In 2011 mochten publieke organisaties nog niet naar de cloud, aldus de brief van toenmalig minister Donner. Dit ‘nee’ verschoof naar ‘nee, tenzij’ en lijkt nu te evolueren naar ‘ja, mits’. Tijdens iBestuur’s Ronde Tafel - afgelopen 3 juni - deelden sprekers van de Londense deelgemeente Lambeth en de TU Delft hun cloudstrategie.
Beeld: iStock
De provincie Noord-Brabant heeft een cloudfirst-strategie, opent gespreksleider Marcel Thaens, CIO van die provincie de discussie. Dit houdt in dat nieuwe toepassingen worden gebouwd voor de cloud en dat bestaande toepassingen blijven zoals zij zijn tot een update of upgrade nodig is. “Mijn ogen gingen open na een gesprek met de CIO van de Rabobank. Als zij met hun hoge veiligheidseisen in de cloud kunnen werken, waarom wij dan niet?”
Hamant Bharadia is directeur financiën en vastgoed van Lambeth, een deelgemeente van Londen die volledig in de cloud werkt. Het langgerekte gebied strekt zich uit ten zuiden van de Theems en beslaat zowel het peperdure Waterloo als het multiculturele Brixton. De organisatie levert achthonderd verschillende diensten aan de 300.000 bewoners van Lambeth rondom werken, wonen, scholing en sociale voorzieningen. In de laatste tien jaar is het budget om dat werk te doen gehalveerd. Reden om in 2016 knopen door te hakken over het type organisatie dat de deelgemeente wilde zijn in de toekomst. Een plan werd gemaakt voor personeel, bewoners en bedrijven. Bharadia: “Een van de uitdagingen was het versnellen van de interactie met de klant, zodat deze ons niet hoeft te bellen, schrijven of aan de balie te bezoeken. Dat konden wij bereiken door de klant te geven wat hij nodig heeft, voordat hij erom vraagt. En dus moesten zoveel mogelijk diensten online beschikbaar zijn voor bewoners en bedrijven.”
In diezelfde periode werd het gemeentehuis uit 1908 gerenoveerd voor het nieuwe werken. De overstap naar de cloud viel samen met het betrekken van de nieuwe werkomgeving. Geen kantoortjes meer, geen desktops, geen vaste telefoons, geen vaste werkplekken. In plaats daarvan laptops, mobieltjes, Skype en Office 365. Alle data staan op One Drive en iedereen kan op afstand bij zijn werkomgeving. Bharadia: “Maar wat moesten we met onze datacenters en maatwerktoepassingen? In het verleden kochten we software van Oracle en huurden we programmeurs in die er maatwerk van maakten. Wij hadden een IT-afdeling van dertig man, maar wij zijn geen IT-bedrijf; wij zouden onze systemen niet zelf moeten beheren.” Bharadia nam een besluit. “Ik wil mijn leveranciers en mijn mensen kunnen betalen en ik wil kunnen factureren en betalingen ontvangen. Als een cloudoplossing die drie dingen redelijk kan, dan vind ik het prima. We zijn niet zo uniek dat we hier maatwerkoplossingen voor nodig hebben.” Lambeth gebruikt standaardsoftware en is helemaal over naar de cloud. Alleen gegevens rondom personen staan lokaal opgeslagen.
Hoe de ambtenaren het vonden om zo te moeten werken? Weerstand kwam vooral van managers die hun HR-teams misten. Bharadia vertelde hun: “Zorg gewoon dat jouw mensen alle correcte en relevantie informatie hebben om hun werk goed te kunnen doen. Amazon geeft ons ook geen keus in hoe wij de dingen bij hen bestellen, maar ze worden wel geleverd. Wat houdt jouw werk precies in? Lukt dat in de nieuwe omgeving? Prima dan.”
Rijksvisie
Marc van Hilvoorde is plaatsvervangend CIO van het Rijk, dat nog middenin het denkproces zit rondom de cloud: “Niets is definitief.” Van Hilvoorde schetst een situatie waarin veranderingen wel gebeuren, maar langzaam. “Wij houden nu eenmaal van de decentrale democratie. Willen we centraliseren dan moeten we over ‘de hobbel van Thorbecke’ heen.” Hij benadrukt de noodzaak van scherpe definities. “Men praat nog steeds niet over hetzelfde wanneer twee ambtenaren over de cloud praten. Gaat het over publiek? Privaat? Eenduidig jargon is belangrijk.”
