Blog

‘Rijksbreed Cloudbeleid’ belangrijke stap in cloudadoptie overheid

Het nieuwe cloudbeleid sluit goed aan op de bredere trend van versnelde maar verantwoordelijke groei van publieke cloud-toepassingen. Het is onze verwachting dat deze beweging in de Nederlandse publieke sector zal versnellen. Dit is goed nieuws voor burgers en bedrijven omdat het barrières slecht voor verdere digitalisering en kwalitatief goed overheidsfunctioneren.

Beeld: Capgemini

Het begin dit jaar uitgevoerde IDC-Metri onderzoek naar Cloud-adoptie binnen Nederland in opdracht van Capgemini heeft aangetoond dat de Nederlandse overheid achterligt ten opzichte van de overheden in de ons omringende landen. Dus de vraag die de publicatie van het nieuwe Cloudbeleid opwerpt is of we nu een versnelling gaan zien van het gebruik van Clouddiensten binnen de Nederlandse overheid?

Cloudsoevereiniteit

Als we spreken over publieke clouddiensten dan hebben we het voornamelijk over Microsoft, Amazon (AWS) en Google (GCP). Omdat deze clouddiensten vaak gecombineerd worden met andere oplossingen en vaak ook in combinatie met overheidsdatacentra heeft men het vaak over Hybride Cloudoplossingen. Ook zul je vaak de term ‘Soevereine Cloud’ binnen het overheidsdomein tegenkomen. Cloudsoevereiniteit richt zich op cloud computing omgevingen die eigendom is, wordt geïmplementeerd, wordt beheerd en lokaal of regionaal beheerd binnen één land of jurisdictie. Het belangrijkste idee achter soevereiniteit is om te reageren op het verlangen van elke organisatie naar controle, keuze en autonomie over hun data, systemen en applicaties.

Jonge mensen willen alleen nog maar opgeleid worden in de nieuwe cloud technologieën.

Bovenstaande omgevingen geven organisaties veel meer flexibiliteit en mogelijkheden om te groeien en te innoveren maar creëren ook complexiteit. Door de huidige krapte op de arbeidsmarkt binnen het ICT domein zien we een steeds sterkere afname van de traditionele ‘legacy’ ICT capabilities. Jonge mensen willen alleen nog maar opgeleid worden in de nieuwe cloud technologieën. In combinatie met de achterstand die de Nederlandse overheid heeft met de implementatie van clouddiensten ten opzichte van de ons omringende landen verwachten wij een versnelling. Dit omdat het aansluit bij trends in andere landen en sectoren en omdat een duidelijk kader in overheidsland een relevante randvoorwaarde is.

Overeenkomsten

Wat betreft de aansluiting op de brede trend: hoe verhoudt dit nieuwe Cloudbeleid zich tot andere landen en tot de private sector? Op basis van het recente door Capgemini Research Instituut gepubliceerde onderzoeksrapport “The journey to Cloud Sovereignty” vallen de volgende overeenkomsten op:

  • de rol die de coronapandemie gespeeld heeft in snelle acceptatie en ontwikkeling op cloudgebied
  • de focus op datasoevereiniteit

Datasoevereiniteit gaat over het behouden van controle over je data in de cloud. Weet ik op welke fysieke locatie mijn data zich bevindt en welke jurisdictie dat betreft? Is de toegangsbeveiliging goed geregeld? Kan ik dit transparant volgen over de hele levenscyclus van de data? Blijf ik echt eigenaar van mijn gegevens en kan ik ze terughalen en overdragen? Allemaal punten die duidelijke kaders noodzakelijk maken. Het Rijksbrede Cloudbeleid vliegt dit aan vanuit persoonsgegevens en de bestaande instrumenten voor risicobeheer, zoals Avg, DPIA, rubricering, BIO en de diverse auditdiensten. Het voegt hier een implementatierichtlijn aan toe voor de praktische uitwerking. Relevant is ook de eis van een toekomstige exit-strategie. Eén van de punten waarvan het Capgemini ‘The Journey to the Cloud Sovereignty’ rapport aangeeft dat er vaak onvoldoende aandacht voor dit aspect is.

De toon van het Rijksbrede Cloudbeleid blijft echter voorzichtig.

