Alles over innovatie in ICT

Alles over innovatie in ICT

Jaargang 7, nr. 1 / 2016

Visie

Datacenter aan vooravond ingrijpende veranderingen Onderzoek

Integratie van cloudoplossingen blijft uitdaging voor veel bedrijven

Wilbert van den Bliek (SQS):

‘Denk bij testen verder dan het hier en nu’

En verder Wetgeving ingeklemd tussen handelsbelang en nationale veiligheid | Zes jaar EuroCloud, zes jaar Cloud in Nederland | Vijf redenen om te kiezen voor apps op maat | Integratie van cloudoplossingen blijft uitdaging voor veel bedrijven | ‘Meesurfen op de ingrijpende verschuiving in de IT’ | www.cloudworks.nu In samenwerking met

Cloud talk

Robbert Hoeffnagel

‘Best practices zijn onzin’

‘Tijdens de innovatie van onze processen zijn we er voor onze klanten.’

Tijdens de BICSI Winter Conference die begin februari in Orlando, Florida plaatsvond draaide het allemaal om datacenters. Maar ook om innovatie. En dat lijkt - anders dan u wellicht zou denken - niet altijd een gelukkige combinatie. Natuurlijk wordt er in deze branche veel geïnvesteerd in het ontwikkelen van nieuwe producten. Maar, zoals keynote speaker Stephen Shapiro aangaf, iedereen gebruikt tegenwoordig te pas en te onpas de kreet ‘innovatie’, zonder dat we eigenlijk precies weten wat we daarmee bedoelen. Shapiro geldt in de Verenigde Staten als een expert op innovatiegebied, hij schreef er onder andere het boek ‘Best Practices Are Stupid’ over. Hij stoort zich aan de manier waarop veel bedrijven met innovatie omgaan. Hij gebruikt daarbij graag grote voorbeelden. Zo citeerde hij Einstein als hij stelt: als ik 1 uur zou hebben om de wereld te redden, zou ik 59 minuten besteden aan het definiëren van het probleem en de resterende minuut aan het feitelijk oplossen van die kwestie. Dit illustreerde hij met een aantal voorbeelden. Bijvoorbeeld de olieramp met de Exxon Valdez in Alaska. Wat veel mensen niet weten is dat Exxon 20 (!) jaar nodig heeft gehad om de aangespoelde olie op te ruimen. Het probleem was namelijk dat de olie met de traditionele methoden bij het opzuigen bevroor. Of beter gezegd: in de zuigleidingen vast kwam te zitten. Twee decennia lang heeft men tal van wetenschappers onderzoek laten doen naar de vraag: hoe voorkomen we dat onder die barre omstandigheden de olie-/watermassa die we opzuigen niet bevriest? Men kwam er niet uit.

Men stelde namelijk de verkeerde vraag. Dat ontdekte men pas toen een chemicus uit de betonindustrie contact opnam. De olie-/watermassa bevriest helemaal niet, zei hij. Het probleem zit ‘m in de snelheid waarmee jullie die massa opzuigen. Dat heeft een samentrekkende beweging binnen de vloeistofmassa tot gevolg waardoor deze verhardt en niet meer kan worden opgezogen. Zes weken en nog geen twintigduizend dollar later was het probleem opgelost. Shapiro’s les was: kijk heel erg goed of we wel de juiste vraag stellen. Zijn les is ook erg relevant voor iedereen die van moderne IT zijn of haar werk heeft gemaakt. Het is vaak erg nuttig om even een stap terug te zetten en te bekijken of we eigenlijk wel het juiste probleem aan het oplossen zijn. Want waar ging het ook al weer over? Om technisch iets voor elkaar te krijgen? Of omdat onze klanten iets willen bereiken? En is dat technische detail dat zoveel problemen geeft daarvoor van cruciaal belang? Of zijn er nog veel meer wegen die we kunnen bewandelen om die klantwens te realiseren? Het laatste is veelal het geval, stelde hij. Eindconclusie van Shapiro: out of the box-denken is momenteel helemaal in. Maar het zal in veel gevallen niet helpen. Ga liever op zoek naar de juiste doos. Robbert Hoeffnagel, hoofdredacteur CloudWorks

Colofon

Met Om als bedrijf effectiever te werken, wilt u dat uw mensen, applicaties en data altijd in verbinding staan. Ook tijdens het innoveren van uw bedrijfsprocessen. Dat kan met Cloud van KPN. Daarmee zijn de legacy-systemen en de ICT van nu altijd verbonden. Zodat uw bedrijf optimaal is voorbereid op de nieuwste technologieën zoals het Internet of Things. KPN levert u snelle verbindingen naar elke vorm van cloud, zoals public, private of hybride. Bovendien begeleiden we u bij elke stap, vanaf het eerste advies tot en met de implementatie en het beheer. Benieuwd wat Cloud van KPN voor u kan betekenen? Kijk op kpn.com/zakelijk.

