus extern) geleverd worden. Daar waar clouddiensten in samenhang met interne IT-diensten worden geleverd bijvoorbeeld applicaties gehost vanuit een IaaS-omgeving moet de beschikbaarheid van de end-toenddienstverlening toch kunnen worden geborgd en worden gemonitord. Niet iedere cloudleverancier biedt rapportagefunctionaliteit of servicemanagementtooling aan als onderdeel van zijn diensten. Dit in tegenstelling tot de meer traditionele leveranciers. De onderzoeksresultaten laten zien dat de door cloudleveranciers aangeboden servicemanagementfunctionaliteit inderdaad achterloopt. Inmiddels springen bedrijven in op deze behoefte. Een Publicaties De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek naar cloud computing in Nederland. Artikel 1 verschenen in CloudWorks nr. 6/2010 De achtergrond van de respondenten, de status van de introductie van cloud computing in hun organisaties en bijbehorende investeringsplannen. Artikel 2 verschenen in CloudWorks nr. 1/2011 De keuzes van de respondenten waar het gaat om de inrichtingsvormen public, hybride versus private cloud en de dienstverleningsmodellen SaaS, PaaS en IaaS. Privacy is een van de reden waarom mensen weerstand hebben tegen cloud computing. Denk na over de regie van de dienstverlening na de inrichting voorbeeld hiervan is Ylastic, een (via de cloud) aangeboden tool voor het beheer van Amazon Web Services. TEN SLOTTE De cloud biedt veel voordelen, maar evenzoveel nadelen en onzekerheden. Wereldwijde cloudstandaarden beginnen zich langzaam te ontwikkelen. Nederlandse leveranciers herpositioneren Artikel 3 in dit nummer Waarom overweegt men cloud computing? Welke drempels zijn er als het gaat om de toepassing van cloud computing? Artikel 4 in CloudWorks nr. 3/2011 Juridische aspecten van cloud computing, met name op het gebied van data in de cloud. Artikel 5 in CloudWorks nr. 4/2011 Over contractuele aspecten van cloud computing. Dit voorjaar geven CloudWorks, Quint Wellington Redwood en Hogan Lovells een boekje uit, met daarin deze artikelreeks, plus de uitgebreide onderzoeksresultaten. Wanneer u belangstelling hebt voor dit boekje, stuurt u dan een mail naar Arnoud van Gemeren, uitgever van CloudWorks (arnoud@ cloudworks.nu). zich in lijn met de ontwikkelingen die de cloudevolutie met zich meebrengt. Licentievoorwaarden worden beter afgestemd op de cloud, delivery- en afrekenmodellen worden verfijnd. Zakelijke gebruikers beginnen zich te roeren door de aandacht die het onderwerp krijgt. De Tweede Kamer heeft daarnaast de regering verzocht voor de hele Nederlandse overheid een strategie voor cloudsourcing te ontwikkelen. Inmiddels worden de mogelijkheden voor de inrichting van een overheidscloud geïnventariseerd. Zakelijke gebruikers doen er goed aan zich alvast voor te bereiden op de cloudevolutie. Niet om per se morgen al volledig over te gaan naar de cloud, wel om het concept en de mogelijkheden (en bezwaren) ervan zo snel mogelijk te begrijpen en te zorgen dat men er klaar voor is om voordelen te oogsten. Architectuur, sourcingsstrategie en inrichting van regie zijn hierbij de primaire aandachtsgebieden. Het vierde artikel in deze reeks staat in het teken van juridische aspecten van cloud computing. CW Frank de Vries (F.de.Vries@quintgroup. com) is partner bij Quint Wellington Redwood, een bureau voor organisatieadvies op het raakvlak van organisatie en IT. Arnoud van Gemeren (arnoud@cloudworks.nu) is uitgever van CloudWorks cloudworks - maart 2011

10 Zodra er sprake is van tot natuurlijke personen te herleiden gegevens, is er sprake van persoonsgegevens. In nogal wat toepassingen van cloud computing is er sprake van verwerking van zulke gegevens. Op de verwerking van persoonsgegevens is specifieke privacywetgeving van toepassing. Afgelopen najaar voerde CloudWorks, in samenwerking met het organisatieadviesbureau Quint Wellington Redwood en het advocatenkantoor Hogan Lovells, een onderzoek uit naar de acceptatie van cloud computing, waarbij onder meer aandacht werd besteed aan bekendheid met privacywetgeving. In dit artikel wordt aan de hand van dit onderzoek een aantal aspecten van deze wetgeving nader belicht. Door Rik Zagers, advocaat bij advocatenkantoor Hogan Lovells Onderzoek Onderzoek cloud computing in Nederland (4) Privacybeleid van providers onvoldoende bekend Bij een