Er is geen twijfel meer dat consumenten en bedrijven enorm afhankelijk zijn geworden van het internet. Waar nog niet zo lang geleden traditionele (spraak)telefonie als nutsvoorziening werd beschouwd, kan je nu stellen dat uitval van de dataverbinding als hinderlijker wordt ervaren dan de uitval van de spraakverbinding. Wifi is zo’n beetje de eerste levensbehoefte van de gemiddelde vakantieganger.
Maar om nu het hele internet als nutsvoorziening te gaan beschouwen, zoals Eric van Gend beweert in een blog op deze site, gaat me wat te ver. Het begrip internet is daarvoor te veelomvattend. En ook de directe link naar technologie vind ik iets te kort door de bocht. Je lost je afhankelijkheden namelijk niet alleen met technologie op.
Om te bepalen wat een nutsvoorziening is moet je kijken naar de aspecten waar je zelf geen controle over hebt. In de online wereld moet je volgens mij dan een onderscheid maken tussen je eigen netwerk, access, je ISP, internet carriers en de online service providers.
Access gaat over de last mile: 3G, wifi, koper of glas. De ISP zorgt ervoor dat je op het internet aangesloten wordt. De carriers en exchanges zorgen voor transport van je data van – en naar – datacenters. En als laatste leveren service providers vanuit die datacenters de applicaties of sites die je nodig hebt voor je bedrijf of in het dagelijks leven.
Voor elke categorie kan je bepalen of je zelf iets kunt doen om je afhankelijkheid te beperken, of niet. Vergelijk het met elektriciteit of water: je kunt daarvoor niet zelf zomaar een alternatief regelen.
Je kunt op basis van die analyse voor het internet dan stellen dat de onderdelen access en carriers inderdaad nutsvoorzieningen zijn, en sommige online services zoals pinnen, digID en nog zo een paar.
Voor die categorieën kun je betogen dat de overheid daar iets over zou moeten zeggen in het kader van nutsvoorzieningen.
Voor de andere categorieën kun je zelf iets regelen. En zeker als je als bedrijf weet dat je afhankelijk bent van externe diensten, zou je daar actie op moeten ondernemen. Het wijzen naar de buitenwereld en hopen op een schadevergoeding lijkt me niet echt de beste oplossing als het voortbestaan van je bedrijf ervan afhangt.
Soms hoor je beweren dat die afhankelijkheden en de risico’s ertoe leiden dat je beter kunt insourcen, dus zelf je ICT gaan bedrijven. Dat zou kunnen als je nog zonder online diensten zou kunnen werken, of in dat scenario geen oplossingen voor risicobeheersing nodig zou hebben. Ook eigen IT kan immers falen. En ook voor het internet tijdperk bestonden uitwijk centra. Het is dus maar net hoe groot je de risico’s inschat en in hoeverre je sowiezo maatregelen zou moeten nemen.
Ik denk dat het voor elk bedrijf verstandig is om zich meer bewust te worden van afhankelijkheden, risico’s en het eigen aandeel in de beheersing daarvan. De online wereld is “here to stay”, en het ontkennen, of zoals sommigen doen: suggereren dat je met eigen servers en software niet meer van het internet afhankelijk bent, is naïef.
De DHPA draagt haar steentje bij met escrow regelingen. Als klant kun je daarom vragen bij je service provider. Daarnaast hebben initiatieven als het PCR (Partnering voor Cyber resilience) van het World Economic Forum als doel om executives van ondernemingen meer bewust te maken over dat eigen aandeel en verantwoordelijkheid, zodat die er beleid op kunt bouwen. Voor ieder bedrijf een must in deze tijd!
Michiel Steltman