Open cloudstandaarden zijn een must
Overstappen naar een andere cloudleverancier of samenwerken met producten van andere cloudproviders is er voor de overheid niet bij vanwege een gebrek aan open standaarden. Dataportabiliteit en cloudinteroperabiliteit verplicht stellen zou de cloudmarkt een duw geven om deze standaarden ontwikkelen, aldus Forum Standaardisatie. ‘De vrijblijvendheid moet eraf.’
De verlokkingen van de cloud zijn groot, dus ook voor de overheid. Steeds meer overheidsorganisaties stallen hun programma’s, bestanden en data bij private cloudbedrijven. Ook de rijksoverheid, sinds de vorige staatssecretaris daar in 2022 groen licht voor gaf. Er lonkt de belofte van grotere efficiency, lagere kosten en een goede beveiliging. Een eigen infrastructuur bouwen en onderhouden is niet nodig. Maar er zijn ook negatieve kanten. De cloudoplossingen die de markt biedt, zijn zo gesloten als een oester. Zo neemt de afhankelijkheid van ‘cloud-native’ applicaties toe. Waar ook de Europese Commissie over mee kan praten; alle 32.000 ambtenaren van de Commissie maken gebruik van Microsofts online-kantoorsoftware Office 365. De marktmacht van de private cloudaanbieders is groot en de overheid lijkt het nakijken te hebben.
Ingrijpen is nodig
Ingrijpen is dan ook nodig, vinden voorzitter Larissa Zegveld van Forum Standaardisatie en hoogleraar Standaardisatie en Intellectueel Eigendom Rudi Bekkers van de TU Eindhoven. Ook Bekkers is lid van deze organisatie, die de publieke sector adviseert over de toepassing van standaarden en de lijst van standaarden beheert, die overheidsorganisaties bij hun ICT-aanbestedingen verplicht uit moeten vragen. Het Forum presenteerde onlangs een uitgebreid onderzoek naar standaarden voor clouddiensten. Doel ervan is overheden die de transitie naar de cloud willen maken, de handvatten te bieden. “De ICT-markt heeft al veel vendor lock-in-achtige mechanismen in zich. Uitvoeringsorganisaties kunnen erover meepraten hoe lastig het is bij een nieuw contract naar een ander rekencentrum over te stappen. In de cloud is de kans op vendor lock-in vele malen groter. De ontwikkelingen in cloudtechnologie zijn zodanig dat deze flexibiliteit verder afneemt, bij applicaties maar ook bij datahosting. Belangrijk voor overheden is dat ze zonder problemen van de ene naar de andere cloudleverancier kunnen verhuizen,” zegt Zegveld.
Onderzoek
De boodschap van het onderzoek is divers: zorg als overheid voor meer regie op standaarden voor clouddiensten, breng het kennisniveau omhoog, breid de ‘Pas toe of leg uit’-lijst uit met standaarden voor onder meer dataportabiliteit en leg standaarden voor cloudinteroperabiliteit verplicht op. Volgens het onderzoek zijn aanbieders van clouddiensten bereid deels mee te willen bewegen, als de overheid duidelijkheid geeft over welke open standaarden ze moeten ondersteunen.
Cloudmarkt
De schaduwkant van de cloudmarkt, legt hoogleraar Dekkers uit, is dat ze niet op een normale manier functioneert.
“Het is geen gezonde concurrerende markt. De kwaliteit van het product speelt vaak zelfs een ondergeschikte rol. Het aantal gebruikers van een product en de integratie met andere producten van dezelfde leverancier is meestal bepalend. Hoe groter het aantal gebruikers, des te groter de macht van de cloudaanbieder en des te groter het groeipotentieel van de aanbieder.”
De vaderlandse cloudmarkt is in handen van Amazon en Microsoft (elk goed voor veertig procent) en Google (tien procent). De resterende tien procent bestaat uit de eveneens Amerikaanse techbedrijven IBM, Oracle en VMware, maar ook de Franse bedrijven OVHcloud en Scaleway en het Nederlandse Leaseweb. Er zijn dus wel andere partijen dan de ‘hyperscalers’ actief, maar deze bedrijven zijn qua omvang veel kleiner. “De grote partijen worden groter en voor kleine spelers blijft er nauwelijks wat over,” zegt Bekkers.