vraag wat iemand zou kunnen weerhouden van het toepassen van cloud computing, geeft 43 procent van de respondenten aan dat privacyaspecten daarbij een rol kunnen spelen. Daarnaast geeft 28 procent aan dat het ontbreken van wet- en regelgeving een mogelijke belemmering vormt. Ongeacht of deze angst terecht is of niet, zijn er wettelijke aspecten van toepassing. Toepasselijkheid wetgeving Om te zien of privacywetgeving van toepassing is, is het van belang te weten of er persoonsgegevens worden verwerkt. Onder een persoonsgegeven wordt ieder gegeven verstaan dat tot een natuurlijke persoon te herleiden is. Daar komt nog bij dat de wetgeving over de bescherming van persoonsgegevens al van toepassing is op een verzameling gegevens zodra in die verzameling ook maar één persoonsgegeven voorkomt. Een gegeven is hiermee al snel een persoonsgegeven. Ook verwerking is voor de wetgever een ruim begrip. Het is niet nodig dat er sprake moet zijn van allerlei complexe bewerkingen voordat er sprake is van een verwerking. Alleen al opslag van gegevens in een database valt onder het begrip verwerken. De respondenten lijken goed te weten of er in hun geval sprake is van verwerking van persoonsgegevens in cloudtoepassingen. Slechts ruim 7 procent van de respondenten geeft aan dat niet te weten zie figuur 1. Nee 46.2% Ja 44.4% Weet niet 7.4% Geen antwoord 1.8% Rechten en plichten De respondenten lijken zich er ook goed van bewust dat de Wet bescherming persoonsgegevens (Wbp) regels geeft voor het verwerken van persoonsgegevens. 70 procent van de respondenten geeft aan dat hun organisatie zich bij het verwerken van persoonsgegevens conformeert aan de Wbp. 6 procent van de respondenten weet dat zij slechts gedeeltelijk aan de Wbp voldoet. 13 procent weet het niet. Toch is maar 35 procent van de respondenten bekend met de rechten en plichten die de aanbieder van de clouddiensten heeft. 58 procent van de respondenten is zich hiervan niet bewust. Om vast te stellen wat de rechten en de plichten zijn, is het allereerst nodig om te bepalen wat de onderlinge rolverdeling is van de partijen bij een cloudtoepassing. De Wbp legt de meeste verplichtingen op aan de zogenaamde verantwoordelijke van de verwerking. In de breedste zin kunnen deze verplichtingen zo worden samengevat dat de verantwoordelijke voor de verwerking een passend beschermingsniveau moet aanbieden. Tot de verplichtingen behoren onder andere de meldplicht bij het College bescherming persoonsgegevens, het informeren van de betrokkenen dat is iedereen van wie persoonsgegevens worden verwerkt en wijzen op en aanbieden van de mogelijkheid de persoonsgegevens te wijzigen, en het zorgen voor beveiligingsmaatregelen. Figuur 1: De mate waarin er bij de respondenten sprake is van verwerking of opslag van persoonsgegevens in cloudtoepassingen of -omgevingen. april cloudworks - 13

11 Als de verwerking van de persoonsgegevens buiten de EU plaatsvindt, moet de verantwoordelijke ervoor zorgen dat hij over de eventueel benodigde vergunning beschikt. Privacybeleid Alhoewel de afnemer van de clouddiensten veelal de verantwoordelijke is in de zin van de Wbp (zie het kader Verantwoordelijke en bewerker ), en er daarom op de afnemer van de clouddiensten de meeste verplichtingen rusten die voortvloeien uit de Wbp, geeft een krappe meerderheid van 52 procent tegen 46 procent van de respondenten aan niet te weten wat het privacybeleid is van hun aanbieder van cloudcomputingdiensten. Daarnaast geeft 41 procent aan niet te weten of er sprake is van passende maatregelen in geval van een incident dat de privacy of de veiligheid beïnvloedt. 37 procent is hier wel zeker van. In deze laatste categorie is er een gelijke verdeling van zij die een inspanningsplicht hebben afgesproken met hun aanbieder van clouddiensten, en zij die een resultaatverplichting hebben afgesproken. In dit verband kan worden opgemerkt dat de Wbp eist dat de privacy wordt gewaarborgd en niet dat men daar alleen zijn best voor doet. Van de respondenten geeft ruim 7 procent aan dat de aanbieder van clouddiensten zelf iets met de persoonsgegevens in de cloud doet. Dit is op zichzelf niet verboden, maar de verantwoordelijke dat is doorgaans de afnemer van de clouddiensten heeft wel de verplichting aan de betrokkenen te informeren dat er buiten zijn blikveld nog een en