Een andere overeenkomst is dat de brede toepassing van publieke cloud in alle sectoren gepaard gaat met vragen over controle en soevereiniteit. Dat is duidelijk niet specifiek voor de overheid maar geldt voor alle sectoren. In de maakindustrie is deze zorg zelfs prominenter dan wereldwijd in de publieke sector. Recente cijfers uit onderzoeksrapport ‘The State of the Dutch Cloud Market 2022’ en de CBS cijfers zoals genoemd in de kamerbrief maken duidelijk dat de toepassing ondanks deze vragen zeer hard gaat. In Nederland is de publieke sector wel minder ver met grootschalig gebruik van publieke clouddiensten dan in bijvoorbeeld Verenigd Koninkrijk, Australië of Frankrijk. Zijn wij voorzichtiger? De bijlage van de kamerbrief geeft aan dat de aanpassing van het uit 2011 daterende beleid “hoog tijd” was.

Nadruk op beheersing van risico’s

De toon van het Rijksbrede Cloudbeleid blijft echter voorzichtig. Er is meer nadruk op de beheersing van de risico’s dan op de kansen die gemist worden als de publieke cloud niet benut wordt. De voordelen komen pas op de één na laatste pagina van de bijlage. De welwillende lezer die het belang van wendbaarheid, snellere realisatie van projecten en schaalbaarheid serieus neemt, leest wel dat de voordelen nu echt opwegen tegen de risico’s. In onze Capgemini projecten zien wij dat deze voordelen echt praktisch haalbaar zijn. Daarnaast zijn wij als Capgemini bezorgd dat sommige overheidsorganisaties hun ‘oude’ legacy systemen steeds moeilijker kunnen onderhouden door het toenemende gebrek aan kennis en zal dit een aanvullend aspect zijn binnen de overheid om te versnellen in cloud adoptie.

Je wilt ook operationeel en technisch soeverein zijn.

Voor die risico’s ligt er nu een duidelijk kader. In onze research rapport gaat soevereiniteit echter wel een stuk verder. In onverwachte situaties als een coronapandemie je eigen prioriteiten kunnen stellen en deze desnoods afdwingen, vraagt meer dan enkel datasoevereiniteit. Je hebt weinig aan soeverein zijn op data als je er niet mee kan werken vanwege ongeplande uitval, weggevallen van netwerkverbindingen, security issues of verrassingen in contracten op het gebied van zeggenschap. Anders gezegd: je wilt ook operationeel soeverein zijn. Tenslotte wil je technisch soeverein zijn: daadwerkelijk over kunnen stappen naar een andere aanbieder of het toch weer in eigen huis doen, portabiliteit en standaardisatie ter voorkoming van vendor lock in. In het Kamerbrede Cloudbeleid wordt deze bredere blik op soevereiniteit alleen aangestipt als ‘risico’s van marktconcentratie’. Dit komt overeen met de conclusie uit ons researchrapport dat organisaties in alle sectoren zich in eerste instantie alleen richten op datasoevereiniteit. Het Strategisch Leveranciers Management Rijk moet waarborgen bieden voor overheidsbrede contractuele afspraken met de grote commerciële clouddiensten. Deze afspraken zijn een belangrijke versneller, omdat ze voorkomen dat iedere overheidsinstantie afzonderlijk over dit ingewikkelde onderwerp eigen afspraken moet maken met de grote leveranciers. Wij werken momenteel nauw samen met de drie bekende commerciële cloudleveranciers en andere technologiepartners om soevereiniteitseisen volledig in dienstverlening en contracten te verwerken. Onze whitepaper ‘richtlijnen privacy in informatiebeveiliging bij strategische adoptie Microsoft cloud’ geeft hierin al een doorkijk.

Voordelen wegen op tegen de risico’s

De genoemde voordelen, een meer innovatieve, transparante, flexibele en efficiënte digitale Rijksoverheid, sluiten aan op het beeld uit ons onderzoek over andere landen en sectoren. Het is belangrijk dat het Cloudbeleid aangeeft dat de voordelen opwegen tegen de risico’s. Bovendien zien wij in de praktijk dat deze voordelen daadwerkelijk gerealiseerd worden.

Wat onderbelicht blijft zijn de beperkingen en risico’s van private cloudoplossingen, zeker waar deze van lokale aanbieders komen. In de bijlage van de cloudbrief wordt geschetst dat deze keuze voor private cloud in feite het beleid sinds 2011 is geweest. De bedoelde private Rijkscloud is daarbij niet gerealiseerd. Dat is een blessing in disguise. Ons onderzoek geeft aan dat steeds meer organisaties de limieten van private cloudoplossingen ervaren: beperkte innovatie, minder functionaliteit, mindere performance en schaalbaarheid dan publieke cloud, meer operationele issues, minder robuuste implementatie van standaarden en meer werk om blijvend aan wet- en regelgeving te voldoen.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren