Keuzes bij cloud services
Tegenwoordig is het mogelijk om alles in de cloud te doen, je hoeft alleen een computer met een internetverbinding te hebben. Je hoeft alleen maar in te loggen en al het zware rekenwerk wordt in de cloud gedaan. Zodra je de wereld van clouddiensten betreedt kom je een aantal verschillende typen diensten tegen met pakkende namen als IaaS, PaaS en SaaS. Deze typen zijn eigenlijk verschillende dieren en ze hebben allemaal hun eigen voor en nadelen. In dit artikel zal ik de verschillen tussen IaaS, PaaS en SaaS bespreken en daarna de juridische gevolgen toelichten.
Een algemeen voordeel van as a Service (aaS) diensten is dat je niet zelf de servers hoeft te kopen en beheren. Hierdoor kan je veel sneller meer capaciteit installeren en hoef je geen extra fysieke ruimte te reserveren om servers neer te zetten. Daar staat tegenover dat je voor alle aaS diensten afhankelijk bent van zowel de aanbieder als een stabiele internetverbinding. Dit kan voor sommigen geen probleem zijn maar voor anderen onacceptabel.
Software as a Service (SaaS)
Het eerste type is de SaaS. Een SaaS is als een goudvis, zolang je blijft betalen blijft de dienst werken. Je hoeft maar het minimale aan onderhoud te doen en je hoeft eventuele problemen niet zelf op te lossen. Een voorbeeld van een SaaS is Google Drive. Je kan er je bestanden in opslaan, maar wel alleen maar zoals Google dat wil.
Het voordeel van een SaaS oplossing is dat je als gebruiker niet verantwoordelijk bent voor het draaiend houden van het product. De aanbieder regelt de beveiliging, de servers en die zorg voor het onderhoud. Hierdoor is een SaaS oplossing de laagdrempeligste aaS van de drie.
Het voordeel van de SaaS kan ook een zwakte zijn. Je hebt als gebruiker (bijna) geen mogelijkheden om nieuwe functies toe te voegen en ook weinig controle over hoe de dienst achter de schermen werkt. Zo is het niet mogelijk om als gebruiker Google te dwingen om jouw bestanden alleen in de EU op te slaan.
Platform as a Service (PaaS)
Een PaaS is opener dan een SaaS. Je kan een PaaS vergelijken met een hond, je hebt er zelf werk aan. Bij een PaaS krijg je ruimte waarop je andere programma’s kunt draaien. Een voorbeeld hiervan is een remote desktop. Hierop kun je allemaal programma’s draaien, maar de aanbieder bepaalt welk besturingssysteem erop staat en wanneer er updates uitgevoerd worden.
Bij een PaaS heb je als gebruiker meer controle. Je kunt zelf programma’s installeren en ontwikkelen en hierdoor nieuwe functionaliteiten toe voegen. De aanbieder regelt nog steeds de fundamentele beveiliging van de servers en van het besturingssysteem en zorgt ook dat de nodige updates uitgevoerd worden.
Het nadeel van de PaaS is dat je als gebruiker meer verantwoordelijkheid krijgt. Je moet er zeker van zijn dat alle programma’s die je installeert ook veilig zijn en dat je geen fouten maakt in het ontwikkelen van nieuwe programma’s.
Infrastructure as a Service (IaaS)
Een IaaS biedt de meeste vrijheid die je kan hebben zonder zelf servers te hebben. Het is alsof je een nest puppies hebt, je mag en moet ze zelf opvoeden. Je kunt zelf je besturingssysteem kiezen, hoe je alles inricht, welke programma’s en wat er gebeurt. Amazon Web Services (AWS) is hier een voorbeeld van.
Het voordeel van een IaaS is dat je de voordelen hebt van eigen servers zonder dat je zelf servers hoeft te kopen of te onderhouden. Je krijgt een lege huls die je zelf in kunt richten en als het nodig is kun je er in een paar minuten 100 kopieen van maken.
