Online gaan, zijn en blijven

Het onderwerp hosting wordt veelal onderschat. Je kunt tegenwoordig letterlijk voor een dubbeltje op de eerste rang zitten en tegen zeer geringe kosten een webshop laten hosten. Of het beveiligingsaspect dan ook goed geregeld is, is maar de vraag. Wel een belangrijke vraag overigens. Want, wist je dat sinds 1 januari van dit jaar de Nederlandse wet Meldplicht datalekken is ingevoerd? En dat bij lekken van persoonsgegevens de boete kan oplopen tot maar liefst 820.000 euro. Jawel, die regelgeving geldt ook voor de kleine webwinkelier. Met de experts aan tafel gaan we dieper in op de hostingvraagstukken, de beveiligingsaspecten en komen uiteraard ook de nieuwe domeinnaamextensies aan bod.

De keuze voor een hostingprovider hangt volgens Frederik Denkens heel sterk af van de eigen kennis en focus van een webwinkelier, alsmede de volwassenheid van het bedrijf. “Beginnende e-tailers doen er goed aan zoveel mogelijk zaken uit te besteden. Eenmaal groeiende, worden de aspecten schaal, beschikbaarheid en veiligheid steeds belangrijker. Daarom is het goed om over die parameters ook al direct in het begin na te denken en mee te nemen in de keuze voor een hostingprovider. Hoeveel wil je zelf gaan doen, wil je operationeel zelf veel gaan uitvoeren, heb je technische expertise in huis, of juist alles uitbesteden bij een partner?” Pascal Schut vult aan: “Belangrijk is ook op basis van gevoel en de inzichten die je als organisatie hebt een keuze te maken. En wat heel vaak onderbelicht is, omdat de markt veelal vanuit de techniek wordt aangevlogen, is of de partner een goede gesprekspartner is voor je business model om uiteindelijk je ook als organisatie verder te kunnen helpen.” Vertrouwen is daarin ontzettend belangrijk, zegt Michiel Steltman. “Vroeger was IT ondersteunend aan je proces, nu is IT het proces, de business. Dus de vertrouwensrelatie is heel belangrijk. Die is subjectief en objectief. Het eerste slaat op een partij die kan ontzorgen, het objectieve deel kan je toetsen met certificeringen, controles, et cetera. Waarin je kan zien dat een bedrijf niet alleen zegt de beste te zijn, maar het ook extern heeft laten toetsen.”

Gedeelde verantwoordelijkheid

In de context van vertrouwen zal je meer en meer moeten denken in partnerships, meent Frederik Denkens. “Tot enkele jaren geleden had je een hostingprovider en webdeveloper die elk een bepaalde verantwoordelijkheid hadden. In modernere organisaties constateren we steeds meer een gedeelde verantwoordelijkheid. In de oude manier van werken werd schaalbaarheid en beschikbaarheid opgelost in hardware, tegenwoordig gaan we de software en de infrastructuur optimaal op elkaar afstemmen om samen de business naar een hoger niveau te brengen.” Volstrekt mee eens, zegt Michiel Steltman. “We noemen dat het serviceprovider DNA. Daar onderscheidt zich de oude IT van de nieuwe IT. Het is inderdaad een gezamenlijke verantwoordelijkheid, het is nooit af en vereist een continue doorontwikkeling. Wat vandaag veilig is, is het misschien morgen niet meer.” Daar heeft governance ook een belangrijk aandeel in, meent Pascal Schut. “Ook als het gaat om servicemanagement dient er op frequentiebasis overleg te zijn tussen klant en serviceprovider. Als een webwinkelier een actie uitstuurt, is het belangrijk dat de hostingprovider daar wel van op de hoogte is. Dat genereert extra traffic, waarop voorzorgsmaatregelen genomen kunnen worden.” Frederik Denkens is het daar niet mee eens: “Vanaf een bepaald niveau van een webwinkelier moet hij over een platform beschikken dat ook die pieken aankan. Dat is mogelijk met moderne technieken, maar vereist natuurlijk wel de juiste cloudarchitectuur en passende applicatie. Dan spreken we weer over de rol van de hoster, omdat hij met de developers om tafel moet gaan om te sparren over de architectuur en applicatie.”

