De impact van de cloud op de eigen organisatie is groot. Maar hoe groot? Daar komen we (gezamenlijk) graag achter.
Het is niet bepaald een licht zomeronderwerp, maar desondanks meer dan belangrijk genoeg om er aandacht aan te besteden. Ik heb het over cloud computing, wat kort gezegd inhoudt dat allerlei IT-diensten, van servers tot databases, via internet worden verleend. Eindgebruikers hebben zo overal en op elk moment toegang tot hun software en applicaties en – ook dat is goed nieuws – betalen alleen voor daadwerkelijk gebruik.
Waarom nu, cloud computing is toch niet iets van de laatste tijd, denken jullie nu? Klopt, acht jaar jaar geleden ging de toenmalige minister Donner in een Kamerbrief al in op de voor- en nadelen van de inzet van cloud computing binnen het Rijk. Uiteindelijk, zo stelde Donner vast, wegen ‘de argumenten tegen het toepassen van cloud computing op dit moment zwaarder dan de voordelen.’ Dat had, vervolgde hij, vooral te maken met de onvolwassenheid van de markt en de eisen die worden gesteld aan de informatiebeveiliging. Ik was blij met die brief, maar nog blijer zou ik zijn geweest als er een strategie achter had gezeten hoe we als overheid gezamenlijk zouden kunnen toegroeien naar een veilige overheidsbrede communitycloud, in plaats van: dit is wat wij vinden en succes ermee. Het ontbreken van een dergelijke strategie maakte dat elke overheidsorganisatie op eigen houtje aan de slag ging met de cloud, terwijl het bij uitstek een onderwerp is dat schreeuwt om een gezamenlijke aanpak. Iedereen worstelt immers met de vraagstukken rond veiligheid en privacy.
Ook wij hebben niet stilgezeten. Voor ons als ICT-partner voor het sociaal domein van de G-4 biedt de cloud ongekende mogelijkheden. Denk bijvoorbeeld aan het gemak om de fysieke capaciteit te vergroten en te verkleinen. Nu nog kost het minimaal een maand om een server uit te rollen, inclusief proces, via de cloud nog hooguit een kwartier. Of neem de kosten – de investeringen in hard- en software kunnen drastisch omlaag, zo ook de beheers- en onderhoudskosten. En dat is nog maar een greep uit de voordelen van cloud computing. Tegelijkertijd zijn wij ons terdege bewust van de risico’s. Als overheidsorganisatie stellen we terecht de hoogste eisen aan de privacy en veiligheid. Wat gebeurt er met de kwetsbare data in de cloud? Blijven die wel op Nederlandse bodem? Hoe zit het met het beheer en de regie? Het zijn vragen waarop vooralsnog nog geen afdoende antwoord is. Vandaar dat wij begonnen zijn met de bouw van een private cloud, één die exclusief is gemaakt voor onze dienstverlening aan de G4, maar dan wel zodanig dat we straks via de Control Bridge moeiteloos kunnen overgaan naar een combinatie van private en publieke cloud, de zogenaamde hybride cloud. De techniek was daarbij het minste probleem. Om een indruk te geven – van de twee jaar dat we met twaalf mensen aan de bouw ervan hebben gewerkt, nam de techniek een half jaar in beslag, de rest van de tijd is besteed om te voldoen aan de privacy-en veiligheidseisen, zoals die onder meer worden gesteld aan Digi-D.
Afgaande op de reacties uit mijn omgeving zijn we een eind gekomen, vertel ik niet zonder trots. Hoe gaaf zou het zijn als wat wij hier hebben uitgedokterd breed kan worden benut, bijvoorbeeld door andere gemeenten? Wij zijn gaarne bereid onze cloudervaring te delen. Daar is wel een voorwaarde aan verbonden: in ruil willen wij jullie verhaal en dan met name wat de cloud betekent voor de inrichting van jullie organisatie. Onze ervaring is dat de impact van de cloud op de eigen organisatie groot is. Maar hoe groot? Wat is er nodig om iedereen binnen de organisatie – van inkoop tot ontwikkelaars en van management tot beheer – cloud proof te maken? Hoe doe je dat? Dat horen we graag van jullie. Kortom het proces is nog in volle gang, met als einddoel om onze organisatie te transformeren van ICT-partner voor informatievoorziening en processen voor het sociale domein van de G4 tot een Community Cloud Provider van SaaS-diensten ofwel softwarediensten die als standaard service worden geleverd en gezamenlijk kunnen worden gebruikt. Een mooi vooruitzicht om de zomer mee in te gaan.
Larissa Zegveld is algemeen directeur van Wigo4it, de coöperatie van de sociale diensten van Amsterdam, Den Haag, Rotterdam en Utrecht op het gebied van informatievoorziening. Begin 2019 werd zij benoemd tot voorzitter Forum Standaardisatie, ingesteld door de Nederlandse overheid met als doel het gebruik van open standaarden in de publieke sector te stimuleren.
Larissa heeft groot gelijk, en heel goed dat dit nu op de agenda komt.
Het is eigenlijk te gek voor woorden dat Nederland, met alle ambities van digitale koploper en digitale overheid, een van de weinige digitale landen is zonder een “cloud first” strategy. Nieuw zeeland, Estland, Duitsland, UK, en vele andere landen erkennen dat het zonder Cloud niet langer doenlijk is om te innoveren, simpelweg omdat het ontwikkelen van complexe IT zonder gebruik te maken van infra, applicaties, datasets van derden – leidt tot omvangrijke en onbetaalbare gedrochten.
Het feit dat de brief van Donner nog altijd leidend is voor sourcing van diensten, is te verklaren uit angst. Maar het middel: insourcen, is erger dan de vermeende kwaal: data op iemand anders’computer is per definitie onveiliger dan data in de eigen kelder.
We zullen, als we verder willen komen, ook een Cloud first strategy moeten gaan adopteren.
Belangrijk element daarin is assurance: heldere, gestandaardiseerde vraag en aanbod van zekerheden, voor inkoop, operatie, compliance. Welke normenkaders zijn gebruikt voor veiligheid en beschikbaarheid, is de gehele keten gecontroleerd, kan ik met de betreffende cloud aan de EU wetgeving voldoen, is het door een onafhankelijke auditor gecontroleerd, et cetera.
Gelukkig zijn er ontwikkelingen op dit gebied. Assurance staat prominent op de agenda in de roadmap veilige HW/SW van EZK, met daarin Nederlandse initiatieven als Partnering Trust, Zeker-Online; en in samenwerking met Trusted Cloud in Duitsland
Een ander goed voorbeeld is de CISPE Cloud First aanpak, onlangs in Brussel gepresenteerd door een consortium van grote aanbieders en de Duiste ECO .
international.eco.de/presse/cloud
De hoogste tijd om de brief van Donner te vervangen door een CoudFirst policy en bijbehorende Assurance !