- Door
- Rashid Niamat
- geplaatst op
- 1 september 2014 08:01 uur
Om begrijpelijke redenen besteedt ISPam.nl aandacht aan veiligheidsissues bij de hosting- en datacenterbedrijven. Ondernemingen die hiermee te maken hebben, leveren nieuws op waarvan de rest van de sector kan leren. Zodoende kan niet alleen de kwaliteit van de dienstverlening worden verbeterd, ook het vertrouwen van de markt profiteert hier uiteindelijk van.
Een van de issues waar minder aandacht aan wordt besteed is compliant zijn, dan wel compliancy. De meesten zullen de min of meer gangbare omschrijving “zeg wat je doet en doe wat je zegt” wel herkennen, maar wat is compliancy precies, welke bedrijven hebben er mee te maken en waar ligt de verantwoordelijkheid? Dat lijken voor de hand liggende vragen, in de praktijk blijkt het een stuk lastiger te zijn dan gedacht. Dit wordt onder andere geïllustreerd door een recent verschenen rapport van ISDecisions, een Amerikaans bedrijf dat (o.a.) Windows en Active Directory architectuur beveiligt.
Dat het document slechts de Amerikaanse en Britse markt betreft, lijkt op het eerste gezicht een groot handicap. Wat heeft een Nederlandse lezer aan kennis van die markten? Het antwoord daarop is simpel. Wat namelijk naar voren komt, heeft weinig tot niets te maken met de plek waar een bedrijf is gevestigd. In een opmerkelijk groot aantal gevallen (soms >50%!) weten de ondervraagde IT-decision makers – los van omvang en aard van het bedrijf – namelijk niet of men voldoet aan alle compliancy-eisen die gelden voor het bedrijf en/of de sector.
Het rapport van ISDecisions maakt hier terecht een punt van. Insiders die het niet met zekerheid weten, dat zal toch vast wel impact op de business hebben? Op dat punt gaat ook een andere vraag spelen en daarop weten wij in Nederland, dankzij de roemruchte Diginotar-affaire, alles van. Als een bedrijf al niet weet of het daadwerkelijk voldoet aan alle compliancy-eisen, hoe kan een leverancier die verantwoordelijk is voor delen van de IT-dienstverlening, zoals dataopslag of verwerking dat dan wel?
Dan is er – en ook daar is de Diginotar-affaire uitermate belangrijk voor gebleken – nog maar een oplossing. Als dienstverlener heb je er alle belang bij klanten die met compliancy-regels te maken hebben, navraag te doen of van jou iets wordt verwacht in dat proces. Klinkt makkelijk, maar dat is het niet. In de regel wil je namelijk niet weten wat de nullen en enen die een klant bij jou onderbrengt, verwerkt of genereert, betekenen. Echter een klant die op het vlak van compliancy de mist ingaat, kan ook voor zijn IT-dienstverlener een behoorlijke schadepost betekenen.
Kortom, klanten die met compliancy-regels te maken hebben, verdienen zeer waarschijnlijk extra aandacht. Hoe je dat het beste kan doen, hangt af van het type klant en uiteraard ook de contactpersonen. Weet hierbij wel dat een inkoper of hoofd IT-zaken – zie ook het document van ISDecisions! – niet perse de persoon is die op de hoogte is van de ins and outs van compliancy.
[advpoll id=”82″ title=”Vraag van de dag” width=”100%”]