Het Rijk heeft de intentie om “ergens na de zomer een stuk neer te leggen waarin samenkomt hoe wij de komende jaren met de cloud willen omgaan.” Dat privacy en security belangrijke onderwerpen zijn, zal niemand verbazen. Van Hilvoorde:
“Security is goed geregeld bij commerciële cloudleveranciers, maar hoe zit het met privacy? Als wij als Rijk de deur openzetten, dan doen wij dat gecontroleerd. Denk ook aan de Amerikaanse Cloud Act en de impact van die wetgeving. Niet één leverancier geeft mij bij doorvragen het warme gevoel dat wij de volledige controle behouden.”
Omringd door academici
Paul Hillman is CIO van de TU Delft. De IT-afdeling ondersteunt ruim 25.000 studenten, 4.800 onderzoekers en 1.500 medewerkers. Eigen aan de universiteit is dat er academici werken die meer verstand hebben van ICT dan wie dan ook. Als de IT’ers hadden mogen kiezen, was de strategie cloud first geworden, vertelt Hillman. “Maar omdat verschillende onderzoeksgebieden verschillende eisen hebben, kozen we voor ‘right source’. Wat een ander goedkoper en/of beter kan en waar we de regie goed kunnen voeren, besteden we op een passende manier uit. Soms willen we een prijsvechter, soms iets dat beter is. Beide moet kunnen. Mijn onderzoekers hebben bijvoorbeeld ontdekt dat legacy een probleem is voor high computing: apparatuur een kilometer verderop heeft een te hoge latency.” Ga er maar aan staan. Om te kunnen beslissen of iets mag worden geoutsourced en wat dan die ‘right source’ is, ontwikkelde TU Delft een beslisboom, waarlangs iedereen naar een passende oplossing kan navigeren.
Hillman voegt nog toe dat de TU Delft alleen Europese aanbestedingen doet voor commodities als chips, mobieltjes en afvalverwerking. Niet voor diensten. “Als ik een 15.000 core high performance datacentre moet bouwen, dan ga ik niet uitbesteden, dan zoek ik een partner.”
Exit
Wat de gemoederen vooral bezig blijkt te houden is een exitstrategie. Wat als een cloudprovider dreigt om te vallen? Refererend aan de bankencrisis van 2008: banken leken immers ook too big too fail. In Lambeth werkt men niet met maatwerk, vertelt Bharandia. “Zo lang mijn data standaard zijn kan ik overal makkelijk weg en is migratie naar een nieuwe leverancier relatief eenvoudig.” Hillman: “Zet het in het contract. Je gaat immers weg bij je leverancier en dan is niet iedereen heel behulpzaam.” En: “de public cloud is een commodity. Als je niet kunt overstappen heb je geen commodity gekocht.” Defensie heeft het zo geregeld dat data een beperkte duur beschikbaar zijn in de cloud voor ze worden gearchiveerd. “Als onze providers omvallen, then we’re good to go. Wij kunnen altijd bij onze data, dat is ons beloofd.”
Een ander vraagstuk is of de beweging naar de cloud niet te veel vanuit IT wordt gedreven en te weinig vanuit de business. Hillman ziet dat anders: “Mijn IT-team wil het liefst maatwerk en ze doen het graag zelf. De cloudvraag komt juist uit de business.” Diezelfde ervaring heeft ook Bharadia: “Hoe leveren wij de best mogelijke diensten aan onze inwoners en besparen wij op niet-kern-activiteiten? Met die vraag hebben wij Oracle benaderd in 2016, niet andersom.” Een medewerker van Defensie beaamde dat ook zij vanuit een businessbehoefte op zoek zijn gegaan. “Wij wilden betere ondersteuning voor onze inkopers en alle oplossingen die we aangeboden kregen, waren in de cloud.”
Moeten ministeries dan wachten op het Rijk? Zij horen immers liever een ‘ja mits’ dan een ‘nee tenzij’. Hilvoorde: “Ja en nee. Een Noord-Koreaans kader is niet de bedoeling, maar een ministerie van ICT is ook onzin. ICT is gewoon nodig om het werk te doen, we hebben toch ook geen ministerie van taal? Belangrijk is dat wij voldoen aan de wet. We sturen aan op ‘ja mits’ en die mits moet vrij logisch lezen: namelijk wetgeving en informatiebeveiliging.”
Deze bijdrage is te vinden in iBestuur magazine 31
Hoe ver is het RIJK met dit vraagstuk: “Het Rijk heeft de intentie om “ergens na de zomer een stuk neer te leggen waarin samenkomt hoe wij de komende jaren met de cloud willen omgaan.”