Ruim de helft van de respondenten kent het privacybeleid van zijn cloudaanbieder niet Verantwoordelijke en bewerker In de zin van de Wbp is de verantwoordelijke degene die het doel en de middelen van de verwerking van de persoonsgegevens vaststelt. Doorgaans is dat de afnemer van de cloudtoepassingen. Als de aanbieder van de cloudtoepassing met de persoonsgegevens in de cloud eigen verwerkingen doet en andere toepassingen vindt, is de aanbieder van de cloudtoepassing voor die verwerkingen de verantwoordelijke. De meeste regels betreffen de verantwoordelijke, maar de Wbp stelt ook enkele regels aan de zogenaamde bewerker. De bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan het rechtstreekse gezag van de verantwoordelijke te zijn onderworpen. In cloudtoepassingen zal doorgaans de aanbieder van clouddiensten de bewerker zijn in de zin van de Wbp. ander gebeurt met de persoonsgegevens. Daarnaast is voor die extra verwerking de aanbieder van de clouddiensten zelf de verantwoordelijke, met alle verplichtingen van dien. 52 procent van de respondenten heeft afgesproken dat de afnemer van de clouddiensten zelf niets met de persoonsgegevens mag doen. Toch nog altijd 37 procent van de ondervraagden weet het antwoord op deze vraag niet. Hoewel de afnemer van de clouddiensten veelal de verantwoordelijke is in de zin van de Wbp, en er daarom op de afnemer van de clouddiensten de meeste verplichtingen rusten die voortvloeien uit de Wbp, geeft een krappe meerderheid van 52 procent tegen 46 procent van de respondenten aan niet te weten wat het privacybeleid van hun cloudleverancier is. Europese richtlijn De Wbp is de Nederlandse implementatie van een Europese richtlijn. De andere EU-landen hebben deze richtlijn ook geïmplementeerd. Deze opzet zorgt ervoor dat in ieder EU-land vrijwel dezelfde privacyregels gelden. De EU heeft naast de resterende landen van de Europese Economische Ruimte nog maar van een klein aantal andere landen aangegeven dat deze landen een voldoende beschermingsniveau voor de bescherming van de persoonsgegevens bieden 1. Zodra persoonsgegevens worden verwerkt buiten de EU of dat kleine aantal landen dat een passend beschermingsniveau biedt, zijn er extra regels. In het algemeen heeft de verantwoordelijke een vergunning nodig om de persoonsgegevens te mogen verwerken buiten de EU en het kleine aantal door de EU aangewezen landen. Voor bewerkers uit de Verenigde Staten geldt nog dat aangenomen wordt dat deze een passend beschermingsniveau bieden als zij over de zogenaamde Safe Harbor - verklaring beschikken die afgegeven wordt door het Amerikaanse Ministerie van Handel. Overigens kan het ook nog eens zo zijn dat naast de Nederlandse wetgeving, ook nog de privacywetgeving van toepassing is van het land waar de verwerking plaatsvindt. Bij de public cloud is het vaak niet duidelijk in welke landen de verwerking precies plaatsvindt. In private of hybride varianten is dit overigens vaak beter inzichtelijk dan wel afdwingbaar. Toch is het voor de afnemer van de clouddiensten die doorgaans verantwoordelijk zal zijn en op wie dus de meeste verplichtingen rusten van belang van de leverancier te weten in welke landen de persoonsgegevens worden verwerkt of mogelijk worden verwerkt. De afnemer van de clouddiensten kan dan immers een vergunning aanvragen voor de verwerking in die landen. 40,7 procent van de respondenten geeft aan dat dergelijke afspraken ook daadwerkelijk zijn gemaakt. 25,9 procent geeft echter aan dat dergelijke afspraken niet zijn gemaakt en nog eens 25,9 procent van de respondenten weet niet of deze afspraken zijn gemaakt. Op de vraag of men een vergunning heeft als vaststaat dat de verwerking plaatsvindt in een land buiten de EU of in een land waarvan vaststaat dat het geen passend beschermingsniveau biedt, antwoordt toch maar 5,5 procent van de respondenten bevestigend. 27,7 procent van de respondenten heeft een dergelijke vergunning niet. Maar liefst 51,8 procent van de respondenten weet het niet. De afnemer van clouddiensten is zoals gezegd doorgaans de verantwoordelijke. Het is om die reden aan te raden om als afnemer bij de leverancier een controle- of auditmogelijkheid op het naleven van de privacywetgeving te bedingen. 