Klassieke fout

De gemiddelde webwinkelier heeft zelf nauwelijks ICT kennis, maar ze worden bij veel hostingproviders wel geacht zelf een keuze te maken uit een hostingpakket, zegt Michiel Henneke. “En dan kan het goed mis gaan. Een klant bij een van onze registrars met een B2B handelsplatform deed niet meer dan honderd transacties per maand, maar met een gemiddelde waarde van 50.000 euro per transactie. Hij dacht te kunnen volstaan met een voordelig shared hostingpakket. Een klassiek misverstand; bij deze schaal past deze vorm van hosting. Niet altijd dus.” Frederik Denkens: “Dan kom je toch weer terug op die gedeelde verantwoordelijkheid van hoster en developer. Dat is zeer belangrijk en kunnen deze klassieke misverstanden worden voorkomen.” Michiel Steltman: “In Nederland zie je honderden hostingproviders, een heleboel van die kleine partijen zijn in feite webbureaus die het hosten er ‘even’ bij doen. Soms zelfs in hun eigen bezemkast.” Michiel Henneke: “Als je zelf als webwinkelier de kennis niet in huis hebt, maar je hebt een externe developer. Zorg dan dat hij gesprekspartner is bij de hostingprovider.” Michiel Steltman: “Heel belangrijk bij de selectie is ook het bekijken van het service-level agreement (SLA). Om de transparantie in de hostingbranche te vergroten, heeft DHPA een checklist opgesteld waarmee gecontroleerd kan worden in hoeverre een SLA alle belangrijke aspecten heeft benoemd. De compleetheid van de afspraken die je maakt, is heel belangrijk.”

Foto sessie 2 (1)


Trendanalyses

Proactief beheer en monitoring, doorlopende trendanalyses, zijn belangrijk om een webshop in de lucht te houden, zegt Pascal Schut. “Denk aan trendanalyse op traffic, op inrichting, op workload, et cetera. Dat vraagt veelal om periodieke afstemming met partners om continue een transitie te kunnen doormaken.” Frederik Denkens: “Als het gaat om beschikbaarheid zal je een aantal technische oplossingen in ogenschouw moeten nemen, vanwege piekverkeer, vanwege DDoS aanvallen, vanwege het niet up tot date houden, en zo verder. Er zijn veel factoren die de beschikbaarheid beïnvloeden. Zoals eerder gezegd, kun je tegenwoordig heel goed met technieken horizontaal schalen om pieken op te vangen. Ook daar weer moet de applicatie wel klaar voor zijn.” Goedkoop moet niet de juiste afweging zijn, meent Schut. “Vaak zie je dat afwegingen gedreven worden door geld, maar het is belangrijk om afweging te maken tussen beschikbaarheid, de technische termen Recovery Point Objective (RPO) Recovery Time Objective (RTO) Disaster Recovery (DR). Vergelijk het met de verzekeringspremie die je wil betalen als organisatie voor een mogelijk issue dat kan optreden met bijvoorbeeld serveroverload. En wil je überhaupt een verzekeringspremie? Dan kom je op het punt van: wat kost het je als je een dag offline bent? Wat heeft dat voor impact op de business? Veel klanten hebben hier geen goed beeld bij.” Daar komt de checklistgedachte achter het service-level agreement weer goed van pas, benadrukt Michiel Steltman. “Wie is verantwoordelijk voor het proactief beheren en hoe is dat ingeregeld op het moment je extra capaciteit nodig hebt? En wie geeft daarvoor het signaal? Is het afgesproken dat de provider kolen op het vuur mag gooien en de rekening gaat omhoog of moet er eerst een hele loop met toestemmingen worden doorlopen? Uiteindelijk zijn dat de details die bepalen of een webshop al dan niet in de lucht blijft als het spannend wordt. ”

