Home » Actueel » Kies een cloud leverancier met zorg en aandacht

Kies een cloud leverancier met zorg en aandacht

De ‘cloud’ is een fenomeen waar steeds meer overheden van gebruik maken. Zijn overheden momenteel in staat om goede en verantwoorde afspraken te maken met cloud leveranciers? Roel Ottens in gesprek met Frank Huijbregts.

 


Steeds meer gemeenten maken gebruik van clouddiensten. Uit onderzoek van Autoriteit Consument & Markt (ACM) blijkt dat in 2021 de markt wereldwijd, in Europa en in Nederland met 20 à 30 procent is gegroeid. Hoogstwaarschijnlijk zet deze groei door met de toenemende digitalisering en het groeiende belang van het verwerken en analyseren van data.

Naast de al bekende softwareleveranciers bij de overheid neemt een aantal van de grootste bedrijven ter wereld deel in deze markt. Elke aanbieder heeft zijn eigen randvoorwaarden en standaarden voor het gebruik van hun cloud. Daardoor is het lastig om samen te werken met andere aanbieders en het recht op het overdragen van gegevens wordt belemmerd. De ACM ziet dan ook het risico dat: “de toenemende consolidatie in combinatie met de overstapdrempels en gebrekkige interoperabiliteit vergroten de afhankelijkheid van gebruikers van slechts een paar verticaal geïntegreerde cloud aanbieders.”

Die afhankelijkheid belemmert de concurrentie. Na het eerste keuzemoment voor een aanbieder ontstaan er risico’s voor prijs, kwaliteit en innovatie. Een voorbeeld hiervan zijn de stijgende tarieven en het gebrek aan motivatie bij aanbieders om te vernieuwen of maatwerk oplossingen te bieden.

De Europese Unie denkt na over ‘data soevereiniteit’ en plaatst dit op de politieke agenda. Door bijvoorbeeld meer te investeren in het ontwikkelen van Europese alternatieven om zo de afhankelijkheid van grote Amerikaanse technologiebedrijven te verlagen en wetten te ontwerpen als de EU Data Act.

Op 29 augustus 2022 is het Rijksbreed cloudbeleid 2022 aan de Voorzitter van de Tweede Kamer der Staten-Generaal verstuurd: “een uitwerking van de nieuwe visie op gebruik van publieke clouddiensten door de Rijksoverheid”. Onder het cloudbeleid gelden voor het gebruik van de cloud 11 voorwaarden, waar organisaties zelfstandig activiteiten moeten ontwikkelen om de afweging te maken.


 

Een vraag is of overheidsdiensten momenteel in staat zijn om afspraken te maken met de cloud leverancier over interoperabiliteit en data-eigenaarschap. Dit vraagt o.a. om specifieke aanbestedingskennis, servicemanagement en het opstellen van cloud strategie en leveranciersmanagement.

Wat zijn de redenen om over te stappen naar cloud?

Er is geen reden meer om niet naar de cloud te gaan. Corona heeft gezorgd voor de grootste Proof of Concept ooit. In een aantal weken werden oplossingen als  Zoom en Microsoft Teams grootschalig uitgerold. Voor sommige organisaties was het de eerste ervaring met de kansen van een cloud gebaseerde oplossing. De oplossingen zijn gebouwd en worden beheerd.  Dat maakt het mogelijk om de oplossing in één à twee weken in te richten en uit te rollen voor de hele organisatie. De cloud biedt kansen: veiligheid, beschikbaarheid, schaalbaarheid en flexibiliteit zijn voor overheden zeer aantrekkelijk.

Wordt de organisatie met cloud ontzorgd?

Cloud ontzorgt tot op zekere hoogte, maar denk niet dat je na de implementatie lekker achterover kunt leunen. Organisaties gaan een overeenkomst aan waarbij zij de opdrachtgever zijn en blijven. Dit vergt regie en goed opdrachtgeverschap. Het lijkt eenvoudig maar blijkt een behoorlijk lastige taak voor de meeste organisaties.

Hoeveel kan een organisatie besparen?

De veronderstelling dat cloud goedkoper zal zijn, is misschien wel de grootste valkuil. Het transitiejaar, waarin ICT verplaatst wordt van de lokale datacenter naar de cloud, vraagt 1,5 keer de kosten van een modernisering in je eigen datacenter. Daarna is het mogelijk om aan knoppen te draaien waarmee je de kosten beperkt.

Wat is dan het voordeel?

Organisaties moeten innoveren. Nieuwe wetten, nieuwe omstandigheden vragen om flexibiliteit en snelheid. Met een cloud oplossing is dat mogelijk. Informatieveiligheid moet omhoog. Elk jaar komen er berichten dat t.o.v. het voorgaande jaar er opnieuw een toename is van 20%-30% aan overheidsinstanties die slachtoffer zijn geweest van cybercriminaliteit. Voor een groot deel wordt die veroorzaakt door menselijke fouten, maar het wordt ook steeds complexer om als overheid te wapenen tegen nieuwe technologie waarmee hacks en diefstallen worden gepleegd. De budgetten voor een gedegen informatiebeveiliging zijn vaak niet of niet op tijd beschikbaar. Wanneer de applicatie uit de cloud wordt gehaald zijn de kosten van het technisch beheer maar ook de informatieveiligheid inclusief. Wanneer je je legacy omgevingen nog niet kunt uitfaseren en ze in de cloud plaatst, dan zijn de cloud leveranciers in staat om je een betere informatieveiligheid te bieden. Je betaalt daar immers gezamenlijk met alle andere klanten voor informatieveiligheid waardoor beschikbare budgetten vele malen groter zijn.