In CloudWorks staat innovatie centraal. Met traditionele ICT-omgevingen is het steeds moeilijker om de business goed te ondersteunen. Innovatieve oplossingen op het gebied van bijvoorbeeld cloud computing, mobility, Big Data, software defined datacenters en open source kunnen echter helpen om de IT-omgeving ingrijpend te moderniseren en klaar te maken voor de toekomst. Vragen over abonnementen: [email protected]. Uitgever Jos Raaphorst 06 - 34 73 54 24 [email protected] Twitter: https://twitter.com/RaaphorstJos LinkedIn: nl.linkedin.com/pub/dir/Jos/Raaphorst

Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40 [email protected] Twitter: https://twitter.com/rhoeffnagel LinkedIn: nl.linkedin.com/in/robberthoeffnagel Facebook: https://www.facebook.com/ robbert.hoeffnagel Advertentie-exploitatie Gerrit Klanderman 06 - 55 33 11 76 [email protected] Eindredactie/traffic Ab Muilwijk

Vormgeving Studio Kees-Jan Smit BNO Druk ProFeeling Kennnispartners CAA, Data Centre Alliance, EuroCloud Nederland, FHI, Green IT Amsterdam, NEN, SaaS4Channel ©2016 CloudWorks is een uitgave van FenceWorks BV. www.fenceworks.nl

CloudWorks - nr. 1 / 2016

3

inhoud

16

Wetgeving ingeklemd tussen handelsbelang en nationale veiligheid

20 24 4

Cloud computing verovert de wereld met een voortvarendheid waar eerdere modellen voor elektronische technologie en gegevensverwerking met jaloezie naar kijken. Ook juridisch bezien zet spoedeisendheid grotendeels de toon. Nationale wetgevers produceren in hoog tempo een bonte verzameling autonome ICT-gerelateerde regels die cloud computing vaak in het hart raken. De informatiemaatschappij bevindt zich nu juridisch ingeklemd tussen handelsbelang en nationale veiligheid. Ondertussen ploegt de Europese Unie noestig verder voor het realiseren van een digital single market, nieuwe wetgeving inzake privacy en netwerken informatiebeveiliging incluis.

Datacenter aan vooravond ingrijpende veranderingen Het is hoog tijd dat er een einde komt aan het groepsdenken binnen de datacenterindustrie. Dat stelt de Britse datacenterexpert John Laban. Out of the box-denken wordt van cruciaal belang, meent de Engelsman. We doen momenteel veel te veel dingen ‘omdat we dat nu eenmaal altijd zo gedaan hebben’, stelt hij in dit artikel. Met name de opkomst van open hardware - bijvoorbeeld via het Open Compute Project - biedt ongekende kansen, maar veel bouwers en beheerders van zowel commerciële datacenters als enterprise rekencentra lijken niet open te staan voor nieuwe technologie en nieuwe werkmethoden.

‘Denk bij testen verder dan het hier en nu’ Testen van software is vandaag de dag niet meer te vergelijken met hoe het vijf jaar geleden ging. Maar als we vijf jaar verder zijn, ziet de testwereld er weer compleet anders uit, zeggen Wilbert van den Bliek en Ron Rouhof van de onafhankelijke softwarekwaliteitsspecialist SQS. Een gesprek over snelheid, flexibiliteit, globaliteit en de klok rond werken. Hun boodschap: denk verder dan het hier en nu.


En verder

36

Vijf redenen om te kiezen voor apps op maat Werknemers hebben de neiging om kant-en-klare mobiele apps te gebruiken voor hun werk. Het risico van een schaduw-IT-omgeving ligt op de loer, waarbij forse security-risico’s worden gelopen als bedrijfsdata via standaards apps in publieke clouds worden opgeslagen. Apps op maat bieden organisaties niet alleen meer veiligheid, ze zijn bovendien specifiek toegesneden op de behoeften van het bedrijf, waardoor productiviteit en concurrentiepositie verbeteren.