Tegenwicht
Open standaarden kunnen daar tegenwicht aan bieden, stelt Bekkers. “We hebben goed geregeld dat iemand met een KPN-abonnement een Vodafone-abonnee kan bellen. Dat heet interoperabiliteit, maar zoiets kent de cloudmarkt niet. Ook kun je met behoud van je nummer overstappen naar een andere aanbieder, maar ook portabiliteit is de cloudmarkt vreemd.”
Wat meespeelt is dat de grote cloudaanbieders zeer sterk verticaal zijn geïntegreerd en actief zijn op de IaaS-, PaaS- en SaaS-laag (‘Infrastructure, Platform- en Software-as-a-Service’). Ze kunnen een aantrekkelijke alles-in-eenoplossing bieden. Het onderzoek brengt volgens Zegveld de effecten van de verticale productintegratie goed in beeld. “Aanbieders van clouddiensten houden zich niet aan de architectuurlagen zoals de overheid die kent. Als je gebruikmaakt van een cloudomgeving, kun je automatisch afnemer worden van een heleboel andere zaken. Dan heb je er opeens een nieuwe feature bij, waar je niet om gevraagd hebt. Voor overheden betekent dit opletten geblazen. Hun inkoopadministratie en configuratiebeheer moeten op orde zijn.”
AI
Om hun klanten nog afhankelijker te maken van hun diensten zetten de cloudproviders onder aanvoering van Microsoft en Google hun AI-tools in. De verweving van clouddiensten met generatieve AI (GenAI) maakt het nog moeilijker om in de cloud dataportabiliteit en interoperabiliteit te realiseren, signaleert Forum Standaardisatie. GenAI is aantrekkelijk voor gebruikers, want het stelt hen in staat om krachtige data-analyses uit te voeren en intelligentie toe te voegen aan hun applicaties zonder grote voorafgaande investeringen. “Er zijn uiteenlopende cloudniveaus,” zegt Bekkers, “van applicaties en communicatie tot virtual machines en platforms. Op al deze niveaus doet AI haar intrede, niet alleen in producten als Office 365. Dit is een ingrijpende ontwikkeling die klanten vast kan ketenen.”
Interoperabiliteit
Bij de huidige cloudaanbieders zitten ICT-bedrijven die al voor zo’n negentig procent gebruikmaken van open standaarden, zoals de standaarden voor internet (IP), mobiele telefonie (5G) en video-vergaderen (codecs). Bekkers: “Het is dus niets nieuws voor ze. Wat overheden willen is dat, als ze in verschillende clouds zitten, ze op dezelfde wijze kunnen communiceren en data uit kunnen wisselen, denk aan gemeenten die verschillende cloudaanbieders hebben. Open standaarden kunnen daarvoor zorgen. De prikkel om dat mogelijk te maken, ligt bij de overheid in samenwerking met de markt. Ik verwacht dat ook de grote cloudleveranciers hierin gaan investeren en standaarden zullen adopteren. Ze moeten wel meebewegen, want hun afzetmarkt vraagt erom. Hun klanten willen interoperabel zijn, dus het is in hun eigen belang.”
Cloudaanbieders zien echter niet graag dat hun klanten kunnen overstappen. “De wil om hier vrijwillig aan mee te werken, is dus minimaal. Daarom is het aan de overheid om zoiets af te dwingen.” Larissa Zegveld bespeurt een duidelijke ontwikkeling bij de overheid, ook op de departementen, om rond standaardisatie op een meer verplichtend karakter over te gaan, neem de wettelijke verplichting voor overheden om internetstandaard HTTPS en HSTS te gebruiken. “De vrijblijvendheid moet eraf, de omstandigheden maken dat onvermijdelijk. Als eerste zie je dat bij security-standaarden. Organisaties die daar niet aan voldoen, lopen grote risico’s. Dat soort risico’s accepteren we bij de overheid niet langer. Zo komt er ook meer consensus voor afspraken over dataportabiliteit en leveranciersonafhankelijkheid. Deze ontwikkeling helpt om tot een stevigere centrale regie op cloudstandaarden te komen, wat veel overheden zal helpen. Het betekent dat ze niet langer een-op-een in gesprek met cloudleveranciers hoeven.”
