ownCloud en Kiteworks – verkeerde optelsom van certificeringen

Dinsdag is een fusie bekendgemaakt. Het Duitse opensource softwarebedrijf ownCloud gaat op in Kiteworks uit Amerika. De twee bedrijven bieden ongeveer de zelfde dienst, dus wat dat betreft is de deal weinig bijzonder. Wie kijkt naar de communicatie ziet dat daar iets mis is gegaan. Kiteworks richt zich op veilige communicatie en bestandsdeling. Daarvoor heeft het een eigen platform ontwikkeld: Private Content Networks (PCN). OwnCloud is vooral bekend van het open-source content samenwerkingsplatform dat door overheden en bedrijfsleven gebruikt wordt.

Certificeringen

Op het eerste gezicht gaat het hier dus om de fusie van twee bedrijven die ongeveer het zelfde leveren. De verschillen zijn echter opvallend. Om te beginnen is er een verschil tussen de closed en opensource dat verder niet hoeft te worden uitgelegd. Maar dan komt het: Kiteworks schermt met certificeringen voor SOC 2 Typ II, FedRAMP Authorized, ISO 27001, 27017, 27018 enCyber Essentials Plusn. OwnCloud beschikt over BSI C5, IDW PS 951, ITSMG, TeleTrusT en Software Hosted in Germany. In de communicatie wordt gesuggereerd dat de klanten van het Duitse bedrijf beter worden van de deal. Alle certificeringen van het Amerikaanse bedrijf zullen namelijk ook gelden voor de dienstverlening in Duitsland.

Optelsom

Hier gaat duidelijk wat mis in de communicatie op een manier die wel eens vaker voorkomt. De overname van een bedrijf betekent namelijk niet dat alle certificeringen die de kopende partij in entree heeft hangen in een keer van toepassing zijn op de overgenomen partij. Die optelsom mag niet worden gemaakt. De scope van een certificering kan betrekking hebben op een gebouw of een proces dat alleen door de kopende partij wordt gebruikt. Als de koper in het buitenland zit kan voorkomen dat daar certificeringen worden gebruikt die in het land van de overgenomen partij geen enkele waarde hebben. Het omgekeerde geldt natuurlijk ook. Een Nederlands ISO 27001 datacenter overnemen betekent niet dat de Belgische eigenaar die certificering mag gebruiken voor zijn vestigingen in België. Een reden te meer bij elk bedrijf waarmee je zaken omdat het gecertificeerd is periodiek te controleren of het echt voldoet aan die kwaliteitseisen.