7

Gregor Petri over Space Oddity

8

Zes jaar EuroCloud, zes jaar Cloud in Nederland

12 ‘Nederlandse klanten AWS hebben opvallend hoog technologisch niveau’ 19

Spice in Finance

27

Nieuws van EuroCloudNL

28

Cloud Architect Alliance – partner van het HIT-BP

30

Niet alle wegen leiden naar Rome

32 Nieuwe software maakt ontwerp en engineering intuïtiever 34 Studenten Universiteit Maastricht genieten van vrijheid met nieuwe VDI-omgeving 38 Integratie van cloudoplossingen blijft uitdaging voor veel bedrijven

48

ISO High Level Structure en het BPdelivery MOLENMODEL Certificeringstrajecten begeleiden en ondergaan zijn vaak een aaneenschakeling van een enorme berg papierwerk. Hierbij is niet altijd even duidelijk of alle informatie die beschreven moet zijn, ook daadwerkelijk beschreven is en binnen de organisatie juist wordt toegepast. Met de introductie van de High Level Structure (HLS) van ISO leek hier verbetering in te komen. Op basis van haar ervaringen in de certificeringsmarkt heeft BPdelivery het MOLENMODEL in de markt gelanceerd. Met als enige doel ISO certificeringstrajecten, die gebaseerd zijn op de HLS, sterk te vereenvoudigen.

40

GDPR: ooit van gehoord?

42 ‘Meesurfen op de ingrijpende verschuiving in de IT’ 44 Wat je beslist moet weten over het SLA met je cloud provider 47 Beyond Data-event in teken van open data en smart cities 50

Legal Look

www.cloudworks.nu CloudWorks - nr. 1 / 2016

5

Tune into the Cloud

Gregor Petri

Space Oddity

Tune into: Economic Fall Out

Het nieuwe jaar is inmiddels aardig op weg, maar begon met de realisatie dat veel dingen niet voor eeuwig zijn. Zo ontviel ons David Bowie, kwam de groei van de iPhone aan haar einde en daalt langzaam het besef in dat ook onze economische groei weleens eindig kan zijn. Allerlei door de cloud mogelijk gemaakte innovaties, zoals smart machines, de digitale economie en algoritmic business zorgen namelijk voor een groeiende disconnect (‘Can you hear me, Major Tom!’) tussen groei en werk. Op het World Economic Forum in Davos sprak men zelfs al over ‘A World without Work’. Wij kennen deze toekomst uit distopische films als Wall-E (2008) waar - letterlijk - steeds gewichtiger mensen steeds minder doen en uit geanimeerde series als de Jetsons (1962), waar gezinshoofd George een keer per dag op een knop drukt en daarmee toch genoeg betaald krijgt om huishoudster (Rosie the Robot) in dienst te houden.

Uw datacenter binnen enkele weken uitbreiden? Dat kan!

De voordelen:

De technologische ontwikkelingen gaan in een razendsnel tempo. Hiervoor is substantieel meer datacentercapaciteit nodig. Hoe realiseert de facilitaire en IT-afdeling deze uitbreiding op zeer korte termijn? En hoe voorkomen zij dat de vooruitgang gepaard gaat met minder kantoorruimte?

> Binnen 12 tot 16 weken in gebruik te nemen.

Het antwoord zit in kant-en-klare datacenters. Deze kunt u zeer snel in gebruik nemen. En buiten de muren van uw onderneming plaatsen. Het resultaat is dat de data in uw eigen beheer blijft – zonder dat u hiervoor ruimte hoeft op te offeren.

> U kunt tot wel 50 procent besparen op energiekosten.

Business-wise, Future-driven.

™

Wilt u meer weten over de voordelen van prefab datacenters?

www.schneider-electric.com www.apc.com | T +31 (0)23 554 00 70 Lees de white paper en| gebruik de code xxx. ©2014 Schneider Electric. All Rights Reserved. • 998-1252128_GMA-US

> Uw serverruimte is extreem schaalbaar en groeit alleen mee als u meer capaciteit nodig heeft.

> Forse besparingen op CapEx en OpEx.

