Traditionele audits
De traditionele audits zijn makkelijk te doorgronden. De partij die een audit wil van zijn leverancier laat zijn eigen auditors of van externe partijen daar onderzoek doen. Leveranciers van enige omvang worden op eigen verzoek ook met enige regelmaat doorgelicht. Bekende voorbeelden zijn de jaarlijkse controles voor ISO9001, ISO27001 en NEN7510. Maar ook voor ISEA3402 komt iets dergelijks ondertussen vaker voor.
Het maken van de afspraken voor die audits kan in principe ook makkelijk verlopen. De fysieke adressen van de klant en leverancier zijn bekend. Als een datacenter moet worden bekeken is ook daar het adres van bekend.
Cloud audits kunnen niet
Met de komst van cloud providers met een internationale footprint is de vertrouwde manier van audits uitvoeren veel complexer geworden. Om te beginnen is er lange tijd onduidelijkheid geweest over de fysieke locatie van de data. Inmiddels is dat – vooral onder invloed van de AVG en toegenomen bewustzijn – wel verbeterd. Een klant kan zelf bepalen waar zijn data en applicaties staan. Maar ook dan blijft het natuurlijk zaak dat dit gecontroleerd moet worden.
Dat is een probleem. De hyperscalers zitten verspreid over eigen datacenters en die van derden. Welke locaties precies wil men bij voorkeur geheim houden. Het bezoeken van een hyperscaler datacenter is zelfs voor politiediensten met de nodige bevelen een uitdaging. Dit soort locaties lijkt in de regel buitenlands grondgebied te zijn. De regel die daar gelden worden bepaald door de cloud providers.
Die laatste instelling lijkt inherent te zijn aan het bestaan van hyperscalers. De permanente focus op grootschaligheid en maximale finetuning van geautomatiseerde processen maakt dat er geen ruimte is voor maatwerk. Het verzoek een inspectie te mogen uitvoeren om te kijken of aan de contractbepalingen wordt voldaan is niet inpasbaar in die werkwijze.
Geen audit – geen business
Enige tijd heeft de situatie bestaan dat zelfs de grootste Nederlandse bedrijven zich te schikken hadden naar de eisen die de hyperscalers oplegden. Er was simpelweg geen alternatief. Voor de nationale aanbieders was dit natuurlijk wel een goede ontwikkeling. Zij waren in de regel minder huivering voor het aanbieden van maatwerk. Audits mogelijk maken paste daarbij.
Inmiddels is daar wel wat veranderd. De meeste datacenters en cloud providers in Nederland hebben dat niet meegekregen. Op Europese schaal wordt door meerdere banken namelijk een audit procedure uitgewerkt die speciaal voor de hyperscalers is.
Dat is geen Europees plan, maar iets dat al bestaat. Er wordt alleen bijna niet over gecommuniceerd. Dat past bij de werkzaamheden van auditors, maar ook bij de gevoeligheden. Meerdere banken hebben een vuist gemaakt naar de hyperscalers. Geen audit betekent ook gewoon geen business. De hyperscaler die de deur dicht wilde houden heeft om die reden ook (bijna) geen Europese banken als klant. Bij Azure is die bedreiging wel op tijd ingezien. Dat is dan ook een van de redenen waarom die cloud aanbieder het bij bepaalde grote Europese bedrijven zo goed doet.
Audits bij hyperscalers zijn dus wel mogelijk. De banken die dit hebben afgedwongen deden dat overigens niet uit “vrije wil”. De Europese toezichthouder voor het bankverkeer heeft het namelijk als eis opgelegd. Andere sectoren die met toezichthouders te maken hebben zullen waarschijnlijk volgen.
Minder concurrentievervalsing
Dat zelfs hyperscalers zich aan externe audits moeten onderwerpen is een goede ontwikkeling. Het gaat namelijk een onderschatte vorm van concurrentievervalsing tegen. Het is een ontwikkeling die daarom bij lokale of nationale cloud aanbieders bekend moet zijn.