42,5 procent van de respondenten heeft afgesproken dat een dergelijke audit ook mogelijk is, 9,2 procent niet en 40,7 procent van de respondenten weet niet of hierover afspraken zijn gemaakt. Conclusie Over de bekendheid met de wetgeving ten aanzien van de privacy van persoonsgegevens laat het onderzoek grofweg een tweedeling zien. Een grote groep van de respondenten van het onderzoek geeft aan goed op de hoogte te zijn van hun wettelijke verplichtingen die rusten op de verwerking van persoonsgegevens in hun cloud-computingtoepassing. Daarnaast is er een ongeveer even grote groep respondenten die wat dat Weet niet 40.7% Ja, met inspanningsplicht 18.5% Ja, met resultaatverplichting 18.5% Nee 9.2% Anders 7.4% Geen antwoord 5.5% Publicaties De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek naar cloud computing in Nederland. Artikel 1 verschenen in CloudWorks nr. 6/2010 De achtergrond van de respondenten, de status van de introductie van cloud computing in hun organisaties en de bijbehorende investeringsplannen. Artikel 2 verschenen in CloudWorks nr. 1/2011 De keuzes van de respondenten waar het gaat om de inrichtingsvormen public, hybride versus private cloud en de dienstverleningsmodellen SaaS, PaaS en IaaS. Artikel 3 verschenen in CloudWorks nr. 2/2011 Waarom overweegt men cloud computing? Welke drempels zijn er als het gaat om de toepassing van cloud computing? Artikel 4 in dit nummer Juridische aspecten van de bescherming van persoonsgegevens in de cloud. Artikel 5 in CloudWorks nr. 4/2011 Over de contractuele aspecten van cloud computing. betreft nog een slag te maken heeft. In het volgende artikel over de bekendheid van de juridische aspecten van cloud computing zal het contracteren worden belicht. CW Noten: 1 Dat zijn Andorra, Argentinië, Canada, Guernsey, Island of Man, Israël, Jersey, Uruguay en Zwitserland. Figuur 2. Antwoorden van de respondenten op de onderzoeksvragen: Zijn er processen die passende maatregelen ondersteunen, in geval van een incident dat de privacy of veiligheid beïnvloedt? Is er sprake van een inspanningsplicht aan de zijde van de leverancier, of een resultaatverplichting? 14 - cloudworks - april 2011 april cloudworks - 15

12 cloud computing in Nederland (5) Nog veel te winnen bij contractering Onderzoek Voor cloud computing bestaat geen specifieke wet- en regelgeving. Dit betekent dat de rechtsverhouding tussen de aanbieder en de afnemer van clouddiensten vrijwel geheel wordt bepaald door het contract dat beide partijen zijn aangegaan. Maar waar moet een afnemer van cloud-computingdiensten zoal rekening mee houden en dus afspraken over maken? Is algemeen bekend wat in een contract over clouddiensten zoal zou moeten worden vastgelegd, of moet er nog een en ander aan de bewustwording worden gedaan? Afgelopen najaar voerde CloudWorks, in samenwerking met het organisatieadviesbureau Quint Wellington Redwood en het advocatenkantoor Hogan Lovells, een onderzoek uit naar het gebruik en de acceptatie van cloud computing in ons land. Hierin werden zowel IT- als financiële en juridische aspecten aan de orde gesteld. De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek. In deze vijfde aflevering worden een aantal aspecten rondom contracteren nader belicht. Door Rik Zagers en Frank de Vries Bij het aangaan van de contractuele relatie over clouddiensten is het van belang wat de onderhandelingspositie is van partijen. Zo zal een kleinere partij vaak genoegen moeten nemen met het standaardcontract of de standaardbepalingen van een grotere partij. Daarbij speelt overigens ook de inrichtingsvorm een rol (private, hybride, public) maar ook de mate van standaardisatie van de geboden dienst. Hoe meer men neigt naar een private cloud, hoe meer men contractueel sturing kan geven. Hoe meer gestandaardiseerd de dienst, hoe minder men kan sturen. Regelmatig zijn het overigens de bepalingen van de aanbieder van de clouddiensten die standaard worden overgenomen. Standaardcontract Bij het afnemen van clouddiensten geeft 29,6 procent van de respondenten van het onderzoek aan gebruik te maken van een standaardcontract dat afkomstig is van de cloudleverancier. 