Of het nou is onder onder de vlag van cloud computing, uitgebreide serverhosting of wat dan ook, als klant moet je toegang krijgen tot de diensten die je afneemt. Niet minder, maar vooral ook niet meer dan dat. Want als jij per ongeluk bij de data van een andere klant kunt, dan is andersom ook mogelijk. Dat vereist een paar waarborgen, want ondanks alle mooie woorden van de hostende partij loop je natuurlijk wel extra risico.

“Je ziet als klant vanaf dat moment alleen de frontend", zegt Eberhard von Faber, consulent Security Strategy en Executive bij T-Systems, de ict-tak van Deutsche Telekom. “Maar directe toegang tot de systemen zelf is er dan niet meer. De dienstverlener krijgt veel meer verantwoordelijkheden, waaronder ook de security. Dit is een groot verschil met het geval dat je de hele ict in-house houdt."

Toch hoeft dat volgens Von Faber niet nadelig te zijn. “Het is immers de core business van een provider om de dienst te leveren", al is het niet geheel toevallig dat ook T-Systems dergelijke diensten levert. Welke vragen moet je als klant eigenlijk stellen? “Veel van deze vragen lijken direct te zijn ingegeven door cloud computing", zegt Von Faber, “maar eigenlijk worden ze al heel langer gesteld. Cloud computing is hierin hooguit de cutting edge."

Hoe houden jullie het gescheiden?

De enige manier waarop dergelijke businessmodellen kunnen werken is door het delen van ict-systemen tussen verschillende klanten. Logisch, want alleen zo kunnen ze tot een schaalvoordeel komen. “Door hun ict op te delen tussen verschillende gebruikers besparen ze geld. Zo simpel ligt het", zegt Von Faber. Dat was al het geval voordat de hele cloudhype opkwam, door virtualisatie draaien al 'tig omgevingen gebroederlijk naast elkaar. Maar hoe zorgen ze er dan voor dat de klantomgevingen geen ongewenste toegang verlenen? Hoe ziet dat er technisch allemaal uit? Hoe is het geïsoleerd?

Eigenlijk vraag je dus naar hoe de omgeving technisch omgaat met security, van virtualisatie tot firewalls, netwerkbeveiliging en encryptie. “Welke beveiligingsmaatregelen heeft de aanbieder genomen?"

Wie heeft toegang tot mijn data?

Maar het gaat daarbij niet alleen om de systemen, voegt Von Faber eraan toe. “Een tweede element daarin is de verdeling van arbeid", zegt hij. “Wie is er voor wat verantwoordelijk? Welke security-aspecten worden door wie opgepakt?" Wie heeft de verantwoordelijkheid waarover? Welke certificaten zijn in het spel? Dat leidt allemaal uiteindelijk tot de belangrijkste vraag.

“De vraag 'wie heeft toegang tot mijn gegevens' is een hele oude", zegt Von Faber, wijzend op alle colocaties die je al hebt. Zeker als je in het buitenland naar diensten shopt, is het handig om je ook even in te lezen in wat bijvoorbeeld de plaatselijke overheid allemaal mag. De VS (Patriot Act) is echt niet de enige met uitgebreide wetten op dat gebied.

Welke garanties stellen jullie?

Natuurlijk gaat het vroeg of laat fout. Dus wat doet de dienstverlener in dat geval? Wat doen ze om de schade voor de klant te beperken? En hoe zit het met de kostendekking? Webwereld is op dit aspect al eerder ingegaan, maar afspraken zijn in de meeste gevallen toch beter dan géén afspraken. Maar verwacht niet te veel, waarschuwt Von Faber, want geheel schadedekkend zullen de reparatiebepalingen/prestatieboetes niet zijn. “Voorlopig zullen malusregelingen in SLA's niet strenger worden dan ze zijn", stelt hij. “Bedenk dat wanneer je de ict in-house hebt staan en er iets gebeurt, je helemaal geen schadevergoeding krijgt."