SSL certificaat

Als het gaat over beveiliging begint volgens Bart Mortelmans een SSL certificaat nu langzaam de standaard te worden. “Als webwinkelier heb je dat gewoon nodig. Zo’n groene adresbalk schept extra vertrouwen, reduceert het aantal achtergelaten winkelmandjes en verdient zichzelf per direct terug door de extra bestellingen. Meer mensen durven een bestelling te plaatsen.” Pascal Schut: “Ik denk dat het voor de webwinkeliers een onderbelicht aspect is en dat zij beperkt weten wat de impact is. Op het moment dat je https hebt versus http is het ook belangrijk om te weten dat je bij Google hoger gerankt wordt.” Juist die afweging irriteert mij soms, stelt Michiel Henneke. “Veel partijen die ik sprak tijdens de Webwinkel Vakdagen over het SSL certificaat hadden het over die ranking, terwijl het in de eerste plaats moet gaan om het beveiligingsaspect.” Bart Mortelmans: “Een SSL certificaat is vooral bedoeld om de perceptie te creëren om het vertrouwen van klanten in een webshop te vergroten. Het ondersteunt de beveiliging van de communicatie tussen de webwinkelier en de klant.” Als je spreekt over veiligheid, dan is zo’n SSL certificaat slechts een laagje in de totale beveiliging,” zegt Frederik Denkens. “Het heeft niks te maken met serverbeveiliging of met hoe veilig een applicatie is ontwikkeld. Je moet de beveiliging van een webshop vergelijken met een ui met veel laagjes. Hoe meer laagjes je hebt, hoe minder makkelijk je daar doorheen prikt. SSL is er daar één van.” Michiel Steltman: We vinden SSL meer een hygiëne aspect. Een aantal basis internetstandaarden moet je als webwinkelier gewoon hebben. Het platform internet.nl, dat gesubsidieerd wordt door de overheid, biedt goede handvatten voor deze standaarden.” Het initiatief internet.nl hebben we tijdens de Webwinkel Vakdagen ingezet, waarbij honderden partijen hun website en webshop hebben laten testen op een aantal standaarden, zegt Michiel Henneke. “Op hele fundamentele punten bleken dingen bij een groot aantal partijen gewoon niet goed te zitten met als dieptepunt een partij waarvan de webshop helemaal niet op zijn naam stond, maar op de naam van zijn webdeveloper. Let er dus op dat de tenaamstelling goed geregeld is.” Ook Bart Mortelmans kan dat beamen. “Wij komen het regelmatig tegen dat er onenigheid is tussen webdesigner en webwinkelier. En dan heb je echt een probleem.”

