Eerst willen we eraan herinneren dat de klant bij het sluiten van eender welk contract uiteraard de ins en outs moet begrijpen en aanvaarden. Het is trouwens niet de bedoeling om hier alle contractuele bepalingen te overlopen die van toepassing kunnen zijn, maar alleen om te wijzen op het belang van sommige specifieke aspecten op het vlak van cloud computing. Gezien de beperkte ruimte die is uitgetrokken voor deze bijdrage, zijn deze waarnemingen van algemene aard en beogen ze in de eerste plaats contracten tussen professionals, en niet met consumenten, omdat er in dat geval nog bijzondere regels van toepassing kunnen zijn. Tot slot willen we hier vooral de klant sensibiliseren voor de noodzaak om dit soort contracten grondig te (her)lezen.

Locatie van de gegevens

Bij een cloudservice zijn vaak verschillende datacenters betrokken, waarvan de locatie noch de werking uit eigen beweging worden meegedeeld door de provider. Deze transparantie kan echter belangrijk zijn voor de klant, zeker wanneer hij zelf is onderworpen aan “regelgevende” verplichtingen, naar het voorbeeld van circulaires over outsourcing die de Commissie voor het Bank- en Financiewezen indertijd heeft verstuurd voor de banken en verzekeringsmaatschappijen. De Nationale Bank zei in oktober 2012 immers dat deze “prudentiële vereisten” ook gepast zijn voor cloud computing. De naleving van deze bepalingen houdt voor de klant namelijk in dat hij contractueel gezien tegenover zijn leverancier recht heeft op een audit.

Gegevensbeveiliging

Het contract dat gesloten wordt met de provider moet specificeren welke middelen er ingezet worden om de gegevens van de klant te beschermen tegen fysieke en/of computerinbraak, en tegen ongeoorloofd gebruik door de provider zelf of een van zijn onderaannemers. Het moet ook gedetailleerde uitleg bevatten over de geldende procedure in geval van een incident. Ten slotte moeten de klantgegevens worden afgebakend van die van andere klanten.

Bescherming van persoonsgegevens

Als verantwoordelijke ten aanzien van de wetgeving op de persoonlijke levenssfeer moet de klant gepaste technische en organisatorische maatregelen nemen om de persoonsgegevens die hij verwerkt te beschermen, net als een klantendatabase. Hij is dus wettelijk verplicht om ervoor te zorgen dat al zijn onderaannemers hetzelfde doen.

Toegang tot gegevens

De klant waakt erover dat hij toereikende vertrouwelijkheidverplichtingen oplegt om te voorkomen dat zijn gegevens toegankelijk zijn voor derden. Bovendien let hij op de verplichtingen om zijn gegevens terug te bezorgen op het einde van het contract, en op de voorwaarden voor de migratie naar zijn eigen it-infrastructuur of die van de nieuwe service provider.

Beschikbaarheid van de gegevens

Dit lijkt misschien vanzelfsprekend, maar de klant heeft er toch alle belang bij om in het contract duidelijk melding te laten maken van de verplichtingen betreffende beschikbaarheid van de service en van de genomen maatregelen om de business continuity in geval van storing te waarborgen.

Verantwoordelijkheid van de provider

Net als andere soorten contracten zorgt deze post vaak voor de meeste problemen. Dit neemt echter niet weg dat de klant echt moet letten op de beperkingen en/of uitsluitingen van aansprakelijkheid die de provider wil bepalen in zijn voordeel (en dat van hem alleen).

Normen inzake kwaliteit en continue verbetering

Er bestaan bepaalde normen, meer bepaald ISO-normen op het vlak van veiligheid, en de klant moet de mogelijkheid of zelfs de noodzaak afwegen om deze bindend te maken voor de provider. Omdat sommige technologieën in snel tempo verouderen, zou hij van de provider de belofte moeten krijgen dat ze altijd zullen voldoen aan de laatste ontwikkelingen en best practices tijdens de hele duur van het contract.

SLA’s en reporting

Over het algemeen waakt de klant erover dat hij van zijn provider hoge prestatieniveaus krijgt, vooral met betrekking tot de beschikbaarheid en de kwaliteit van zijn dienstverlening, en dat er eventuele sancties gelden als hij hier niet aan voldoet. Hij vergeet echter maar al te vaak om de werkelijkheid op het terrein te controleren en zou dus moeten aandringen op een reporting die online en in real time toegankelijk is. Tot slot moet de klant letten op de assumptions waar de provider rijkelijk mee strooit in de technische bijlagen van het contract, en meer bepaald de sla. In feite zijn deze ‘hypotheses’ in het contractuele veld gekomen en bestaat het risico dus dat ze het effect van een aantal bepalingen die in zijn voordeel waren bedongen, teniet doen.

Samengevat: sommige van deze punten zijn niet nieuw, maar blijven relevant voor cloud computing. Andere zijn echter typischer, namelijk de bijna paradoxale behoefte om de fysieke locatie te kennen van de gegevens die worden toevertrouwd aan de cloud. Nee, er kan niet noodzakelijk over al die punten onderhandeld worden. Maar ja, de klant moet zich bewust zijn van de voor- en nadelen die eraan verbonden zijn.