Alle berichten in cloud

Waar de onderbuikclouds - foto: Eric Burger zich doet gelden, is rede en logica het eerste slachtoffer. We zien het in het nieuws, we horen het om ons heen. In ons werk denken we vaak redelijke afwegingen te maken. Na veel vergaderen de juiste beslissingen te nemen. Toch kom ik in mijn praktijk als recordsmanagement & compliance specialist nog veel onderbuiken tegen. Vooral waar het ‘de cloud’ aangaat. Omdat ik in mijn werk focus op SharePoint en Office 365 heb ik de transities in het denken over de cloud van nabij meegemaakt. Dat is een wonderlijke combinatie van oud en nieuw denken. Of beter gezegd: oud denken en nieuw doen. Lees verder

Stel je toch eens voor, zoMicrosoft - Foto: Eric Burger opent Microsoft zijn pleidooi, dat de Frankfurter Stadtpolizei het openen van een kluis van een Deutsche Bank filiaal in Manhattan eist? Omdat daar een bundeltje brieven van een New York Times journalist zou liggen. En dat de bankmanager in Manhattan de kluis zou openen, om de inhoud vervolgens richting Duitse justitie te faxen. De Amerikaanse overheid zou buiten zichzelf van woede zijn, over zo ’n onbeschaamde inmenging van een buitenlands justitieel apparaat op Amerikaans grondgebied. En bovendien de schending van privacy van een Amerikaans staatsburger!

Tsja, het zou wat zijn. Maar andersom – in een digitale werkelijkheid – is echter het geval: Amerikaanse justitie claimt toegang tot Microsoft’s servers in Ierland, om e-mails op te eisen. Microsoft had in juli schoorvoetend enige in de VS opgeslagen data (o.a. delen uit een adresboek) beschikbaar gesteld naar aanleiding van een rechtbank verzoek. Maar had geweigerd de content van e-mails beschikbaar te stellen, e-mails die in Microsoft’s datacenter in Ierland zijn opgeslagen. Ook de Ierse regering heeft zich daar terecht boos om gemaakt. Op 8 december jongstleden ging Microsoft’s hoogste jurist Brad Smith in de tegenaanval en diende een verweerschrift in, met bovenvermelde analogie als inleiding.

Deze juridische strijd raakt rechtstreeks Microsoft’s belangen en natuurlijk ook de campagne om Office 365 in Europa en Nederland vaste voet te laten krijgen. Lees verder

Ja, Microsofts SharePoint Online opslag in de cloud in Dublin is wellicht technisch en procedureel safe; safer, professioneler en straffer genormeerd en gecertificeerd dan veel lokale hosting partijen kunnen bieden. En nee, deze opslag kan niet uitsluiten dat Amerikaanse justitie er op basis van de Patriot Act een beroep op zal doen.

Dit is het tweede deel van mijn blogs over SharePoint en cloudopslag. Ik had daarover een prettig gesprek met Hans Bos, National Technology Officer (NTO) bij Microsoft Nederland. “Bij ons weet je altijd waar je data staan” en “Staatsgeheimen bewaar je niet in de cloud”.  Twee uitspraken van Hans, die, verwijzend naar de normen en beloftes van Microsofts Office 365 trust Center graag transparantie en nuchterheid wil overbrengen waar het cloudopslag door Microsoft aangaat. Dat is fijn, daarom maar meteen met de deur in huis: mijn klanten – en ik zelf soms ook niet – zien door alle berichtgeving over geheime diensten, Amerikaanse justitie en hun al dan niet vermeende samenwerking met grote op internet opererende bedrijven als Microsoft, Google, Yahoo door de bomen het bos niet. De Patriot Act hype was net een beetje weggeëbd (maar niet vergeten), toen Snowden een wel heel grote kei in de vijver wierp.