Meldplicht datalekken

Webwinkeliers hebben er alle belang bij om (persoons)gegevens maximaal te beschermen, weet Frederik Denkens. “Als ze te grabbel worden gegooid of misbruikt, ben jij als webwinkelier aansprakelijk.” Michiel Steltman: “In Nederland is de Meldingsplicht datalekken sinds 1 januari 2016 ingevoerd. Je loopt risico’s als je naar het oordeel van de autoriteit je zaakjes niet voor elkaar hebt en dat je beboet wordt voor nalatigheid. Men is zich daar nog te weinig van bewust.” Bart Mortelmans: “Het moeilijke aan security is dat het overal moet zitten. Je kan alle deuren aan de voorkant van je huis sluiten, maar als de achterdeur wagenwijd open staat, heb je een probleem. Je zult dus aan alle leveranciers, de hoster, de developer, de payment service provider, en ga zo verder, de vraag moeten stellen hoe zij de beveiliging hebben ingericht.” Pascal Schut: “De boete voor het lekken van persoonsgegevens kan oplopen tot maar liefst 820.000 euro. Vanuit Meldplicht datalekken ligt de verantwoordelijkheid bij de webwinkelier. Het gros van de webwinkeliers heeft helaas geen flauw idee waar de risico’s liggen. Het begint aan de bovenkant met het beleid, hoe is het intern georganiseerd, hoe breng je het onder de aandacht, et cetera.” De nieuwe wetgeving draagt volgens Bart Mortelmans wel bij aan een stukje awareness, ook bij de kleinere webwinkelier. “Hij denkt nu wel twee keer na voordat hij een mailing uitstuurt met heel het klantenbestand in de cc. Want ook dat is een datalek.” Pascal Schut: “Ik denk wel dat het voor de kleinere webwinkeliers een ver van mijn bed show is: ‘zo’n boete van 820.000 euro, die is voor multinationals, voor mij geldt dat niet’. Dus wel. Zo’n lek moet wel binnen 72 uur worden gemeld bij de autoriteit persoonsgegevens. Er worden dan vijf zaken gevraagd. Hoeveel personen worden getroffen door het lek, om welk type persoonsgegevens het gaat, of de persoonsgegevens gewijzigd zijn, welke risico’s het lek meebrengt voor de betrokkenen en welke maatregelen zijn genomen. Op basis van die criteria wordt het boetebedrag bepaald.” Michiel Steltman: “De eerste drie maanden van dit jaar heeft de autoriteit persoonsgegevens al duizend meldingen gehad en ze verwachten dat dit aantal flink zal stijgen.”

Nieuwe extensies

De nieuwe extensies bieden nieuwe mogelijkheden voor webwinkeliers om daar creatief mee om te gaan en nieuwe markten mee aan te boren, zegt Pascal Schut. “Daarnaast is het belangrijk dat je bijvoorbeeld zaken als de SEO rond nieuwe extensies goed moet regelen. Met alleen een nieuwe extensie ga je het niet redden, het zal altijd een combinatie moeten zijn.” Bart Mortelmans verzekert dat Google de nieuwe extensies op het niveau van de reguliere extensies plaatst. “Dus kies je voor een nieuwe extensie zal je in de ranking ongeveer gelijkwaardig zijn. Daarnaast wordt bijvoorbeeld bij een webshop met de extensie .bike direct duidelijk wat de core business is of voor een evenement met een landingspagina .amsterdam direct waar het zich afspeelt. Dat vergroot de herkenbaarheid.” Pascal Schut denkt ook dat de nieuwe extensies uitgebuit worden. “Als je ziet wat sommige extensies kosten, dan gaat dat nergens meer over.” Michiel Henneke nuanceert dat enigszins: “.nl kostte in de jaren negentig ook 100 gulden per jaar. Het is een kwestie van schaal.” Bart Mortelmans: “Een .bank is inderdaad een dure extensie, maar er zit ook heel veel achter, een extra vertrouwensboost. En natuurlijk zijn er extensies waarvan er weinig verkocht zullen worden, en dan zijn ze nu eenmaal duurder. De nieuwe extensies ten spijt, de landextensies waar je klanten zitten, moet de eerste keuze zijn. Is de geschikte naam onder de landextensie niet meer beschikbaar, dan zou je een nieuwe extensie kunnen overwegen. Die moet dan wel exact ‘vertellen’ wat je doet en wie je bent, het moet een memorabele naam zijn.” Michiel Henneke: Als we kijken naar statistieken wordt een domeinnaam steeds meer een betrouwbaarheidsreferentie in een zoekresultaat. Ik ben ervan overtuigd dat het uitschrijven van bijvoorbeeld .amsterdam (in plaats van .ams) en daarmee duidelijk maken waar het echt om gaat, een voordeel oplevert dat ver opweegt tegen het nadeel van de langere extensie. Dat zien we ook bij onze oosterburen. Duitse steden die zijn uitgeschreven als steden-tld’s bieden de meeste afzet.”