Wat zijn afspraken die een organisatie maakt met een cloudleverancier?

Slaat de organisatie data op in de cloud, dan worden er in de overeenkomst ook afspraken gemaakt over het moment waarop besloten wordt de clouddienst niet langer af te nemen. Die afspraken worden vastgelegd in de exit-strategie.

In tegenstelling tot de traditionele implementaties van systemen en applicaties in eigen datacenters, waar Service Level Agreements (SLA) vaak jaren niet uit de kast komen totdat er een escalatie ontstaat, zal bij cloud oplossingen de opdrachtgever het initiatief zelf moeten nemen en regie blijven houden. Eén van de belangrijkste taken is misschien wel om de SLA’s gedurende de overeenkomst gezond te houden door ze aan te passen aan de behoefte van de organisatie en de situatie van vandaag. Samen met de cloud leverancier werkt de organisatie gedurende de hele overeenkomst aan de best passende cloud oplossing voor de organisatie.

Wanneer de organisatie een clouddienst afneemt, blijft de organisatie altijd eindverantwoordelijk voor de informatieveiligheid. Daarom staat er in de SLA afspraken over het proces bij datalekken, het beveiligingsniveau en de geografische ligging van het datacenter waaruit de organisatie de clouddiensten geleverd krijgt.

“Cloud leveranciers leveren diensten.”

De hoofdvraag: kunnen overheden zelfstandig afspraken maken met cloud leveranciers?

Met een beetje hulp is dat goed mogelijk. Afspraken worden niet alleen bij het sluiten van een overeenkomst gemaakt, de organisatie houdt de regie waardoor ze onder het standaard onderhoud vallen. Cloud leveranciers leveren diensten. Ga niet op de stoel zitten hoe een cloud leverancier die moet leveren, neem wel de regie over welke diensten ze moeten leveren tegen de condities zoals in de overeenkomst beschreven.

Wat is een beetje hulp?

Waarschijnlijk heeft iedereen een idee wat er nodig is voor een aanbouw, toch huren we een constructeur in voor het ontwerp en de berekening. Cloud is een containerbegrip. Het is dus van groot belang dat de organisatie haar definities van cloud bepaalt en die in elk gesprek deelt met de gesprekspartners. Wanneer de organisatie geen ervaring of capaciteit beschikbaar hebt om de cloudstrategie te ontwikkelen, laat de organisatie dan ondersteunen bij het opstellen van de eisen over o.a. de vertrouwelijkheid, beschikbaarheid, integriteit en exit-strategie (interoperabiliteit en data-eigenaarschap).

“Ook het begeleiden van de transitie is vaak een opdracht die, naast een bestaande rol, veel energie en kennis vraagt.”

Wie moeten hierbij betrokken worden?

Ik merk dat het voor de overheidsorganisaties en voor de leveranciers fijn is om een transitiemanager aan te stellen om de transitie namens de overheidsorganisatie naar de cloud te begeleiden. Wanneer de transitie afgerond is, gaat de organisatie de beheerfase in. Dat is het moment dat er een eigen cloudregisseur wordt aangesteld. De cloudregisseur is een combinatie van een servicemanager en ICT-architect die stuurt op het nakomen van de interne- en extern gemaakte afspraken. Samen met de leverancier worden de afspraken gedurende de overeenkomst geoptimaliseerd. Een jaar voor het beëindigen van de overeenkomst start het gesprek met de latende leverancier over de exit procedure.

Tot slot horen de Chief Information Security Officer en Functionaris Gegevensbescherming betrokken te worden bij strategische keuzes. De traditionele IT-coördinator zal breder en groter moeten gaan denken vanuit zijn rol en daarmee meer de samenhang gaan zien.

Welke tips heb je voor overheden wanneer zij met een cloud leverancier willen gaan samenwerken?

Manage de verwachtingen intern wanneer het gaat om de kosten en doorlooptijd. Een transitie naar de cloud levert meestal meer kwaliteit en flexibiliteit maar kost ook meer. In de beheerfase kan de organisatie sturen op kosten. Maar zolang de organisatie niet alle applicaties heeft versaasd, worden de kosten niet per definitie lager.

Let op dat je richting geeft aan de leverancier. Hiervoor zijn goede afspraken nodig over opdrachtgever- en opdrachtnemerschap. Vul deze rollen stevig in binnen de eigen organisatie met voldoende capaciteit en kennis.

Bronnen

Meer weten over dit onderwerp of over Frank?

Frank is een ervaren adviseur die zich inzet voor de lokale overheid om o.a. de transitie naar de cloud goed te begeleiden. Naast de cloud transitie kent Frank de overheidsorganisatie van binnen als ICT-manager, projectleider en aanbestedingsadviseur. Voor meer informatie kunt u contact met Frank Huijbregts opnemen, via tel. nr. 06 21 81 29 02  of via e-mail: f.huijbregts@telengy.nl.