Redactie - 11 februari 2016

Nieuwe Russische datawet maakt internationale cloud gecompliceerd

Nieuwe Russische datawet maakt internationale cloud gecompliceerd image

Internet kent geen grenzen, maar landen hanteren wel hun eigen regels. Door nieuwe wetgeving rondom de bescherming van data en privacy, kan het aanbieden van clouddiensten in het buitenland een hele dure en langslepende uitdaging worden.

Niet alleen in Europa en de Verenigde Staten spelen onderwerpen als privacy en de bescherming van data, ook Rusland is er voortvarend mee bezig. In Rusland is op 1 september van dit jaar een wet van kracht geworden die voorschrijft dat alle primaire data van en over Russische staatsburgers op Russisch grondgebied moet blijven. Dat klinkt simpel maar zo’n maatregel heeft heel veel impact voor bedrijven die zaken doen op de  Russische markt, weten Pieter Bas Kranenberg, Senior Business Development Manager Benelux en Scandinavië en zijn Russische collega Elena Krayushkina, Business Development Manager voor de Russische markt bij Orange Business Services.

Er is niets mis met de public cloud, maar je moet als organisatie flexibel blijven, aldus Kranenberg. “Als er ergens in de wereld iets gebeurt staan wij als Orange klaar om je te helpen.” Bedrijven kunnen flexibel blijven door te investeren in Europese cloud of een lokale cloud. “Met de hybride cloud stijgt je flexibiliteit. En Orange biedt private cloud, maar biedt ook connecties aan met de public cloud. Dan heb je één partner voor alles.”

Orange Business Services heeft een unieke positie, volgens Kranenberg. Het bedrijf is actief in 220 landen met kantoren in meer dan 150 landen, waaronder Rusland. “Wij hebben daardoor veel mensen in die landen en veel kennis van lokale wetgeving om private of public IAAS clouddiensten aan te bieden.” Voor klanten is Orange in Rusland een interessante partner omdat Orange tot de top behoort met haar eigen Russische communicatienetwerk. Ideaal dus voor internationale klanten die van het Russische groeipotentieel gebruik willen maken.

Drastische verandering

De nieuwe datawet is vooral bedoeld om de data van Russische gebruikers bij bedrijven als Amazon, Google en Facebook te beschermen. Sommige bedrijven hebben er al op ingespeeld, zo heeft PayPal zelf in Moskou een datacenter gebouwd. Facebook onderhandelt nog met Rusland hoe het aan de regels kan voldoen want Facebook heeft geen kantoor in Rusland, maar wel Russische gebruikers en ook wordt er van hen veel opgeslagen.

De maatregelen in Rusland zijn voor veel bedrijven een ommekeer, constateert Kranenberg. “Veel grote ondernemingen hebben de afgelopen jaren kosten bespaard en daarbij werd de IT vooral gecentraliseerd. De nationale wetgeving verplicht die bedrijven nu om juist weer te decentraliseren.”Een bedrijf met een kantoor in Rusland moet er allereerst voor zorgen dat de apparatuur en de software gecontroleerd binnen komen en vervolgens dat de data volgens de nieuwe wet bewaard wordt. Wil het bedrijf extra veiligheid inbouwen, wat zeer begrijpelijk is, dan moet voor versleuteling bijvoorbeeld opnieuw een apart proces opgestart worden. De data over Russische burgers moet namelijk altijd bereikbaar zijn voor de Russische overheid. En dat heeft grote gevolgen, want het gaat niet alleen over het vervangen van apparatuur, maar het verandert de business echt drastisch, aldus Krayushkina. “Het kost veel meer geld en er zijn veel meer mensen bij betrokken, daarom duurt het veel langer voordat bedrijven aan de regels voldoen.”

Hoewel de wet al op 1 september in werking is getreden, is een aantal Nederlandse bedrijven nog afwachtend. Ze lijken de kat uit de boom te kijken en pas tot actie over te gaan als dat echt nodig is. Dat is vooral cultureel bepaald, zegt de in Nederland wonende Russin Krayushkina.

Compliancy

Tijdens de eerste maanden wordt er nog niet streng gecontroleerd op naleving van de wet, maar waarschijnlijk zullen volgend jaar de eerste sancties worden uitgedeeld. Die straffen voor het niet naleven van de datawetgeving, lopen uiteen van het afsluiten van de internetverbinding voor een bepaalde periode, bijvoorbeeld enkele maanden, maar ook kan de CEO het land worden uitgezet en in het ernstigste geval wordt het bedrijf op last van de Russische overheid gesloten. Vooralsnog moeten bedrijven kunnen aantonen dat er concrete stappen worden ondernomen om aan de regels te voldoen.

Dat doet ieder bedrijf op zijn eigen manier net zoals de keuze voor een private of een public cloud voor iedereen anders is. Er zijn volgens Kranenberg goede redenen waarom bedrijven een deel van de transformatie of het gehele proces uit handen geven, want ze moeten door allerlei keuringsprocessen, controles en certificeringen. Dat kan wel een paar maanden in beslag nemen. “Maar stel dat je alle apparatuur in Rusland koopt, en je wilt een VPN opzetten, dan moet je nog door een certificering heen. Je kunt niet meer zomaar een firewall of VPN-verbinding kopen en implementeren. Dat wordt gereguleerd door de Federal Security Service (FSB)”, legt Kranenberg uit.

Krayushkina vult hem aan: “Als je echt hardware importeert, moet dat gecertificeerd en goedgekeurd worden door de FSB. Dat kost veel tijd. Orange heeft al apparatuur in Rusland, dat is al vooraf door de FSB goedgekeurde apparatuur. Je kunt dus die processen wel zelf doorlopen, maar je weet nooit hoe lang het zal duren. En dat het lang duurt, lijkt zeker.”

Awareness

Wie aan de nieuwe Russische dataregels wil voldoen, kan ervoor kiezen om alles zelf naar Rusland te verschepen en de controles te doorlopen. Daarnaast kan je met een distributeur werken of met een leverancier, zoals Orange, en alles uitbesteden. Hoe bedrijven invulling geven aan de nieuwe wet, maakt Orange niet uit. Als ze er maar van op de hoogte zijn, want er is ook nog veel onbekendheid, zegt Kranenberg. “We zijn een globaal telecombedrijf in de cloudbusiness en onze portfolio is overal toepasbaar, en hoewel we een wereldwijd portfolio hebben, kunnen we de diensten ook lokaliseren en aanpassen aan de situatie in een land.

“Veel bedrijven hebben de neiging om het zelf uit te zoeken”, zegt Krayushkina. “Onder CEO’s in Rusland geldt een beetje: Hoe meer apparatuur of werknemers je hebt, hoe machtiger je je voelt. In Europa bekijken CEO’s het vanuit een heel ander oogpunt: macht betekent dat je het kunt outsourcen om er zeker van te zijn dat alles goed en vlot loopt en dat de werknemers zich op de business kunnen concentreren. Dat is een cultureel verschil.” Ze adviseert bedrijven advies te vragen bij een jurist of advocaat, vervolgens met een plan van aanpak te komen of alles uit te besteden. “In een internationale omgeving is het goed een internationale partner te hebben.”

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024