Microsoft mocht recentelijk nog significante stijgingen van de verkoop van Office 365 abonnementen noteren. Waar SharePoint in Office 365 – sinds 2011 op de markt – aanvankelijk in functionaliteiten achterliep op SharePoint on premise, biedt de cloudversie van SharePoint sneller en frequenter nieuwe functionaliteiten dan de on premise variant. En lijkt de business nu steeds zelfverzekerder de keuze voor de cloud te maken. Check ook vooral deze boeiende presentatie van Dan Holme op SPC14 over de veranderende kijk op de relatie business/ICT door de cloud. Mooi allemaal, die voortvarendheid, maar hoe zat het ook weer met compliance, het werken volgens externe regelgeving en normen en zelf opgelegde regels en afspraken? Zijn we anders gaan denken over bezwaren tegen de cloud?
Waar vooral de Nederlandse discussie over de cloud aanvankelijk sterk werd beïnvloed door doemscenario’s rond de Amerikaanse Patriot Act groeit de cloud nu wereldwijd toch harder dan voorspeld. En maken ook Nederlandse bedrijven en instellingen nuchtere keuzes op basis van risico- en kostenafwegingen voor Office 365 of een hybride oplossing met bijvoorbeeld SharePoint on premise of ander lokaal DMS. 
Zodat Patriot Act en ook recenter de NSA-paranoia ons recordsmanagers, compliance-officers en informatiebeveiligers eigenlijk alleen maar een dienst bewijzen. Want de discussie is niet meer wel of niet wachten met de cloud, we gaan beter nadenken hoe en waar we verschillend geclassificeerde informatie tegen lage kosten veilig en vindbaar kunnen opslaan.
We komen er achter dat we vaak in onze huidige ICT-omgevingen, met huidige middelen (iPad, BYOD!) helemaal niet veilig bezig zijn. En onszelf voor de gek houden als we – bijvoorbeeld – WEL doorgaan met toestaan dat managers met hun iPads ‘experimenteren’ (het startte altijd als ‘mobiel werken experiment‘, toch?) maar ondertussen GEEN zicht meer hebben op de verblijfplaats van vertrouwelijke informatie, in (privé-) cloudmail, dropboxen, googledrives, onedrives, etc. We zaten al lang in de cloud, maar dan zonder waarborgen. We willen altijd en overal kunnen inloggen op de mail van de zaak, we downloaden nog iets voor onderweg te lezen, we geven externen toegang tot onze systemen, we zijn gek op BYOD en wat we allemaal nog meer kunnen meebrengen naar de zaak. En we willen quit-ten met mail (We Quit Mail – daar is een heuse beweging voor) ten bate van allerlei cloud-oplossingen voor sociaal verkeer binnen het bedrijf (Yammer e.d.).
Dus is het tijd om de nuchtere afwegingen te maken over compliance vereisten waartegen we onze cloud service providers de maat nemen. Want vaak regeert daar een onderbuik gevoel, terwijl veiligheid is uit te drukken in transparantie en controleerbaarheid in handelen van – en toetsbare kwaliteitseisen aan – de cloud service provider en van toetsbare maatregelen van de klant organisatie. Microsoft wil die afwegingen graag faciliteren en biedt met zijn Office 365 Trustcenter alle informatie over de veiligheid van zijn cloudopslag en actuele ontwikkelingen en nieuwsberichten op dat terrein (vgl. Privacy authorities across Europe approve Microsoft’s cloud commitments). In helder Nederlands, eventueel verder vereenvoudigd met tabellen worden de normen voor veilige opslag uiteen gezet. Wat doen we in onze datacenters wel en wat niet met klantgegevens, met content (vgl. ‘How we use your data?’)?
Ook geen geheimzinnigheid hier over het opeisen van informatie of content door bijvoorbeeld ‘a governmental entity’:
Question: Can Office 365 or Dynamics CRM Online use or disclose my data without my permission?
Answer: In a limited number of circumstances, Microsoft may need to disclose Customer Data without your prior consent, including as needed to satisfy legal requirements.
Question: What is the Office 365 and Dynamics CRM Online process if law enforcement requests my data? What does Microsoft do when subpoenaed or legally mandated to produce customers’ information?
Answer: Office 365 and Dynamics CRM Online believe that their customers should control their own information to the extent possible.
Accordingly, if a governmental entity approaches Microsoft directly for information hosted on behalf of our Office 365 or Dynamics CRM Online customers, Microsoft will try in the first instance to redirect the entity to the customer to afford the customer the opportunity to determine how to respond. If we are nonetheless required to respond to the demand, Microsoft will only provide information belonging to its Office 365 or Dynamics CRM Online customers when it is legally required to do so, will limit the production to only that information which it is required to disclose and will use reasonable efforts to notify the enterprise customer in advance of any production unless legally prohibited. Our notice will typically be delivered by email to one or more of the administrator(s) the customer has listed in the online services portal. It is the customer’s responsibility to ensure contact information remains up to date.
Vorige week publiceerde Microsoft een paper over Compliance in de cloud (The Microsoft Approach to Compliance in the Cloud). Microsoft wil daarmee een handvat bieden voor de afwegingen van zijn klanten bij het kiezen van een cloud service provider. Ook in deze paper komt de eerder genoemde drieslag terug: aan welke normen voldoen Microsoft’s datacenters bij het beheer van klantgegevens en content? Hoe komt transparantie over het handelen van het datacenter tot uitdrukking? En de laatste: wat kan de klant zelf bijdragen, met tooling van Microsoft’s Office 365 bijvoorbeeld, aan compliance en veiligheid van informatie. Deze zgn. ‘customer-controlled compliance features’ bestaan onder andere uit:
Rights Management Services (waarmee de toegankelijkheid van documenten en records die de organisatie verlaten beter kan worden beschermd);
Identity and access controls (waarmee de toegankelijkheid van verschillende Microsoft services gebundeld, eenduidig kan worden geregeld);
eDiscovery and archiving (waarmee het principe van in-place records verder wordt doorgetrokken en functionaliteit voor legal hold en audit trail centraal en uitstrekkend tot buiten SharePoint – o.a. mailboxen – kan worden ingezet. Daarnaast natuurlijk de functionaliteiten voor records center, gefaseerde bewaartermijnen en geautomatiseerde archivering met afgiftebibliotheken)
Data Loss Prevention en Policy tips (waarmee maatregelen kunnen worden getroffen om te voorkomen – en gebruikers te waarschuwen – dat berichten met bepaalde inhoud of gegevens de organisatie verlaten).
Als aangekondigd in maart jl. op SPC14 brengt Microsoft al deze functionaliteiten in Office 365 binnenkort (mogelijk 2014 Q3) bij elkaar in één Compliance Center, waarmee de tools niet alleen meer in onderlinge samenhang vanuit één punt kunnen worden bestuurd, maar ook verschillende functionaliteiten voor het eerst binnen SharePoint boven het site-collectie niveau kunnen worden geconfigureerd. On premise gebruikers zullen daarvoor tot een volgende release (SharePoint 2015?) moeten wachten.
Kortom, het kan niet alleen van de cloud service provider afhangen hoe veilig informatie wordt beheerd, ook de organisatie zelf is daarbij aan zet en zal zijn juristen, recordsmanagers, informatiebeveiligers, ICT, business en communicatie in teamverband aan één tafel moeten zien te krijgen om organisatiebrede informatie governance te realiseren.
