Vertrouwensaspecten van cloud computing. Daar draaide het ECP-EPN symposium ‘Trustaspecten van cloud computing’ om, dat op 19 mei jl. plaats had in Nieuwspoort in Den Haag. Vertrouwen in cloud computing draait om zaken als: toekomstige beschikbaarheid van de data, continuïteit, makkelijk kunnen wisselen van leverancier, veilige systemen en privacy.
Zoals Frank van der Wal (IBM) het stelde, gaat het erom dat je derden moet vertrouwen met jouw IT-middelen en data. Vertrouwensaspecten kunnen prima geadresseerd worden door klant en aanbieder: die trust bouw je op certificering en afrekenbaarheid van afspraken in contracten. De klant moet wel weten welke vragen te stellen. Veiligheid kan wel een aandachtspunt zijn: veel data op een plek geeft een single point of failure. Daar staat tegenover: het is goedkoper, dus voor hetzelfde geld kan je hoogwaardigere beveiliging kopen en je hebt specialisten aan je systemen werken.
Marnix Dekker vertelde over het ENISA Cloud computing risk assessment-rapport en over de intenties van Kroes, die ‘cloud active’ wil zijn. Het moet makkelijker worden om van leverancier te wisselen. Daarnaast wil Kroes kijken naar een legal framework, standaardisatie van sla’s en onderzoeken of gebruikers gezamenlijk vragen kunnen stellen aan leveranciers. ENISA ziet cloud providers als onderdeel van de kritische infrastructuur en riep de aanwezigen op om mee te denken met ENISA (Zie ook http://www.enisa.europa.eu/act/application-security).
Brigitte Van der Burg (Tweede Kamerlid VVD) beklemtoonde dat de publieke opinie een belangrijke rol speelt: “Een enkel incident in de cloud kan grote impact hebben op de snelheid van invoering. Beeldvorming is daarmee van invloed op de economische kansen die cloud biedt”. Zeker bij een overheid, die systemen heeft vol gevoelige informatie van burgers. Als cloud technisch kan en het is goed geregeld, dan nog hoeft dat niet te betekenen dat je de publieke opinie mee krijgt, zoals je zag bij het EPD. Je moet mensen meenemen. Van der Burg zoekt de oplossing niet in wetgeving, maar in het maken van slimme keuzes (vitale onderdelen in gesloten cloud servers in Nederland) en goede afspraken (eisen garanties en transparantie) met aanbieders. De cloud strategie van het rijk kan een voorbeeld zijn voor andere overheden en bedrijven en hen verleiden met hergebruik van goede toepassingen.
In een reactie werd gezegd dat een andere business case ontstaat wanneer klanten eisen dat data in het land blijft. Dataprotectie en privacy worden belangrijk gevonden, maar dat maakt de oplossing duurder en de kans is dan groot dat de klant naar andere aanbieder gaat .
Zsolt Szabó (Capgemini) vindt veilig in de cloud een kwestie van topdown regie vanuit overheden en bedrijfslevenorganisaties, anders wordt het een chaos. Bewustzijn creëren is belangrijk; mensen beseffen vaak niet dat ze al met vele toepassingen in de cloud zitten. Daarnaast moeten organisaties beseffen dat je andersoortige expertise in huis moet hebben: juridische in plaats van IT-kennis.
Alexandra Schless (Eurocloud) gaf ook aan dat je als klant moet eisen dat je leverancier transparant is en laat zien hoe de beschikbaarheid, continuïteit en veiligheid is geregeld. Zelf bepalen wat je onder privacy verstaat en vervolgens kijken hoe dat geborgd wordt.
Panellid Christian ‘t Hof (Rathenau Instituut) voorziet spanningen tussen de EU en de VS over privacy: welke overheid mag wat inzien? Laat het regime gelden van de persoon die de data gebruikt.
Het Ministerie van EL&I start dit jaar met een cloud computing programma. Geïnteresseerden kunnen input leveren, via ECP-EPN.
Dagvoorzitter Van Bellen concludeerde dat er belangrijke zaken aan bod gekomen zijn (bewustzijn creëren bij IT-managers en eindgebruikers bij overheid & MKB, keurmerk & certificering opzetten in samenwerking tussen gebruikers en bedrijfsleven, Privacy by design: vertrouwensaspecten in het begin goed regelen, belang voorbeeldrol goede uitwerking cloud strategie Rijk. NL voorbeeldrol in EU). ECP-EPN organiseert in het najaar een vervolgbijeenkomst, om een verdiepingsslag te kunnen maken. Het ministerie van Binnenlandse Zaken & Koninkrijksrelaties zal dan de cloud strategie van het Rijk toelichten.
Cloud Computing is een van de onderwerpen op het Internet Governance Forum, 27-30 september in Nairobi, Kenia. De uitkomsten van het symposium dienen als input voor de Nederlandse delegatie. Zie ook www.nligf.nl