De publicaties in The Guardian over de Snowden-onthullingen wekken de indruk dat o.a. Microsoft met die diensten samenwerkt zodat deze diensten zich toegang kunnen verschaffen tot ons handelen via internet.  Hans wil voorop stellen dat de hele discussie over de reikwijdte van nationale veiligheidsdiensten wat hem en Microsoft betreft ‘politiek en maatschappelijk’ is. Microsoft heeft daar geen rol in of uitspraak over, aldus Hans.  Wel wil Hans zo veel mogelijk transparantie nastreven waar het de internationale werking van justitiële verzoeken aangaat. Dit is een door wetten en overeenkomsten gereguleerd proces.

Dus ja, de VS kan op basis va de Patriot Act aan bedrijven met belangen in de Verenigde Staten data opvragen. Dit geldt onverkort voor de Dublinvestiging van het Microsoft datacenter.

Wanneer rechtshulpverzoeken conform mutual assistance overeenkomsten tussen overheden worden gedaan is er wel sprake van een lokale toetsing. En ook Nederlandse justitie laat zich niet onbetuigd in het zelf indienen van rechtshulp verzoeken.

Hans benadrukt dat dergelijke verzoeken geen blanco volmacht betekenen voor de Verenigde Staten of andere landen maar stuk voor stuk getoetst worden. Hij vindt dat een potentiële klant van een cloud service provider altijd moet vragen naar een beleid hoe die provider handelt bij dergelijke rechtshulpverzoeken.

Hoewel Microsofts Office 365 Trust Center onder ronkende koppen (‘Your privacy matters’, ‘Leadership in transparancy’) overtuigend de technische en procedurele veiligheid van zijn cloudopslag beschrijft, is helderheid over juist deze juridische vraagstukken – die Nederlandse potentiële klanten nu vaak nog weerhoudt van recordmanagement in Office 365 –  zo gewenst. Overigens geeft de publicatie – reeds vóór de Snowden-affaire – van zgn. ‘transparancy reports’ wel inzicht in de afhandeling van justitiële verzoeken door Microsoft. Daarbij werd wereldwijd in 2.2% van de 75.378 verzoeken daadwerkelijk inzicht in content verschaft.

Hans stelt dat er zoveel data en documenten in Nederlandse bedrijven en (overheids-)organisaties aanwezig is die niet aan absolute eisen van privacy of (staats-)veiligheid hoeft te voldoen, dat de discussie over de mogelijkheid of de kans van een ingewilligd informatieverzoek door een Amerikaanse overheidsinstantie  niet het juiste begin van een afweging voor cloud computing is.

In plaats daarvan zou de organisatie als eerste zich andere vragen moeten stellen: heeft de organisatie een businesscase voor cloudarchivering uitgevoerd of laten uitvoeren? Beschikt de organisatie over alle informatie om die businesscase te kunnen maken? Heeft de organisatie een informatiebeleid dat helderheid geeft over de waarde en gevoeligheid van alle soorten informatie? Is de huidige opslag van informatie wel zo veilig? Heeft de organisatie zicht op de risico’s die ze loopt, die ze kan en maximaal wil lopen bij de opslag van verschillende soorten informatie? Dus altijd eerst de drieslag businesscase/informatiebeleid/risicomanagement bezien voordat cloudopslag in SharePoint Online categorisch wordt afgewezen.

Ik vind de Snowden-onthullingen in The Guardian schokkend. Of misschien is het schokkender dat we als consumenten allemaal zo aan onze ‘gratis’ internetdiensten verslingerd zijn geraakt, dat we er niet over zouden denken om uit weerzin of protest ons Facebook-, Yahoo- of G-mail-account op te heffen.

De legale internationale rechtshulpverzoeken vormen een transparanter proces. De echte risico’s van recordsmanagement zullen niet zitten in een internationaal informatieverzoek. Die zitten in dagelijkse zorgvuldige vastlegging van informatie en documenten. En daar is voor bedrijven en instellingen, voorlopig, echt meer te winnen dan het buiten de deur houden van justitie of geheime diensten van welk land dan ook.

