Juridische risico’s
Een van de belangrijkste zorgen van dit moment heeft te maken met wet- en regelgeving. De Amerikaanse Cloud Act zorgt de laatste tijd voor steeds meer onrust. De aanleiding is een aantal artikelen in onder meer Het Financiële Dagblad waarin zorgen zijn geuit over de groeiende invloed van Amerikaanse cloudproviders en datacenterbedrijven.
De Cloud Act regelt onder meer wie toegang kan krijgen tot elektronisch bewijs in strafzaken. Alle Amerikaanse cloudproviders vallen onder de Cloud Act. Dat houdt in dat data die wordt opgeslagen in clouds van Amerikaanse bedrijven of datacenters, in principe kan worden gevorderd door de Amerikaanse rechter, als daar aanleiding voor is. Een bevel van een Amerikaanse rechter is dus voldoende om te kunnen overgaan tot afgifte van de data. Het bevel hoeft niet door een Nederlandse rechter te worden getoetst.
Er gelden wel strafrechtelijke waarborgen voordat een Amerikaanse rechter over gaat tot het doen van zo’n bevel. Bovendien kunnen cloudproviders zich verzetten tegen zo’n verzoek. Een bedrijf hoeft namelijk niet zomaar te voldoen aan een Amerikaanse verplichting (in dit geval: het afstaan van gegevens). Ze kunnen zich bijvoorbeeld beroepen op artikel 48 uit de AVG. Daarin staat dat gegevens mogen worden afgestaan zo lang er geen verdrag van toepassing is. Als een cloudprovider of datacenterbedrijf kan aantonen dat er conflicterende, wettelijke verplichting is (lees: dat er zware sancties volgen in Nederland als data wordt afgestaan) dan kunnen ze in beroep gaan.
Vendor lock-in
Het risico op een mogelijke vendor lock-in hoeft in principe geen obstakel te zijn: het wordt pas een probleem wanneer je niet weg kunt bij een bepaalde provider, waardoor een lock-in ontstaat. Bijvoorbeeld wanneer de kosten te hoog zijn, het platform niet stabiel genoeg is of het lastig is om op te schalen. In zulke gevallen wil je niet afhankelijk zijn van slechts één cloudprovider om de continuïteit van je organisatie te waarborgen.
Een vendor lock-in kun je voorkomen door te kiezen voor een multicloud-strategie en goed na te denken over de services die je afneemt. Belangrijk bij de keuze voor een multicloud-strategie, is het selecteren van technologie die ‘cloudagnostisch’ is: software die draait op ieder gewenst platform. Zo wordt de onafhankelijkheid gewaarborgd en kunnen services verplaatst worden naar een andere provider.
Hoge kosten
Hoewel het aanschaffen van eigen hardware vaak een stuk goedkoper is op de lange termijn, is het grote voordeel van cloudproviders dat zij deze hardware in bezit hebben, onderhouden en verdelen onder hun klanten. Je betaalt alleen wat je gebruikt. De pay-per-use offering is voor veel functionele use cases hierom een uitkomst.
Tegelijkertijd kent het cloudprovider-model een risico: er zit namelijk geen automatische standaardlimiet aan de bestedingsruimte. Gelukkig is er wel een optie om de kostengroei inzichtelijk te maken. Daarmee worden eventuele verrassingen op de eindafrekening voorkomen.
Beveiliging
Een van de meest gestelde vragen gaat over de veiligheid van de cloud: ‘is de cloud wel veilig?’ Zeker in het geval van grote partijen kun je ervan uitgaan dat de securitymaatregelen volledig op orde zijn. Pas bij een multicloud-strategie met diverse onbekende en kleine providers wordt het iets ingewikkelder. Hoe weet je dan of de cloud diensten wel veilig genoeg zijn?
Met behulp van standaardcertificeringen en classificaties, zoals de ISO en ISAE compliancy standard, worden cloudproviders beoordeeld op hun naleving van verschillende beveiligingsstandaarden. Op die manier wordt de veiligheid voor de eindgebruikers gegarandeerd. Daarom is het belangrijk om te kijken naar de behaalde certificeringen van een provider.
Begin dus nooit zomaar aan een cloudtransitie, maar kies voor een gedegen voorbereiding. Dan heeft de cloud je heel wat te bieden en profiteer je voornamelijk van de voordelen en kansen.