Cloudaanbieder failliet. Hoe red ik mijn bedrijfsdata?

Een waar horrorscenario voor bedrijven: een grote cloudprovider die er na enkele jaren van de ene dag op de andere de stekker uittrekt en zijn klanten vraagt om binnen twee weken alle gegevens weg te halen. Hoe wapen je tegen donkere cloudwolken?  

De sluiting van de Amerikaanse cloudaanbieder Nirvanix is ook in Nederland niet onopgemerkt gebleven. Niet omdat het bedrijf Nederlandse klanten had, maar omdat ook hier cloudproviders over de kop zijn gegaan. Het Naardense bedrijf Vest Informatiebeveiliging gooide er een dezer dagen maar meteen een persbericht uit: ‘Grote klanten hebben wellicht petabytes aan data in de cloud staan bij Nirvanix. Zelfs met de beste wil is het niet haalbaar om die te kopiëren in zo’n tijdsbestek. Nirvanix laat maar weer eens zien hoe belangrijk het is om clouddiensten goed te evalueren en daarbij de risico’s te identificeren. De cloudwereld is dynamisch en op veel gebieden nog niet volwassen.’

Dat is een understatement. Het incident heeft ook in de VS veel discussie losgemaakt, onder meer over de vermeende nadelen van de cloud. Want Nirvanix uit San Diego was niet zomaar een aanbieder. Het bedrijf wilde een alternatief zijn voor Amazon Web Services (AWS) en had deals met grote bedrijven als Symantec, IBM, Dell en Ooyala. Investeerders stopten er flink wat geld in, eerst 70 miljoen dollar, en vervolgens nog eens 25 miljoen.

Zowel de Besturenraad, een koepel voor Christelijk onderwijs met ruim tweeduizend scholen, als vele huisartsen in Noord-Holland hebben de afgelopen tijd te maken met het faillissement van hun cloudleverancier. En dan blijkt nog maar eens dat de continuïteit bij faillissement meestal behoorlijk slecht is geregeld. Anders dan bij banken ontbreken toezichthouders en zijn er geen wettelijke waarborgen wanneer de cloudleverancier failliet gaat.

Naast faillissement zijn er ook nog andere situaties, zoals bedrijfsovernames, fusies of overlijden van de eigenaar van de eenmanszaak, waardoor een zogenoemde SaaS-dienst ineens niet geleverd wordt. De consequenties kunnen voor de klant zeer serieus zijn, waarschuwt Cloudrecht.nl. ‘Immers, als het online boekhoudpakket of customer relationship managementpakket niet meer beschikbaar is, dan gaat de bedrijfsvoering van de klant ook onderuit.’

De klassieke oplossing voor het probleem van een failliete softwareleverancier is de zogenoemde escrow. Hierbij wordt de broncode van de software in bewaring gegeven bij een derde partij, met de instructie deze vrij te geven bij calamiteiten. Maar al in 2006 bepaalde de Hoge Raad dat een curator een overeenkomst mag opzeggen.

Forbes adviseerde een dezer dagen dan ook om de cloudaanbieder zorgvuldig te kiezen. Wie is de aanbieder? Zijn ze goed gefinancierd en wat gebeurt er met de gegevens als er ermee stoppen? En wat zijn dan je eigen risico’s? Maar ook: Waar slaat er precies in Service Level Agreements (SLA’s) en welke escrow oplossing is voorhanden? Hoe kunnen de gegevens van zo’n escrow vervolgens snel geëxporteerd worden? Advocate Marianne Korpershoek van Louwers IP Technology Advocaten somt een nog grotere hoeveelheid checks (pdf) op.

Ook om rekening mee te houden: Bij sommige providers zijn de gegevens alleen te bewerken in het programma van de provider zelf. Dat is onder meer het geval met boekhoudgegevens. Dus is het verstandig om te controleren of open standaarden worden gebruikt.