Deze zomer heeft mijn klant een SharePoint 2010 omgeving in productie genomen, inclusief intranet, inclusief zaaksysteem, inclusief document-management en records management, inclusief externe koppelingen, inclusief werkstromen. Vanaf de “Go” na de succesvolle proof of concept hebben we SharePoint binnen vier maanden in productie gebracht. Factoren voor succes: het vertrouwen van het management, een toegewijde en enthousiaste samenwerking tussen ICT en business, een heel harde deadline en de modules voor intranet, zaakgericht werken en digitaal archief van ETTU’s e-Connect suite.

Mijn opdrachtgever had bewust gekozen voor  een on premise installatie van SharePoint. Vertrouwelijke data en documenten liever niet in de cloud. De ophef over de bevoegdheden die de Amerikaanse Patriot Act geeft aan justitie in de VS om zich toegang te verschaffen tot cloudopslag is weliswaar geluwd maar zeker niet vergeten. Ook het groene licht van De Nederlandsche Bank aan financiële instellingen, einde 2012, om van Microsofts Office 365 gebruik te kunnen maken heeft dat wantrouwen niet geheel kunnen wegnemen. Hoewel leveranciers de overeenstemming tussen DNB en Microsoft over het ‘right to examine’ van DNB enthousiast verkochten als dat ‘DNB Office 365 goedkeurt’ heeft DNB zelf een zeer genuanceerd standpunt over cloud-computing.

Nederlandse onderzoekers schreven  in een degelijke studie over clouddiensten en de Patriot Act  vorig jaar nog dat het niet alleen gaat

“om de Patriot Act uit 2001, maar om een complex en dynamisch geheel aan bevoegdheden van de Amerikaanse overheid op het gebied van opsporing en nationale veiligheid. Buiten het schetsen van het wettelijk kader, is er gezien het karakter van het handelen van deze diensten in de praktijk geen zicht te krijgen op de werkelijke bevragingen van gegevens vanuit de VS.”

Nu, daar zijn we sinds NSA klokkenluider Snowden zijn onthullingen over PRISM in The Guardian liet publiceren wel iets wijzer geworden. Deze zomer buitelden de onthullingen over elkaar heen en ook Microsoft bleef niet verschoond van aandacht, zoals hier en hier… In de slipstream van al deze onthullingen kwam ook nog het bericht voorbij dat er een relatie zou zijn tussen het lekken van de informatie en het gebruik van SharePoint binnen de NSA. Dat bleek heel wat genuanceerder te liggen (hij had de informatie niet onttrokken aan SharePoint), maar natuurlijk bood de suggestie gelegenheid voor een rondje SharePoint-bashing.

SharePoint is een aantrekkelijk product, omdat de combinatie van functionaliteiten, de flexibiliteit, het gebruikersgemak en de beschikbaarheid van aanvullende producten de combinatie van digitaal werken èn digitaal archiveren zo goed ondersteunen. Ook met de wensen en beperkingen die ik voor recordsmanagement in de 2010 en 2013 versie eerder heb beschreven, vind ik het gebruikersgemak en de flexibliteit in inrichting en weergave nog altijd een grotere ‘opbrengst’ in records mogelijk maken dan een dedicated recordmanagement systeem kan bieden.

Microsofts cloudstrategie voor SharePoint en Office, zoals gepresenteerd op de laatste SharePoint Conference, beoogt kern en focus van zijn aanbod te verplaatsen van on premise naar de cloud. Als start is SharePoint Online in Office 365 nu in functionaliteiten gelijkwaardig aan SharePoint 2013. Geen functionele belemmeringen dus meer voor recordsmanagement in de SharePoint cloud!

Maar wat gaan (potentiële) SharePoint consumenten doen? Gaan ze mee naar de cloud, kiezen ze (voorlopig) voor on premise, of voor een hybride constructie? De succesvolle en vlotte implementatie uit de inleiding was alleen mogelijk on premise: die SharePoint-producten waren (en zijn) niet voor SharePoint Online beschikbaar.