Meerwaarde

Michiel Henneke: “We hebben een interessant online onderzoek gedaan en ondervraagden laten kiezen tussen links met verschillende extensies, zoals schoenen.shop, schoenen.amsterdam en schoenen.com.  Sommigen daarvan, zoals .shop bestonden op dat moment nog niet eens. Dan zie je dat ook schoenen.shop gewoon gekozen wordt, terwijl niemand ooit een domein met die extensie gezien kan hebben. Mensen hebben daar gewoon een bepaald beeld en gevoel bij.” Michiel Henneke verwacht echter niet dat bestaande webwinkeliers die reeds een enorm SEO netwerk hebben opgebouwd, een switch maken van een landextensie naar een nieuwe extensie. “Daar moeten inderdaad heel goede redenen voor zijn,” vult Bart Mortelmans aan. “Switchen is gevaarlijk. Er zijn wel heel veel nieuwe initiatieven die een meerwaarde kunnen ondervinden van de nieuwe extensies, zoals evenementen.” Frederik Denkens heeft zijn bedenkingen: “Inderdaad, voor hele lokale evenementen kan een specifieke extensie als een .amsterdam of .gent interessant zijn, maar zeker niet voor een webwinkelier. Een webwinkelier heeft toch als uitgangspunt om los van steden, landen en grenzen te denken? Dan begrijp ik niet waarom je een lokale extensie zou moeten registreren.” Michiel Henneke: “Dat kan alleen als een stad een bepaalde uitstraling heeft. Zo heb ik met een reclamebureau gesproken die met .paris aan de slag is gegaan, omdat het wereldwijd een gevestigde naam is in bijvoorbeeld parfumerie of mode. Parijs is dan een toevoeging die werkt.”

Foto sessie 2 (4)

Nationale Wasstraat

Tot slot geven de heren aan tafel nog een blik op de nabije toekomst. Pascal Schut: “De markt beweegt zich steeds meer naar cloud orchestration. Met andere woorden, de infrastructuur moet voortdurend matchen met de workloads die je als organisatie hebt. Dat kan een volledig publieke cloud zijn, een cloudVPS achtig principe of in de eigen cloud van een hostingprovider. Voor de internationale webshops is bovendien een content delivery network (CDN) een hele belangrijke. Uitwijken in geval van calamiteiten, zoals stroomuitval als engineerings- en gebruikersfouten, zijn ook aspecten om rekening mee te houden. Kom je weer terug op de verzekeringspremie: tot welk niveau wil je als webwinkelier ‘verzekerd’ zijn?” Frederik Denkens verwacht dat het menselijke aspect op automatisatie langzaam volledig verdwijnt. “Ook platform as a service oplossingen zullen steeds meer gebruikt gaan worden, vooral door kleinere webwinkeliers. De mogelijkheden die de cloud biedt, gaat alleen maar toenemen.” Michiel Steltman: “Als industrie gaan we meer praten over business risico’s in generieke zin. Dat wordt nu al veel beter gearticuleerd dan enkele jaren geleden. Continuïteit staat voorop. Er ontstaan ook steeds meer oplossingen voor bijvoorbeeld DDoS aanvallen. In Nederland hebben we bijvoorbeeld de Nationale anti-DDoS Wasstraat (NaWas), die een on demand beveiliging biedt tegen DDoS aanvallen. NaWas is een coöperatief initiatief en bedoeld voor middelgrote, maar ook voor kleinere providers voor wie het zelf kopen en onderhouden van anti-DDoS apparatuur onhaalbaar of niet rendabel is. En zo is er in de markt gelukkig steeds meer aandacht voor het bestrijden van cybercrime.” Allemaal positieve ontwikkelingen om een webshop in de lucht te hebben en houden.

Geef als eerste een reactie

Geef een reactie

Uw e-mailadres wordt niet gepubliceerd.


*