Het nadeel van een IaaS is dat deze aaS het meeste kennis en vakmanschap vereist. Je bent namelijk verantwoordelijk voor alles behalve de fysieke server en de internetverbinding. Hiervoor moet je dus weten hoe je je besturingssysteem veilig houdt, hoe je zorgt dat alle programma’s zijn ingesteld en meer.
On premise
Als je alles zelf wil regelen dan kan je de software afnemen en op je eigen servers laten draaien. Dit is een huishouden met drie kinderen, maar dan zonder een school of kinderopvang. Je moet alles zelf doen en bent overal verantwoordelijk voor. Aan de andere kant heb je zelf de controle en heb je dus de vrijheid om alles in te richten zoals je wil. Dit is wat Google, Amazon en Microsoft doen. Die gebruiken alleen hun eigen servers.
Vergelijking
In de tabel bovenaan dit artikel staat een overzicht van welke partij wat regelt. In principe geldt dat je als afnemer mag verwachten dat het deel wat de dienstverlener regelt goed werkt en dat je dienstverlener daar ook binnen de contractuele grenzen aansprakelijk voor is. Zo hoort AWS 24 uur per dag beschikbaar te zijn. Amazon geeft een garantie dat AWS 99,99% van de tijd beschikbaar zijn. Dat betekent dat AWS maximaal 0,144 minuten per dag niet beschikbaar mag zijn. Als dit wordt overschreden krijgen klanten een kleine schadevergoeding.
De twee grote keuzes die er gemaakt moeten worden zijn de hoeveelheid controle die je als gebruiker wilt en de hoeveelheid verantwoordelijkheid.
Hoe meer controle je hebt (wilt hebben) over de dienst, hoe beter je kan bepalen wat er gebeurt. Dit kan in verband met de AVG van belang zijn en ook als je diensten voor anderen uitvoert en een geheimhoudingsplicht hebt. Meer controle betekent ook dat je meer mogelijkheden hebt en dus ook zelf diensten kan ontwikkelen. Een SaaS die je afneemt zul je niet als SaaS aan anderen kunnen verkopen, maar op een PaaS kan je zelf SaaS diensten bouwen. Bij een on-premise oplossing heb je alle touwtjes zelf in handen.
Als je meer verantwoordelijkheid accepteert, bij een IaaS en een Paas, kan je ook meer fouten maken. Voor deze fouten kun je dan niet de aanbieder aansprakelijk stellen, want diens verantwoordelijkheid neemt juist af. Als er data wordt verwijderd door een programma dat jij hebt geinstalleerd dan zul je dat zelf op moeten lossen en dan zal je aanbieder daar niet zo veel aan kunnen doen. Als je on-premise host, dan heb je ook alle verantwoordelijkheid voor wat er fout gaat op jouw servers.
Qua gegevensbescherming maakt het type aaS uit bij het beoordelen of de dienstverlener een verwerker of verwerkingsverantwoordelijke is. Diegene die bepaalt hoe persoonsgegevens verwerkt worden, is vrijwel altijd een van de verwerkingsverantwoordelijke, hierdoor kan het bij SaaS goed zijn dat de dienstverlener en de afnemer gezamenlijk verwerkingsverantwoordelijken zijn. Bij alle andere oplossingen heeft de dienstverlener geen inspraak in hoe persoonsgegevens verwerkt worden en dus zal de afnemer hier de verwerkingsverantwoordelijke zijn en de dienstverlener een verwerker.
Conclusie
De verschillende aaS vormen hebben ieder hun voor- en nadelen. Ook juridisch. Hoeveel verantwoordelijkheid en risico wil je zelf accepteren? Past dit bij de bedrijfs-/beroepsaansprakelijkheidsverzekering die je hebt?
Voor vragen over dit onderwerp kun je contact opnemen met Jos van der Wijst (wijst@bg.legal).
Hier kunt u het artikel in het Engels vinden.
Robin Verhoef en Jos van der Wijst.