Waren hybride constructies van SharePoint Online (bv voor samenwerking) en on premise (bv voor recordsmanagement) eerder problematisch door falende compatibiliteit, inmiddels zijn daar tussen SharePoint Online (2013) en SharePoint 2013 issues, zoals met search,  opgelost. Hybride oplossingen in SharePoint blijven, door hun complexiteit, wel een deskundige afweging vragen.

En naar de cloud? Kostenbesparing en flexibiliteit zijn de belangrijkste drijfveren om een migratie naar de cloud te rechtvaardigen. In de afwegingen rond veiligheid van de opslag worden ook terecht altijd de (bedrijfs-)juristen betrokken. Wat de afweging compliceert is ook de definitie van ‘cloud’,  waarbij vormen van ‘private cloud’ voor juristen vaak beter te verteren zijn.

Wat zeggen recordsmanagement deskundigen over recordsmanagement in de cloud? Een van mijn favoriete bloggers in het vakgebied, Ron Miller, stelt overigens dat we de veiligheid en beschikbaarheid van on premise installaties overdrijven.  Andersom vraag ik me ook af of de – al dan niet vermeende –  onveiligheid van de cloud niet te veel waarde wordt toegekend. Organisaties en bedrijven springen vaak nog slordig om met de zorgvuldige vastlegging van hun records, de beveiliging van hun informatie en (online) toegang tot hun systemen. De (financiële, politieke, imago-) risico’s van ongewenste Amerikaanse toegang tot Nederlandse data en documenten zijn kleiner dan de dagelijkse risico’s van gebrekkig recordsmanagement en gebrekkige beveiliging.

Binnenkort méér over SharePoint, recordsmanagement en cloud!

Ik stuitte vandaag op Ron Miller’s artikel The march of consumerization continues with BYO(x)”  voor CITEworld. Vergeet BYOD, BYO(x) is Bring Your Own Everything.

Wow, wat een goed stuk. Ik wil daar op deze plek graag een podium aan geven. En leuk om de visie van mijn recente artikel voor Od (“Hoe benen we de informatierevolutie bij?”, Od, oktober 2012, alleen voor leden, helaas) zoveel beter verwoord en bevestigd te zien.

Ron legt uit hoe leveranciers de consument voorzien van producten waarmee het snel en gemakkelijk (thuis) werken is. Ook als strategie om de enterpriseversie van het product in het bedrijf te krijgen. Want de consument moet steeds meer werk in steeds kortere tijd kunnen verzetten en gaat dus ook onderweg, thuis en overal werken. Maar neemt ook de software, hardware en services van thuis mee: eigen mobieltje, eigen tablet, eigen notebook, eigen Dropbox, eigen email, eigen sociale media. En steeds minder de omslachtige tools van de zaak. Kost allemaal tijd. Inloggen. Informatie vinden. Mensen bereiken.

Quotes:

“…over the next 3 years, IT managers will probably throw in the towel and recognize that letting workers use the tools they are most comfortable with may be better than forcing cumbersome enterprise software down their throats.”

“It’s probably not easy to hear, but many people consider IT to be a bottleneck when it comes to getting anything done. If they can provision a service themselves in seconds, instead of waiting days or weeks, why wouldn’t they do it?”

“The fact is that workers are being squeezed. They are being asked to do more with fewer staff and resources to help them out. When you’re squeezed for time, the last thing you want to be doing is wrestling with a cumbersome enterprise software package that has more bells and whistles then you could ever possibly use.”

… en de recordsmanager, de compliance officer, de informatiemanager  – die hebben het nakijken, als ze niet tijdig inspelen op deze trends. Niet gemakkelijk, maar meebuigen met verandering is de enige strategie. Rigide systemen, die niet dezelfde gebruikersvriendelijkheid aan de dag leggen als de oplossingen thuis zijn dus gedoemd.

“There are companies out there offering these folks a lifeline and they are taking it — not because they want to put the company at risk, but simply because they want to get their work done and if it takes bring your own technology to get there, so be it. Time to embrace BYO(x). Resistance is apparently futile.”