22 april 2013

Thema ‘wet en regelgeving’ zorgt voor boeiend SaaS Cloud Symposium

Strategie en regelgeving

John Higgins (directeur Digital Europe) was de eerste spreker van de middag. In zijn voordracht legde Higgins uit hoe Digital Europe ervoor probeert te zorgen dat Europa het maximale rendement haalt uit de digitale technologische industrie. Cloud computing speelt in dit proces een belangrijke rol. Digital Europe streeft op dit gebied naar een beter overzicht op de bestaande standaarden, veilige en eerlijke contracten en Europese cloud partnerships voor de publieke sector.

Na Higgins besprak Jeroen Terstegge (PrivaSense) de nieuwe uitdagingen die cloud computing met zich meebrengt als het gaat om het juridisch vastleggen van afspraken en regels. Hij deed dit oa. aan de hand van de concepten ‘corporate binding rules’ en ‘safe harbour’. Wat betreft cloud computing zoekt men momenteel naar een EU-gedragen, adequate waarborging van het beschermen van Europese gegevens, die in landen buiten de EU zijn opgeslagen.

De toezichthouders

Paul Frencken gaf de aanwezigen na een korte pauze een kijkje in de keuken van het College Bescherming Persoonsgegevens (Cbp), waarvan hij directeur is. Als toezichthouder is het Cbp verantwoordelijk voor uitleg en handhaving van wetten als de Wet bescherming persoonsgegevens. Door het toenemende gebruik van clouddiensten krijgt ook het werk van het Cbp een nieuwe dimensie. Dit uit zich in zaken als toezicht houden op de nieuwe meldplicht datalekken.

Bij De Nederlandsche Bank wordt het gebruik van clouddiensten gezien als ‘uitbesteden’, zo legde Maurice van Rooijen uit. Dat betekent dat financiële instellingen met ambities op het gebied van cloud computing zich aan de regels voor uitbestedingen moeten houden. Wel moet de betreffende organisatie van tevoren voldoende informatie over hun plannen aan DNB verstrekken. Ook mag het gebruik van clouddiensten DNB niet belemmeren bij het uitvoeren van hun toezichthoudende taak.

Nog veel (onterechte) angst

Ook op het gebied van auditing heeft cloud computing voor nieuwe ontwikkelingen gezorgd. Mike Chung (KPMG) hield een boeiende voordracht over zaken als risicoprofiel, angst en onzekerheid over cloud computing, incidenten en problemen in de praktijk en uitdagingen op het gebied van zekerheid en cloud computing. De angst die momenteel leeft als het gaat om cloud is veelal onterecht, zo betoogde Chung. Hoewel de kans dat het misgaat marginaal is, moeten bedrijven wel goed hun overwegingen op een rijtje zetten wanneer zij overwegen om clouddiensten te gaan gebruiken. De impact van een calamiteit kan namelijk groot zijn. Chung voegde hieraan toe dat er op het gebied van certificering positieve ontwikkelingen gaande zijn.

De presentatie van Gregor Petri (Gartner) bood een verhelderende kijk op het wereldwijde cloudlandschap op dit moment. In Europa groeit ‘cloud’ langzaam. Azië is bijvoorbeeld al veel verder. Dit wordt met name veroorzaakt door diverse vormen van regelgeving in Europa, die vooral naderhand worden ingevoerd. In de toekomst kan cloud volgens Petri de sleutel bieden tot een andere aanpak van processen. Met andere woorden: niet dezelfde processen versnellen, maar nieuwe processen mogelijk maken.

Patriot Act

Annechien Sloots (Nederland ICT) sloot de middag af met een voordracht over cloud en de Patriot Act, een onderwerp waarover nog veel onduidelijkheden en misverstanden bestaan. Sloots benadrukte dat we genuanceerd met dit onderwerp moeten omgaan. De Patriot Act is iets waar bedrijven rekening mee moeten houden, maar staat niet boven andere wetgevingen.

Nederland ICT zou graag zien dat er een internationaal gedragen en technologieneutrale oplossing komt voor het uitvragen van gegevens door overheden. De ICT-industrie mag niet klem komen te zitten tussen juridische stelsels die strijdig met elkaar zijn. Nu leidt dit tot situaties waarin hetgeen wat door het ene stelsel aan bedrijven wordt opgedragen, door het andere stelsel wordt beschouwd als het overtreden van de wet.