Wie gebruikmaakt van de diensten van een cloudprovider wil dat met een gerust hart kunnen doen. Je wilt niet wakker liggen met zorgen over beschikbaarheid, dataverlies en vendor lock-ins. Daar ligt een taak voor de cloudprovider. Deze partij moet alles in het werk stellen om het contract zo volledig en transparant mogelijk te maken. Uiteindelijk ben je echter zelf verantwoordelijk voor je eigen data en applicaties. Zorg er dus voor dat je het cloudcontract grondig doorneemt voordat je je handtekening zet onder een langdurige samenwerking.

1. Bespreek de situatie over het delen van resources

Een groot voordeel van de cloud is dat je resources kunt delen met andere klanten van de cloudprovider. Delen levert namelijk in de meeste gevallen een prijsvoordeel op. In de praktijk zien we dat prijs vaak een grote rol speelt bij de keuze om wel of geen resources te delen.

Voor veel bedrijven is een dedicated server voor hun data of applicaties vaak te duur. Commercieel gezien is delen dus aantrekkelijk. Maar onthoud wel dat je hiermee ook risico’s loopt. Stel dat je een server deelt met een grote, heel bekende onderneming die voor hackers een interessant doelwit is. Bij een doelgerichte aanval ben je dan medeslachtoffer.

Zorg er dan ook voor dat in jouw cloudcontract is vastgelegd dat jouw data goed versleuteld is en alléén voor jou beschikbaar is. Ook moet de provider ervoor kunnen zorgen dat je geen hinder ondervindt als medegebruikers van resources het slachtoffer zijn van een aanval. Dit geldt overigens ook als je geen resources deelt.

2. Laat migratie van data nauwkeurig vastleggen

In geen enkel cloudcontract mag ontbreken hoe de migratie van data geregeld wordt. Het moet van stap tot stap duidelijk zijn wie daarvoor verantwoordelijk is en welk prijskaartje daaraan hangt. Overigens is het lastig rechten te ontlenen aan deze afspraken in geval van een faillissement van de cloudprovider. De kans is natuurlijk klein, maar áls zich dit uitzonderlijke geval voordoet, is de curator geenszins verplicht mee te werken aan jouw verzoek tot datamigratie.

Is hij daar wel toe bereid, dan kan hij daarvoor een vergoeding vragen – een onverwachte uitgave waar je natuurlijk niet op zit te wachten. Het is dan ook raadzaam praktische voorzorgsmaatregelen te treffen, zoals het ook elders onderbrengen van je data – hetzij on-premise, hetzij bij een andere cloudprovider – zodat je je gegevens ook nog uit een andere bron kunt verkrijgen.

3. Controleer compliancy met in jouw sector geldende regelgeving

Op het gebied van clouddiensten is er Nederlandse en Europese wetgeving. Bovendien krijg je te maken met Amerikaanse wetgeving in het geval je zakendoet met bedrijven in de VS. Daarbij komt dat niet alle wetgeving over cloud per se van toepassing is op jouw situatie.

Wet- en regelgeving varieert immers van branche tot branche. Vanzelfsprekend is wetgeving voor de meeste bedrijven niet hun core business en dat maakt dat je niet van de hoed en de rand hoeft te weten als het op regels aankomt. Mijn advies is dan ook om vóór het opstellen van het contract aan de cloudprovider duidelijk te maken in welke sector je opereert.

Voor banken en sommige overheidsbedrijven is het bijvoorbeeld verplicht om data in Nederland op te slaan. Houd rekening met het feit dat veel cloudproviders dat inderdaad lokaal doen, maar dat de uitwijk misschien wel in een ander land geregeld is. De uitwijk van Azure bevindt zich bijvoorbeeld in Ierland. Is dat in jouw segment wel toegestaan? Hoe dan ook, uit het contract met de cloudprovider moet blijken dat je volledig compliant bent als je met die partij in zee gaat.

4. Maak afspraken over de beschikbaarheid van het systeem

Veel bedrijven zijn bereid fors te betalen voor honderd procent uptime. En dat is niet zo gek. Ik hoef niemand uit te leggen wat de gevolgen zijn van downtime. Als je website uit de lucht is, loopt jouw klant net zo snel over naar de concurrent. Dus neem die afspraken over uptime op in het contract.

Zorg er daarnaast voor dat is vastgelegd wat er gebeurt als de cloudprovider niet voldoet aan die voorwaarde. Juridisch gezien verzuimt hij op dat moment, maar dat wil nog niet zeggen dat je vervolgens ook de schade die je lijdt als gevolg van de downtime uitbetaald krijgt. Staat er bijvoorbeeld in het contract dat de cloudprovider je bij downtime een boete verschuldigd is – denk aan een korting op de maandelijkse abonnementskosten – dan kunt je geen aanspraak maken op vergoeding van daadwerkelijk geleden schade.

Zorg er dus voor dat je alle consequenties van het niet nakomen van de afgesproken uptimegarantie goed controleert in het contract.

5. Bekijk hoe het zit met archivering

In de praktijk zie je weleens dat archivering een ondergeschoven kindje is. Daar komen bedrijven vaak pas achter op het moment dat bijvoorbeeld een werknemer uit dienst gaat.

Stel dat je het e-mailverkeer hebt ondergebracht bij de cloudprovider, die verantwoordelijk is voor de beschikbaarheid. Mogelijk heeft de vertrekkende werknemer tijdens zijn dienstverband afspraken met een klant gemaakt via e-mail. Uiteraard wil je die afspraken wel kunnen inzien – iets wat niet lukt als de betreffende e-mails niet gearchiveerd zijn. Het is niet vanzelfsprekend dat de cloudprovider hier zorg voor draagt. Controleer dus in het contract of dit het geval is. Maar meer nog zou ik adviseren archivering zelf te regelen, op locatie. Dan weet je zeker dat je altijd de beschikking hebt over je data.

6. Zorg voor een duidelijke exitstrategie

Misschien blijkt na een bepaalde periode dat de samenwerking met de cloudprovider toch niet helemaal is wat je ervan verwacht had. Dan is het prettig als je de mogelijkheid hebt om over te stappen naar een andere partij. Een exitstrategie moet dus onderdeel zijn van het cloudcontract.

Vergelijk het met een huwelijk. Als je gaat trouwen leg je zaken vast voor het geval de relatie onverhoopt toch tot een einde komt. Duidelijke afspraken met jouw cloudprovider voorkomen dat je aan elkaar vast blijft zitten. Neem nu bijvoorbeeld proprietary API’s. De motivatie van een provider om eigen API’s te gebruiken, kan vendor lock-in zijn, waarmee je afhankelijk wordt. Controleer dus goed in een contract wat de situatie omtrent API’s is.

Verder is een goede exitstrategie onderdeel van je totale bescherming. Afspraken maken over wat er gebeurt als je wilt overstappen, is net zo belangrijk als het maken en lokaal bewaren van back-ups. Die combinatie maakt dat je weg kunt wanneer je wilt.

Vergeet ten slotte de kleine lettertjes niet. Dit lijkt een open deur, want bij welk contract dat je afsluit zijn de kleine lettertjes nu niet belangrijk? Maar neem de tijd om alle voorwaarden die de cloudprovider stelt, voor honderd procent te doorgronden. Het gaat om data – jouw bedrijfskapitaal – en bedrijfskritische applicaties. Afspraken waarvan je niet op de hoogte was, kunnen meer dan vervelend uitpakken.

LAAT EEN REACTIE ACHTER

Laat alsjeblieft een reactie achter!
Laat hier je naam achter