Overtuigde marktdenkers zien het verdwijnen van traditionele banen gewoon simpelweg als vooruitgang, die nu eenmaal samengaat met verandering. Mensen moeten zich maar gewoon aanpassen. We werken immers ook niet meer allemaal in agrarische banen op het land en medewerkers van V&D of van inmiddels zo’n beetje iedere schoenenketen in Nederland moeten niet achteromkijken maar vooruitkijken naar nieuwe mogelijkheden en kansen. Vooruitkijken en aanpassen of transformeren was iets waar David Bowie een ware meester in was. Niet veel popsterren - met bijbehorende popster leefstijl - verruilen het tijdelijke met het eeuwige met 100 miljoen op de bank. Velen kennen zijn artistieke transformaties (naar alter ego Ziggy Stardust of later naar de door vele collega’s verafschuwde disco scene met zijn grootste hit Let’s Dance). Maar veel interessanter zijn de zakelijk transformaties. Fortune magazine beschreef treffend hoe Bowie al heel vroeg zijn nummers exclusief via het internet uitgaf en zelfs een eigen Internet Service Provider startte, maar ook hoe hij voorzag dat aan streaming (vanuit de cloud) nauwelijks droog brood te verdienen zou zijn en dat artiesten hun werk met name via optredens en tours zouden moeten verzilveren. In een vooruitziende financiële move monetariseerde hij daarop zijn eigen muziekrechten door uitgifte van obligaties (verkocht aan beleggers die waarschijnlijk nog niet doorhadden hoe de toekomst van de muziek eruit zou gaan zien).

Voor de meesten van ons wordt zo’n transformatie toch iets lastiger. Als complete winkelcentra, kantoorparken en industrieterreinen vervangen worden door webshops, algoritmes en 3D printers blijft er steeds minder werk over. Zoals Sprout laatst treffend in een infographic liet zien: Bol.com en V&D hadden ieder een dikke half miljard euro omzet, maar de V&D had hier 10.000 medewerkers voor nodig en Bol.com 700. En natuurlijk zullen er best een paar ZZPers, door de Volkskrant recent ‘de nieuwe dagloners’ genoemd, als koerier of distributiemedewerker hierbij betrokken zijn, maar de beroemde (en voor economische groei cruciale) middenklasse verdwijnt in rap tempo. Het antwoord van de politiek tot nu toe is met name scholing. Als er geen werk meer is in productie, distributie of administratie dan scholen we ons gewoon allemaal om tot creator/bedenker voor banen als business developer, game of webdesigner en creative director (overigens niet advocaat of accountant want ook daar wordt verwacht dat op termijn tot 70% weg geautomatiseerd kan worden). Scholing is belangrijk maar kan niet het enige antwoord zijn, we kunnen immers niet allemaal bij de huidige en toekomstige Google’s van deze wereld gaan werken (al is het alleen maar vanwege de ‘Propeller head’ recruitment eisen van dit soort bedrijven). En nu we het toch hebben over firma’s met een hoge propeller head density, McKinsey luidt inmiddels ook de noodklok over het gevaar van exploderende (jeugd)werkeloosheid en tegelijkertijd gesignaleerde skills gap en probeert er ook daadwerkelijk iets aan te doen met haar non-profit ‘Generation’ programma. Misschien dat ik me daar maar eens moet melden. Als vrijwilliger dan, want grote kans dat de toekomst van werk voor steeds meer van ons zal bestaan uit vrijwilligerswerk. Het alternatief is de hele dag thuis zitten en films kijken, series bingen en muziek luisteren. Uit de cloud natuurlijk, dat dan weer wel. David Bowie (1947 -2016) brak in 1969 met ‘Space Oddity’ door bij een groter publiek en sloot af met het (bijna postume) Lazarus.Velen noemden hem een kameleon omdat hij zijn stijl constant veranderde, maar anders dan kameleons deed Bowie dit niet om erbij te horen, maar om voorop te lopen.


7

Terugblik

Zes jaar EuroCloud, zes jaar Cloud in Nederland

Nu cloud gemeengoed is geworden, acht ik na zes jaar stichting EuroCloud Nederland de tijd rijp om mijn energie aan andere zaken te besteden. Als medeoprichter en bestuurslid zonder portefeuille maar met communicatie tot taak, draag ik nu het stokje over aan Robbert Hoeffnagel (CloudWorks). Gezien de beperkte middelen van EuroCloud Nederland vind ik dat we als bestuur veel bereikt hebben. Het is mooi dat ik daar een bijdrage aan heb kunnen leveren. Mijn afscheid is een geschikt moment om de balans op te maken en om te kijken hoe we ervoor staan in Nederland. Nadrukkelijk vanuit het besef dat de ontwikkelingen versneld door gaan. Deze bijdrage is dan ook een momentopname. Misschien een aardig weetje: de term Cloud Computing is al in 1996 gemunt, door een groepje techneuten bij Compaq Computer. Op 9 augustus 2006 is het begrip cloud voor het eerst voor een wijder publiek gebruikt door Eric Schmidt (CEO Google) op een conferentie. In 2008 heeft Dell tot groot ongenoegen van de IT-community geprobeerd de term Cloud Computing als trademark te registreren1. Vanaf de tweede helft van het vorige decennium is het hard gegaan met het gebruik van het begrip Cloud Computing, ook in Nederland. In de tweede helft van 2009 zijn de eerste oprichtingsvergaderingen geweest van EuroCloud Nederland. Aanleiding was de lancering in Parijs vanuit het ASP Forum van EuroCloud. EuroCloud wilde en wil een belangrijke rol spelen in de ontwikkeling van een Europese cloudindustrie en de bevordering van (zakelijk) cloudgebruik. Bij de lancering van EuroCloud werd aangekondigd dat er gewerkt zou worden aan een nationale EuroCloud-

