Voor de doorsnee consument is het gemakkelijk om je spullen in de cloud te zetten. Dat doen we dan ook massaal en tamelijk zorgeloos, met toepassingen als Gmail, hotmail, Facebook en Linkedin. Ook voor onze oude data die we voorheen in huis bewaarden, zoeken we steeds vaker een nieuwe opslagbestemming. We kunnen kiezen voor een harde schijf (de meeste diskettes zijn al weggegooid, en de content op die stapels volgeschreven CD’s en DVD’s komt toch vaak weer op de harddisk terecht), voor een eigen dataserver (NAS) of voor een echte cloudoplossing.
Bijna alle telecomspelers, maar ook software- en hardware-leveranciers leveren cloudopslag. Koop een laptop en je krijgt er cloud bij. Ga naar Flickr en je krijgt 1 TB opslagruimte. Schaf een smartphone aan en je leverancier biedt 5 GB voor nop aan (“Met T-Mobile Cloud Basis 5 heeft u altijd toegang tot uw cloud via uw internet browser”). Probeer bij Apple maar eens uit de iCloud weg te blijven. Open een e-mail adres of doe zaken met een internet serviceprovider en de Gigabytes staan klaar. Zelfs een fabrikant van harde schijven biedt losse harddisks inclusief cloudcapaciteit aan.
Maar waar moet je nu je spullen laten? Is het verstandig om je risico’s te spreiden en alle data op verschillende plekken te stallen? Of moet je juist kiezen voor een combinatie cloud + eigen harde schijf? Op het doorsnee etiket van een DVD-verpakking staat gemiddeld meer woorden.
De Wet Bescherming Persoonsgegevens vereist dat de aanbieder van een cloud dienst passende technische en organisatorische maatregelen treft om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Een beveiligde verbinding is een minimale vereiste, maar daarna houdt ons inzicht eigenlijk op. Wat is de beschikbaarheid van de dienst? Slaat de provider onze data gecodeerd op? Waar staan de data, wie kan er bij en hoe wordt misbruik of dataverlies voorkomen? Wat gebeurt er bij een storing of een faillissement van de provider? Van wie zijn de data wanneer jij als klant overlijdt en stopt met betalen? Hoe kom je er achter of je provider wel of niet onder de Patriot Act valt?
Bedrijven beschikken zelden over een goed exit plan, laat staan de consument. Wat zijn eigenlijk de risico’s van het delen van bestanden via cloud diensten over een langere termijn?
Twee derde van de cloud gebruikers heeft geen flauw idee, zo onderzocht IT-beveiliger F-Secure dat april vorig jaar bij 6.000 personen uit 15 landen. En we zijn niet veel opgeschoten: in 2010 concludeerde de Business Software Alliance (BSA) nog dat 60 procent van de Europeanen geen idee heeft wat ‘in de cloud’ betekent en dat er maar weinig bekend is over de verantwoordelijkheid voor de bescherming van gegevens die via webdiensten worden opgeslagen.
Het is niet verwonderlijk dat er nog geen keurmerk of standaard is voor cloud diensten gericht op consumenten. Eerst moet er nog veel gebeuren voor de zakelijke markt, waar nog volop wordt gewerkt aan standaarden. Bovendien is het aanbod voor consumenten volkomen versnipperd over onderling sterk verschillende aanbieders. Een keurmerk of productclassificatie zou wellicht kunnen helpen, maar zo lang consumenten zich niet verdiepen in de algemene voorwaarden en de rol van wetgeving in het vestigingsland van de cloud leverancier (zoals de Amerikaanse Patriot Act) heeft het lezen van die voorwaarden weinig zin. Vermoedelijk moet er eerst iets op grote schaal mis gaan.
Een classificatie of norm, specifiek voor cloud diensten voor consumenten, is nog niet in zicht, aldus Nan Zevenhek, bestuurslid van Eurocloud en betrokken bij de ontwikkeling van een NEN-industrienorm voor bedrijfsmatige cloud diensten. Cloudperformance is voor consumenten lastig te meten. Veel op consumenten gerichte cloud diensten worden gratis aangeboden (dat hoeft op zich geen probleem te zijn), maar consumenten moeten er dan ook rekening mee houden dat ze niet al te hoge eisen kunnen stellen. Zo lang de consument niet kritisch is, aldus Zevenhek, is er veel mogelijk en zullen aanbieders proberen een positie te verwerven in de markt voor particuliere cloud diensten. De enige zekerheid die je als consument hebt is dat geen van de grote aanbieders zijn goede naam in de waagschaal zal stellen door slechte cloud diensten te leveren. Pas wanneer er iets mis gaat en krantenkoppen verschijnen, zullen ze gedwongen worden om USP’s en certificeringen duidelijker uit te spelen.
Met andere woorden: waar bedrijven zich kunnen laten adviseren door IT’ers en consultants, moeten consumenten via learning by doing ontdekken wat de gegarandeerde uptime van Dropbox is of wat de beschikbaarheid is van diensten van Google apps, Linkedin of Twitter.
Goed zoeken naar algemene voorwaarden kan wel inzicht opleveren: zo kunnen de foto’s die je plaatst in de cloud van Facebook, naar eigen inzicht worden hergebruikt door Facebook omdat je een licentie hebt verschaft aan Facebook – ook wanneer jij het beeldmateriaal hebt verwijderd, maar een andere Facebookgebruiker het heeft overgenomen.
Deze post is tot stand gekomen in samenwerking met de Zero Distance community en T-Systems