31,4 procent vult een dergelijk standaardcontract aan met maatwerk, en in 33,3 procent van de gevallen komt de overeenkomst geheel als maatwerk tot stand. Ongeveer een derde van de afnemers van clouddiensten, al met al een groot deel, laat zich dus geheel leiden door de leverancier. Op zichzelf hoeven standaardcontracten niet per definitie nadelig te zijn, maar de opsteller van de standaardtekst doorgaans de aanbieder van de clouddienst zal zich vooral door zijn eigen belang hebben laten leiden, en niet zozeer zijn afgegaan op het belang van de andere partij. Belang van het contract Als er sprake is van het verwerken van persoonsgegevens in de cloud, is de afnemer van de dienst doorgaans verantwoordelijk voor het in acht nemen van de privacywetgeving. Dit betekent in gevallen van verwerking van persoonsgegevens dat de afnemer van de clouddienst bij het aangaan van een contract aandacht moet besteden aan het vraagstuk of hij aan alle wettelijke plichten ten aanzien van de privacywetgeving kan voldoen. Maar ook als er geen sprake is van het verwerken van persoonsgegevens is het voor de afnemer van belang op een aantal algemene aspecten goed te letten. Het belang van een evenwichtige overeenkomst is uiteraard groter naarmate het belang van de in de cloud ondergebrachte toepassing groter is, laat staan als de toepassing bedrijfskritisch is. Het verdient aanbeveling om bij het opstellen of het beoordelen van een contract advies in te winnen bij een ter zake kundige jurist. Als er door de aanbieder van de clouddiensten een mogelijkheid wordt geboden de standaardovereenkomst aan te passen, verdient het aanbeveling het contract als geheel mee te laten wegen in de keuze voor een bepaalde leverancier en toepassing. Nadenken over beëindiging Aangezien veel van de geschillen over een contract gaan over de toestand die ontstaan is vlak na of door de (wens tot) beëindiging van de contractuele relatie, is het van het grootste belang tevoren al na te denken over hoe de overeenkomst kan worden beëindigd. Het contract moet waarborgen bieden dat aan het eind van de relatie de continuïteit van de activiteiten van de afnemer van de dienst is gegarandeerd. Het is dus raadzaam vooraf al stil te staan bij een exitstrategie en hoe de afhankelijkheid van de aanbieder van de clouddienst beperkt wordt (zie het kader Vragen omtrent exitstrategie ). Afspraken gemaakt? 50 procent van de respondenten van het onderzoek geeft aan dat er niet is nagedacht hoe in geval van een dispuut de uitbestede diensten en data (snel) bij een andere aanbieder van clouddiensten zou kunnen worden ondergebracht. 44 procent van de respondenten heeft hierover wel afspraken gemaakt. Het spreekt verder voor zich dat als er eigen functionaliteit wordt ontwikkeld, dat de afnemer van de clouddiensten ook waarborgen zou moeten afspreken over de continuïteit van deze functionaliteit. Doet bijvoorbeeld de functionaliteit het nog steeds als het platform van de aanbieder een upgrade krijgt? 33 procent van de respondenten geeft aan dat er voor dit soort gevallen afspraken zijn gemaakt, maar een even grote groep van 35 procent geeft aan dat dergelijke afspraken er niet zijn. Vragen omtrent exitstrategie Risico s en aansprakelijkheden Een ander belangrijk aspect betreft risico s en aansprakelijkheden. Dit is doorgaans maatwerk en hangt af van de wederzijdse belangen die er bij de betreffende clouddienst zijn. Stel bijvoorbeeld dat in de cloud een bedrijfskritieke toepassing wordt ondergebracht: Wat gebeurt er als deze toepassing voor een bepaalde periode niet toegankelijk is of erger nog als er bijvoorbeeld gegevens in handen van derden raken, verdwijnen of beschadigd raken door toedoen van de aanbieder? Wat als de afnemer van de clouddiensten aanspra- Enkele vragen die men zich kan stellen met betrekking tot de exitstrategie: - Is duidelijk in welke gevallen, op welke manier en binnen welke termijnen er een einde gemaakt kan worden aan de contractuele relatie? - Is duidelijk bepaald wie deze relatie kan beëindigen? - Zijn er aan het beëindigen kosten verbonden of nadere voorwaarden? - Kan de afnemer van de clouddiensten aan het einde van de contractuele relatie beschikken over zijn gegevens en de functionaliteit? - In welke vorm, binnen welke termijn en tegen welke kosten krijgt hij daar dan de beschikking weer over of kan hij bij een ander terecht? 14 - cloudworks - mei 2011 mei cloudworks - 15