Europa
Vanuit Europa komt substantiële steun. Standaardisatie is er in korte tijd hoog op de politieke agenda gekomen. Begin vorig jaar werd het High-Level Forum on European Standardisation (HLF) opgericht, persoonlijk voorgezeten door eurocommissaris Thierry Breton voor de interne markt [medio september opgestapt, red]. “Het momentum is er. Het besef dat standaarden een cruciale rol in de belangen van Europa spelen, is volop aanwezig,” constateert Bekkers, zelf academisch lid van het HLF.
Het onderzoek naar cloudstandaarden voorziet dat er met de inwerkingtreding van de Data Act in september volgend jaar, die vol inzet op Europese digitale soevereiniteit, nieuwe normen en standaarden zullen komen. De EU-verordening schrijft geen specifieke standaarden voor, maar eist wel dat cloudproviders interoperabiliteit en dataportabiliteit mogelijk maken. Gebruikers moeten zonder problemen parallel van twee of meer cloudproviders gebruik kunnen maken. De Data Act biedt dus de mogelijkheid dat de Europese Commissie dergelijke standaarden in de toekomst laat ontwikkelen en er in wetgeving naar verwijst. “Dat betekent”, zegt Bekkers, “dat je alleen aan de wet voldoet als je deze standaarden hebt geïmplementeerd of anderszins kunt bewijzen dat je eraan voldoet. Dat laatste zal erg lastig zal zijn. Deze Europese wetgeving is verplichtend voor alle partijen, niet alleen voor overheidsorganisaties, dus de scope neemt toe.”
Deze Europese dimensie moeten we niet vergeten en is net zo belangrijk als het traject in eigen land, benadrukt Bekkers. “Een duale strategie is nodig. De Nederlandse overheid moet in Europa een actieve rol spelen. Daarom moeten we ervoor zorgen dat we de expertise en mensen in huis hebben om onze belangen naar voren te brengen, ook in Europa.”
HAVEN als lichtend voorbeeld
De Common-Ground-standaard HAVEN van de Vereniging Nederlandse Gemeenten (VNG) geldt volgens het onderzoek als een goed voorbeeld van een cloudstandaard die bijdraagt aan portabiliteit. De onderzoekers raden aan deze standaard verplicht te stellen. Zegveld is onder de indruk van HAVEN. “Het heeft wat tijd gekost om deze standaard te ontwikkelen, maar hij sluit heel mooi aan bij de behoefte van gemeenten om leveranciersafhankelijkheid terug te dringen. Het is belangrijk dat de overheid dit soort ontwikkelingen actief blijft ondersteunen en dergelijke standaarden bij voldoende volwassenheid verplicht stelt. Wel blijven we kritisch. Het is van belang dat een standaard breed wordt geaccepteerd, in het geval van HAVEN dus niet alleen door gemeenten maar ook door medeoverheden. Bij Forum Standaardisatie lopen we daar een zorgvuldig en transparant proces voor door. We kijken ook naar hoe een standaard is ontwikkeld en technisch in elkaar steekt en hoe duurzaam deze is in het gebruik en het beheer.” Als er breed draagvlak voor HAVEN is en de standaard op de ‘Pas toe of leg uit’-lijst komt, kan hij mogelijk ook een plek krijgen in de Generieke Digitale Infrastructuur (GDI). Daar is een aparte afwegingsprocedure mee gemoeid.
Dit artikel is als katern gepubliceerd in iBestuur Magazine #52 van oktober 2024
Lees ook:
