Toverspreuken en bezweringsformules: To cloud or not to cloud

Stel dat je een toverstok zou hebben waarmee je een digitaliseringsproject 25 procent eerder afrondt. Menig bestuurder zou er wat voor over hebben. Deze toverstok bestaat: cloud. Maar zonder de juiste toverspreuken werkt de stok niet. En aan bezweringsformules geen gebrek. Op basis van gesprekken met overheidsorganisaties en de grote cloudleveranciers schetsen we hoe we van cloud een kans maken.

Ergens dit jaar staat ongeveer de helft van alle IT-voorzieningen in de cloud. Echt in de cloud. Niet in een datacenter dat cloudtechnologie toepast, maar in een public cloud. En public cloud betekent in de praktijk een contract met Microsoft, Google of AWS. Deze helft bevat nog erg weinig overheidsvoorzieningen. Het rijkscloudbeleid is een jaar oud. De stappen om dit toe te passen worden bij veel overheden nu gezet. Ondanks toverformules en bezweringen is dat goed nieuws. Onder andere omdat je zo hoogwaardige ontwikkelaars en kenniswerkers aan je bindt.

Passen wij ons aan of past de public cloud zich aan?

Het rijkscloudbeleid kun je lezen als aanpassen aan de realiteit van de public cloud. Deze zo gebruiken dat je aan BIO-eisen, privacy en security voldoet. Daarnaast de extra maatregelen die afhankelijkheid van de public cloudleverancier beperken. Aanpassen dus. Tegelijk past de cloud zich aan overheidseisen aan. Microsoft lanceerde begin oktober Cloud for Sovereignty: een veel verdergaande aanpak om binnen een public cloud een volgens overheidseisen afgeschermde omgeving te onderhouden. In de visie van Microsoft een best-of-both-worlds: de voordelen op innovatie, schaalgrootte, wereldwijde monitoring gecombineerd met goed auditbare inrichting, verregaande versleuteling en andere technisch grondige maatregelen. En de andere wereldwijde spelers die via het SLM-mechanisme overeenkomsten met de overheid sluiten zijn net zo gemotiveerd om overheidseisen serieus te nemen. Het is dus niet alleen een kwestie van aanpassen; public clouddiensten passen steeds beter bij de verwachtingen van overheden.

Bezweringsformule 1: IT-infrastructuur is maar 10 procent dus we negeren het

Ongelukkige of overmoedige keuzes in de infrastructuur leiden regelmatig tot vertragingen in de realisatie die gemakkelijk tien keer de kosten zijn. Negeren is dan geen optie.

Bezweringsformule 2: zijn de cloudaanbieders wel te vertrouwen

De gedachte dat je je dienstverlening niet afhankelijk wilt maken van andere partijen is logisch. Maar voor veel andere diensten vinden we diezelfde argumenten niet zo goed. Als we een pakket verzenden denken we meestal niet na of we DHL, UPS of PostNL kiezen. Voor het afnemen van gas, water en elektriciteit hebben we geen keus. Catering of onderhoud van het gebouw doen organisaties niet zelf. De echte vraag is dus hoe je het verantwoord in handen van deze partijen legt op basis van het recente beleid.

Bezweringsformule 3: we willen wel, maar politieke onzekerheid…

Deze formule is een variant op de voorgaande. Het gaat om de dynamiek tussen uitvoering, beleid en politiek. Het beleid rond cloud is netjes uitgewerkt, je kunt het gewoon uitvoeren. Maar draagvlak is een must. De Tweede Kamer is een doorgeefluik van maatschappelijke zorgen over de marktmacht van grote wereldwijde Amerikaanse techbedrijven. Drie is een te klein getal voor statistiek, maar het feit dat de drie wereldwijde hyperclouds alle drie ontstaan zijn vanuit een zeer groot techbedrijf is geen toeval. De IT-voorzieningen die zij zelf nodig hebben blijken ook erg goed voor heel veel andere partijen. Dit verklaart waarom ondanks politieke wil en stoere verhalen er nergens in Europa overheden zijn die dit niveau van cloudomgevingen hebben kunnen ontwikkelen. Dit is een realiteit die niet wijkt voor politieke bezweringsformules.

Om verder te komen is een positief verhaal nodig met de volgende ingrediënten:

Toverspreuk 1: doe wat wel kan sneller

Stel niet de vraag of je voor de meest complexe functie aan alle eisen voldoet, begin met datgene wat zeker kan. Allereerst waar open data verwerkt worden en vervolgens waar het om gegevensstromen gaat die de maatschappij in- en uitgaan en dus hoe dan ook ‘door de cloud gaan’.

Toverspreuk 2: zie het als een mens- en organisatievraagstuk

De stap naar de cloud is multidisciplinair. Het gaat ook over de vraag hoe je hoogwaardig personeel motiveert, wat er verandert in contracten en hoe verantwoordelijkheden in de IT-afdeling verschuiven.

Toverspreuk 3: benut het feit dat publieke cloud veiliger is

Tegen de intuïtie in zijn gegevens in een publieke cloud inmiddels veiliger dan elders. Door de schaalgrootte en de noodzaak voor risicobeheersing moeten de publieke cloudaanbieders hun zaakjes buitengewoon precies op orde hebben. Dat is goed voor de veiligheid.

Toverspreuk 4: zorg zelf voor kennis en doe het niet in je uppie

De route naar de publieke cloud is een verandering waar iedere organisatie zelf voldoende inzicht in moet opbouwen. Binnen de overheid is er een begin gemaakt om deze kennis onderling te delen via SLM Rijk. Dat is echter slechts een begin. Meer kennisopbouw, bijvoorbeeld via een Center Of Excellence, is nodig.

Capgemini organiseert regelmatig kennissessies voor beslissers om met elkaar en met de cloudleveranciers deze kennisopbouw te versnellen. Het publieke cloud aanbod is een kans om sneller aan burgers en ondernemers te leveren.