13 kelijk wordt gesteld door zijn klanten, kan hij op zijn beurt de aanbieder van de clouddiensten aansprakelijk stellen? En neemt de aanbieder dan mogelijk de vergoeding van de gehele schade op zich, of wordt dat door een contractbepaling gelimiteerd, of zelfs geheel uitgesloten? Er kunnen hierbij grote belangen en bedragen op het spel staan, en vaak kan tevoren al een goede inschatting worden gemaakt over hoe groot de waarde van een aansprakelijkheidsbepaling is. En wat zijn de verplichtingen van de aanbieder van de diensten bij kleine en grotere storingen of ten aanzien van onderhoud? Hoe is de bereikbaarheid van de aanbieder van de diensten? Heeft de aanbieder van de diensten bepaalde inspannings- of resultaatverplichtingen, bijvoorbeeld ten aanzien van de beveiliging van de cloud? Het is zaak heldere en gedetailleerde afspraken te maken over het niveau van de dienstverlening ( service level agreement ). Intellectuele eigendom Het is ook noodzakelijk in het contract afspraken te maken op wie de intellectuele eigendom rust, vooral als er een nieuw recht van intellectuele eigendom kan voortvloeien uit de clouddienst. Dit kan bijvoorbeeld het geval zijn als de afnemer zelf functionaliteit ontwikkelt (platform as a service), of als de verzameling gegevens door een verwerking in de cloud een toegevoegde waarde krijgt waarop een recht van intellectuele eigendom rust. 44 procent van de respondenten geeft aan dat de intellectuele eigendom van zelfontwikkelde functionaliteit goed is beschermd, aan de andere kant geeft nog steeds een aanzienlijk deel van de respondenten aan dat dit niet het geval is (zie figuur 1). De afnemer doet er goed aan hier op zijn minst heldere afspraken over te maken, en beter nog te bedingen dat de intellectuele eigendom alleen hem toekomt. Er kunnen ook werken waarop een recht van intellectuele eigendom rust, worden ondergebracht in de cloudtoepassing zo kan een bepaalde innovatieve functionaliteit, door de klant ontwikkeld, worden gekoppeld aan een cloudplatform van de leverancier. Vooral bij IaaS en PaaS zal dat het geval kunnen zijn. De afnemer moet zich in dat geval ervan verzekeren dat zijn rechten worden gerespecteerd zonder dat daarbij op het kwaliteitsniveau wordt ingeboet. Nogal eens worden de bepalingen van de aanbieder standaard overgenomen Ja 44.4% Nee 24.0% Anders 20.3% Geen antwoord 11.1% Het contract is bij voorkeur ook duidelijk over wie verantwoordelijk is voor het respecteren van de (intellectuele eigendoms-) rechten van derden. In de praktijk betekent dat: wie neemt waarop de benodigde licenties. De afnemer van diensten zal bijvoorbeeld onaangenaam verrast zijn door een derde te worden aangesproken op inbreuk voor (onderdelen van) diensten die hij afneemt van de aanbieder van de clouddiensten, die daar kennelijk geen licentie voor heeft. Dergelijke situaties kunnen overigens ook omgekeerd voorkomen. Vertrouwelijkheid Ook de vertrouwelijkheid speelt een rol. Wat als de aanbieder, bedoeld of onbedoeld, iets openbaar maakt wat de afnemer van de clouddiensten als vertrouwelijk in de cloud heeft gestopt? En wat Figuur 1. Is de intellectuele eigendom van door de klant zelf op een platform van de cloudprovider ontwikkelde functionaliteit goed beschermd? gebeurt er bij overtreding van de vertrouwelijkheidsbepaling? Staat daar een boete op? Welke maatregelen worden er getroffen ter bescherming en beveiliging van de gegevens in de cloud? Bij de hierna te bespreken persoonsgegevens komt daar nog eens de mogelijkheid van aansprakelijkheidsstelling door overheden of de betrokken personen in kwestie bij. Locatie Het is van groot belang om te weten waar de (onderliggende hardware van de) clouddienst feitelijk is ondergebracht en waar gegevens in de cloud feitelijk worden opgeslagen, en dat ook contractueel vast te leggen. Er kan immers wet- en regelgeving van toepassing zijn van de landen waar de servers van de clouddiensten feitelijk staan. In sommige sectoren, denk bijvoorbeeld aan de financiële sector, kan dat gaan om uiteenlopende en verstrekkende weten regelgeving. Pas als bekend is welke landen betrokken zijn, kan bepaald worden welke wet- en regelgeving voor alle relevante jurisdicties van toepassing is. In dit algemene artikel zal verder niet op sectorspecifieke voorwaarden worden ingegaan, maar het onderstreept de noodzaak om juridisch kundig advies in te winnen bij het afnemen van een clouddienst. Het kennen van de landen waar de clouddienst daadwerkelijk plaatsvindt, geldt overigens in het bijzonder voor de verwerking van persoonsgegevens. Persoonsgegevens Een bijzondere, maar wel zeer gangbare categorie van gegevens zijn de zogenaamde persoonsgegevens. Persoonsgegevens zijn alle gegevens die zijn te herleiden tot natuurlijke personen. Op het verwerken van persoonsgegevens is privacywetgeving van toepassing. In het vorige artikel is hierop al uitvoerig ingegaan (zie CloudWorks #3, april 2011). De Wet bescherming persoonsgegevens (Wbp) legt de meeste verplichtingen ten aanzien van de verwerking van persoonsgegevens op aan de zogenaamde verantwoordelijke, en daarnaast ook enkele verplichtingen aan de zogenaamde bewerker. De verantwoordelijke is degene die het doel en de middelen van de verwerking van persoonsgegevens vaststelt. Bij cloud computing is dat doorgaans de afnemer van de dienst. Als de aanbieder van de dienst zelf nog verwerkingen uitvoert op de persoonsgegevens van de afnemer, dan is de aanbieder voor die verwerkingen ook verantwoordelijk in de zin van de Wbp, met alle verplichtingen van dien. Doorgaans zal de aanbieder van clouddiensten alleen als bewerker moeten worden beschouwd, dat wil zeggen degene die de verwerking van persoonsgegevens voor de verantwoordelijke uitvoert, zonder aan diens directe gezag te zijn onderworpen. Welke bepalingen? Zoals eerder al gememoreerd maakt liefst 30 procent van de respondenten gebruik van een standaardcontract van de aanbieder van clouddiensten. Op welke bepalingen moet de verantwoordelijke, dus de afnemer van de diensten, toezien? In de eerste plaats op een passend beschermingsniveau. Gaat het in de cloud mis met de persoonsgegevens, bijvoorbeeld omdat zij door een hack bij een derde terechtkomen, of doordat de bewerker de persoonsgegevens onzorgvuldig behandelt, dan is de verantwoordelijke daar in beginsel voor aansprakelijk. Voor het bieden van een passend beschermingsniveau moeten er afdoende organisatorische en technische beveiligingsmaatregelen zijn getroffen. Het is zaak dat in het contract hier expliciet aandacht aan wordt besteed en dat de feitelijke situatie ook voldoet aan deze bepalingen. De afnemer van de clouddienst moet zich er zeker van kunnen stellen dat deze maatregel in acht worden genomen. Het verdient daarom aanbeveling om een mogelijkheid tot het doen van een audit vast te leggen in het contract. Bij het afsluiten van het contract met de aanbieder van de diensten, zal de afnemer zich dus van zijn verantwoordelijke rol bewust moeten zijn. Het verdient daarom aanbeveling dat de afnemer juist over het privacybeleid sturend optreedt in de onderhandelingen over het contract. Maar alhoewel de afnemer van de clouddiensten veelal de verantwoordelijke is in de zin van de Wbp, en er daarom op de afnemer van de clouddiensten de meeste verplichtingen rusten die voortvloeien uit de Wbp, geeft een krappe meerderheid van 52 tegen 46 procent van de respondenten aan Safe harbor Het nevenstaande aangaande het privacybeleid is helemaal van belang als de verwerking van de persoonsgegevens buiten de Europese Economische Ruimte plaatsvindt, en ook buiten het kleine aantal landen waarvan de EU verder nog heeft bepaald dat deze landen een voldoende beschermingsniveau voor de bescherming van de persoonsgegevens bieden (zie CloudWorks #3, april 2011). Worden de persoonsgegevens buiten dit territorium gebracht en verder verwerkt, dan zal de verantwoordelijke ervoor moeten zorgen dat hij over de eventueel benodigde toestemming dan niet eens te weten wat het privacybeleid is van hun aanbieder van clouddiensten. Hoe concreter de afspraken over de beveiliging van de persoonsgegevens, hoe beter. Toch geeft 41 procent van de respondenten aan niet te weten of er sprake is van passende maatregelen in geval van een incident dat de privacy of de veiligheid beïnvloedt. 37 procent is hier wel zeker van, en van deze groep heeft de helft een inspanningsplicht afgesproken met hun aanbieder. De andere helft heeft een resultaatverplichting. De Wbp eist overigens dat de privacy wordt gewaarborgd; een inspanningsverplichting volstaat niet! Modelcontracten EU Overigens heeft de EU modelcontracten opgesteld voor wat betreft de waarborging van de privacy in de relatie tussen de verantwoordelijke en de bewerker. 1 In de cloud komt dat doorgaans neer op wel vergunning voor de verwerking in dat buitenland beschikt, of in het geval van verwerkingen in de Verenigde Staten, dat hij een bewerker inschakelt die beschikt over een Safe Harbor -verklaring, afgegeven door het Amerikaanse ministerie van Handel. Bij de aanvraag voor een dergelijke vergunning, wordt concreet gekeken naar de maatregelen en afspraken die zijn gemaakt ten aanzien van de privacy. Overigens kan het ook nog eens zo zijn dat naast de Nederlandse wetgeving, ook nog de privacywetgeving van toepassing is van het land waar de verwerking plaatsvindt cloudworks - mei 2011 mei cloudworks - 17

