‘Cloud outage’ dwingt tot juridische maatregelen

Cloud computing blijft volop in het nieuws; ook juridisch. Een voorgenomen aanpassing van de Wet bescherming persoonsgegevens verplicht onder meer de Sociale Verzekeringsbank, de Belastingdienst, het UWV en de banken ‘datalekken’ bij zowel bij de betrokkene — dat is degene wiens persoonsgegevens het betreft — als de toezichthouder — het College Bescherming Persoonsgegevens — te melden.

En speciaal voor aanbieders van elektronische communicatienetwerken en -diensten is momenteel een wijziging van de Telecommunicatiewet in voorbereiding, om de persoonsgegevens van abonnee of gebruiker beter te beschermen. Ook deze aanbieders krijgen straks met een wettelijke meldplicht bij verlies van persoonsgegevens te maken.

Een forse ‘cloud outage’ bij Amazone Web Services — infrastructuur als dienst —toont aan dat (i) technische problemen zich ook bij cloud computing kunnen voordoen en (ii) dat gebruikersorganisaties doorgaans zelf continuïteitsmaatregelen moeten treffen. Besef goed dat zelfs wanneer de cloud service provider enkele aaneengesloten dagen niet (volledig) functioneert, hij toch aan de contractuele service level van 99,95% beschikbaarheid kan voldoen.
Voor internationale headlines zorgde infrastructuur als dienst-pioneer Amazone.

Vanaf 21 april jl. was Amazone Web Services — te weten Elastic Compute Cloud (EC2) en daardoor Amazon Elastic Block Store (EBS) — tenminste vier aaneengesloten dagen deels niet beschikbaar. Deze zogenoemde ‘cloud outage’ zorgde er volgens voor dat duizenden websites, waaronder de in de VS prominente Foursquare, Reddit, Quora and Hootsuite, uit de lucht waren. Grofweg een week na de technische problemen — bijna een lichtjaar in de beleving van velen — publiceerde de cloud service provider een lange, technische verklaring. Uiteindelijk biedt zij haar excuus aan en klanten krijgen de downtime vergoed.

‘For customers with an attached EBS volume or a running RDS database instance in the affected Availability Zone in the US East Region at the time of the disruption, regardless of whether their resources and application were impacted or not, we are going to provide a 10 day credit equal to 100% of their usage of EBS Volumes, EC2 Instances and RDS database instances that were running in the affected Availability Zone.’

Third-party cloud computing is een vorm van outsourcing en betekent dat de gebruikersorganisatie afhankelijk is van de kwaliteit van de diensten van een derde, de onderhoudswerkzaamheden nadrukkelijk incluis. Dat wisten we al. Maar het bevreemdt wel dat meerdere ‘Availabilty Zones’ werden getroffen, die juist zijn ontworpen om eventuele problemen lokaal te houden. De SLA ‘guarantees 99.95% availability of the service within a Region over a trailing 365 period’.

Maar Amazone blijft voldoen aan haar contractuele service level van 99,95% beschikbaarheid per jaar, terwijl de diensten ter zake soms vier dagen niet beschikbaar waren. Kennelijk omdat de uitval primair de diensten EBS and RDS betrof en de uitval beperkt bleef tot bepaalde Availability Zones binnen een regio, is er juridisch gesproken geen sprake van wanprestatie.

Last but not least, gebruikers moeten te allen tijde hun continuïteit van het uitbestede (bedrijfs)proces, zoals web hosting, zelf regelen en tevens voortdurend back-ups van hun bedrijfsinformatie maken, die in ‘the cloud’ wordt verwerkt.

Uitgangspunten voor een Nationale Cloud Agenda

Cloud computing staat op de agenda van het bedrijfsleven en de politiek. Nederlandse bedrijven kunnen efficiënter, slagvaardiger, competitiever, ‘groener’ en — desgewenst — meer grensoverschrijdend ondernemen, dankzij de structurele inzet van software als dienst en andere vormen van cloud computing, die plaats- en tijdonafhankelijk ondernemen en werken mogelijk maken.

Ook voor de 1600 Nederlandse overheidsorganisaties, die juist meer met minder moeten doen, zijn gelijksoortige voordelen te behalen. Cloud computing biedt Nederlandse ondernemingen — ook de starters en het MKB — interessante exportkansen, aldus de stichting EuroCloud Nederland, waarvan deze auteur bestuurslid is.

Zonder cloud computing geen succesvolle nieuwe manieren van werken, effectieve rampenbestrijding of doelgerichte zorg op afstand. De schier oneindige reeks van noodzakelijke cloud-toepassingen vereist op korte termijn strategisch regeringsbeleid voor cloud computing als onvermijdelijk, maatschappijbreed leveringsmodel voor software en informatie. Daarbij moet nadrukkelijk scheiding worden aangebracht tussen beleid voor de eigen bedrijfsvoering van de overheid enerzijds en de stimulering en eventuele marktordening van cloud-computingdiensten anderzijds.

Intussen bestaan er zijn nog veel onduidelijkheden en belemmeringen op technisch, juridisch en commercieel gebied. De Nederlandse en Europese politiek neemt haar verantwoordelijkheid om cloud computing in goede banen te leiden. EuroCloud is op het hoogste politieke niveau betrokken bij het gestalte geven van de Digitale Agenda van Eurocommissaris Kroes.

Stichting EuroCloud Nederland, onafhankelijk kennisnetwerk op het gebied van cloud computing en lokale vertegenwoordiger van de Europese EuroCloud organisatie, wil op nationaal niveau nadrukkelijk een rol spelen in de opinievorming en de discussie over de gewenste richting van cloud computing. De organisatie heeft 10 uitgangspunten geformuleerd die zij bepalend acht bij het creëren van de beste voorwaarden voor de verdere ontwikkeling van de informatiesamenleving met behulp van cloud computing. Ik haal er drie uit.

- Nederlandse bedrijven kunnen efficiënter, slagvaardiger, competitiever, ‘groener’ en — desgewenst — meer grensoverschrijdend ondernemen, dankzij de structurele inzet van software als dienst en andere vormen van cloud computing, die plaats- en tijdonafhankelijk ondernemen mogelijk maken. Bovendien faciliteert cloud computing Het Nieuwe Werken, inclusief virtuele organisatievormen, in optima forma. Ook voor de 1600 Nederlandse overheidsorganisaties, die juist meer met minder moeten doen, zijn gelijksoortige voordelen te behalen.

- De Europese Commissie werkt, mede met het oog op cloud computing en de grensoverschrijdende verwerking van persoonsgegevens, aan een volledige herziening van het informationele privacyrecht, waarvan we de blauwdruk nog dit jaar tegemoet kunnen zien. De Nederlandse regering en parlement doen er goed aan om, wanneer beschikbaar, de nieuwe communautaire wetgeving zo snel mogelijk te implementeren en, daar waar mogelijk en gewenst is, er zelfs op vooruit te lopen.

- Hoewel er raakvlakken zijn of kunnen ontstaan die om overleg en afstemming vragen, behoort de regering een efficiëntere bedrijfsvoering van de (rijks)overheid door middel van ICT, te scheiden van beleidsdoelen voor de stimulering en eventuele marktordening voor digitale technologie, waaronder cloud computing.