Indien je gaat outsourcen naar een datacenter, dan wil je dat de data en apparatuur goed is ondergebracht. Je wil voor een partij kiezen, die de zekerheid biedt dat er correct en zorgvuldig met de data omgegaan wordt. De vraag is echter hoe je de kwaliteit en de veiligheid kunt toetsen die het datacenter biedt.
Certificering geeft weliswaar geen absolute garantie, maar maakt kwaliteit beter aantoonbaar voor derden. Het is een externe kwaliteitsbeoordeling aan de hand van heel duidelijke normen en/of eisen door een onafhankelijke instantie.
Hieronder zal ik drie vaak gestelde vragen beantwoorden:
Zijn er in Nederland Tier 3 datacenters?
TIER-classificaties geven de verschillende classificaties van redundantie aan die datacenters bieden. Deze classificatie is ontstaan na het uitkomen van de Amerikaanse norm TIA-942 in 2005 die de minimumeisen voor een datacenter, voor wat betreft telecommunicatie-infrastructuur, omschrijft. Datacenters kunnen Tier 1 t/m 4 geclassificeerd zijn door het Uptime Institute; dat is de certificeringsinstantie. Hoe hoger de classificatie is, hoe beter de beschikbaarheid van het datacenter is.
Omdat Europa en de Verenigde Staten zaken op verschillende manieren organiseren, zoals het enkelvoudige stroomnet en de wet en regelgeving, is het in Europa per land verschillend of datacenters aan de gestelde eisen kunnen voldoen.
Juridisch gezien is er in Nederland op dit moment geen enkel datacenter dat zich officieel Tier 1, 2 3, of 4 gecertificeerd mag noemen. Zie in dat verband ook deze kaart van het Uptime Institute die aangeeft welke datacenters per land in de wereld gecertificeerd zijn.
Is ISO 27001 equivalent aan NEN 7510?
ISO 27001 en NEN 7510 zijn standaarden voor informatiebeveiliging. De Nederlandse norm NEN 7510 beschrijft specifiek de informatiebeveiliging (patiëntgegevens) in de zorg. Beide normeringen hanteren een procesmatige aanpak en zijn daarin vrijwel identiek. Echter door de patiëntspecifieke aanvullingen in de maatregelen omtrent beheer uit de NEN 7510 norm, verschilt deze van de ISO norm en zijn de beiden daarom niet equivalent. Echter voor organisaties die moeten voldoen aan de NEN 7510 norm zoals zorginstellingen, is men voor de keuze van een leverancier niet beperkt tot alleen de NEN 7510 gecertificeerde bedrijven. Want wanneer de leverancier zelf geen patiëntgegevens verwerkt is ISO 27001 afdoende.
Hoe kom ik erachter of de certificering klopt?
Hoe kom ik er als klant achter dat de certificering (of soms lijsten van certificeringen) echt klopt en bijvoorbeeld niet allang is verlopen? Helaas vergt dit wat uitzoekwerk. Vraag als stap één naar een kopie van het certificaat met de naam van de “Registrar” en het certificaatnummer. Check of dat het document geldig is. Indien het is verlopen kan het nog wel zo zijn dat het datacenter net op het moment in het proces van audit/her-certificatie zit. Vraag dan om een duidelijke uitleg en de verificatie van het bureau dat de audit uitvoert.
Het BSI, DNV-KEMA en TUV zijn veel gebruikte certificeringorganisaties. Op hun sites zijn ook zoekfuncties waarmee een certificaat te verifiëren is. De leverancier kan deze URL, zie bijvoorbeeld hier meteen geven. Check ook voor welk locatie of dienst het certificaat exact geldt. Een leverancier kan het bijvoorbeeld voor telefoniediensten hebben gehaald in Engeland, en niet voor datacenterdiensten in Nederland.
Veel datacenters behalen de certificering vooral vanwege de vraag van de klant en omdat hun concurrenten het ook hebben. Het certificaat puur als strik om het product is de verkeerde insteek. Als leverancier zou je ten eerste je eigen processen willen verbeteren en dan zal de dienstverlening vanzelf ook daarin meegaan.
Stijn Grove werkt voor Solcon Datacenters en is eigenaar van ColoAmsterdam en thePeopleCloud