14 de relatie tussen de afnemer en de aanbieder van de clouddiensten. Bij de beoordeling van een vergunningsaanvraag wordt nauwkeurig gekeken in hoeverre de gemaakte afspraken afwijken van die in de door de EU opgemaakte standaardcontracten. Om het verkrijgen van een vergunning zo soepel mogelijk te maken wordt daarom aangeraden deze contracten zoveel als mogelijk over te nemen. Ook als er geen vergunning nodig is, is het raadzaam deze contracten in ieder geval erop na te slaan en als mogelijk ook te gebruiken, omdat de bepalingen van deze contracten in ieder geval waarborgen bieden voor een voldoende beschermingsniveau van de privacy bij de verwerking van persoonsgegevens. Geschillen Als er een geschil ontstaat tussen de aanbieder en de afnemer van de clouddienst dat voorgelegd zou moeten worden aan een rechter (of arbiter), is de vraag aan welke instantie het geschil moet worden voorgelegd en volgens welk recht het geschil zal moeten worden beslecht. Cloud computing wordt beschouwd als een dienst en als hierover niets is afgesproken, zal volgens het Nederlandse (en overigens Europese) recht de bevoegde rechter de rechter zijn van de plaats waar de kenmerkende prestatie van die clouddienst wordt geleverd. Zonder duidelijke afspraken zou zomaar de rechter van de plaats waar de Artikel 1 verschenen in CloudWorks nr. 6/2010 De achtergrond van de respondenten, de status van de introductie van cloud computing in hun organisaties en bijbehorende investeringsplannen. Artikel 2 verschenen in CloudWorks nr. 1/2011 De keuzes van de respondenten waar het gaat om de inrichtingsvormen public, hybride versus private cloud en de dienstverleningsmodellen SaaS, PaaS en IaaS. Het is raadzaam tevoren stil te staan bij de exitstrategie servers staan zichzelf bevoegd kunnen achten voor een geschil en dat kan niet in het belang zijn van de afnemer van de clouddiensten. Het is zaak om in het contract een bepaling over forum- en rechtskeuze op te nemen. Conclusie De relatie tussen de aanbieder en de afnemer van de clouddienst wordt voor een groot deel beheerst door de afspraken tussen beide. Het aangaan van een Publicaties De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek naar cloud computing in Nederland. Artikel 3 verschenen in CloudWorks nr. 2/2011 Waarom overweegt men cloud computing? Welke drempels zijn er als het gaat om de toepassing van cloud computing? Artikel 4 verschenen in CloudWorks nr. 3/2011 Juridische aspecten van de bescherming van persoonsgegevens in de cloud. Artikel 5 in dit nummer Over de contractuele aspecten van cloud computing. standaardcontract is soms de enige optie, zeker waar het cloud computing in zijn puurste, publieke vorm betreft. Dit heeft het voordeel van eenvoud. Maar er is een aantal aspecten, met name ten aanzien van de beëindiging, de continuïteit, de aansprakelijkheid, het dienstverleningsniveau en de intellectuele eigendom dat in het algemeen bijzondere aandacht verdient. Als er sprake is van de verwerking van persoonsgegevens, dienen de partijen er acht op te slaan dat voor de privacy een passend beschermingsniveau wordt geboden. Een grote groep respondenten blijkt in de praktijk al afspraken te maken over deze onderwerpen, maar daarnaast is er een aanzienlijke groep die nog niet op deze aspecten let. Er is dus nog veel te winnen. CW Rik Zager (Rik.Zagers@hoganlovells.com) is advocaat bij advocatenkantoor Hogan Lovells. Frank de Vries (F.de.Vries@quintgroup.com) is partner bij Quint Wellington Redwood, een bureau voor organisatieadvies op het raakvlak van organisatie en IT. Noten: 1 Zie beschikkingen van de Europese Commissie 2002/16/EG, 2004/915/EG en 2010/87/EU met modelcontractbepalingen voor de doorgifte van persoonsgegevens cloudworks - mei 2011