8


organisatie in elk Europees land. Dat is aardig gelukt, ook in Nederland. Op dit moment zijn er in zo’n 25 landen nationale EuroCloud-organisaties actief. Ook in landen die niet tot de EU behoren. In januari 2010 heeft een klein team onder mijn leiding na enkele maanden voorbereiding de Stichting EuroCloud Nederland opgericht, met een kernbestuur dat in de afgelopen zes jaar min of meer ongewijzigd is gebleven: voorzitter Alexandra Schless (Telecity), vicevoorzitter Maurice van der Woude (BP Delivery) en secretaris Jan Aleman (Servoy) zijn vanaf het begin betrokken. Alleen de functie van penningmeester heeft wat wisselingen te zien gegeven. Sinds twee jaar vervult Herman Kui (Escrow4All) de rol met verve. In de eerste drie jaar van het bestaan van EuroCloud Nederland was er veel voorlichtingswerk te doen: ‘wat is Cloud Computing en wat heb je eraan’. Deze periode werd gemarkeerd door uitvoerige discussies

over definities en of het nu wel of geen reële innovatie was. ‘Cloud? Oude wijn in nieuwe zakken’, werd regelmatig geopperd. Die fase zijn we voorbij.

SaaS: Cloud First Eén ding is duidelijk: Cloud is here to stay. Cloud is de primaire optie voor zakelijke IT geworden (Cloud First), ook door overheden, banken en andere organisaties die uit security- en privacy-overwegingen lange tijd erg terughoudend zijn geweest. Het gaat er al lang niet meer om wat het is en wat je eraan hebt, maar om wat je als organisatie wel en niet in de cloud zet, en bij wie. In dat licht spelen discussies over normen & standaards, over beveiliging en over zakelijke randvoorwaarden (SLA’s, legaliteiten en risk management) een belangrijke rol. Deze topics of issues, zo u wilt, zullen nog lang de agenda bepalen als het gaat om de toepassing van Cloud. Aan de aanbiederskant zijn er grote stappen gezet. De meeste serieuze leveranciers van zakelijke software hebben een cloudstrategie ontwikkeld en zijn bezig om die gestalte te geven of hebben dat proces al voltooid. Het is taaie materie gebleken, met een moeizame en moeilijke transitie van op licenties gebaseerde verdienmodellen naar een op services gebaseerd leveringsmodel. Die transitie mocht niet leiden tot lagere inkomsten, om de aandeelhouderswaarde niet in gevaar te brengen. Ook technisch is de transitie naar de Cloud voor velen een CloudWorks - nr. 1 / 2016

9

Terugblik grote uitdaging geweest. Software moest in veel gevallen worden herschreven om als Cloud-service te kunnen dienen. Nu is het kantelpunt bereikt, waarop meer dan de helft van de softwarefunctionaliteit als dienst wordt afgenomen.

De infrastructuur In de kelder van Cloud, de infrastructuur, is veel werk verzet. De grote aanbieders van publieke clouddiensten hebben in hoog tempo en wereldwijd datacenters gebouwd. Ook meer lokale spelers zijn voortvarend aan de slag gegaan. Nederland heeft voor zichzelf een uitstekende uitgangspositie gecreëerd om buitenlandse providers aan te trekken. De aantrekkingskracht van de AMS-IX infrastructuur mag niet worden onderschat. AMS-IX is het grootste internetknooppunt ter wereld. AMS-IX heeft samen met Deloitte, DHPA, ECP en Rabobank het economisch belang van de digitale infrastructuur voor Nederland in kaart gebracht2. Dat belang is aanzienlijk, met name voor Amsterdam. We kunnen gerust aannemen dat Online Services en Digitale Infrastructuur services bij elkaar opgeteld een bedrag van minimaal 15 miljard uitmaakt. Nederland is na UK, Duitsland en Frankrijk in Europa gemeten in datacenter vloeroppervlak het vierde land op het gebied van datacenters en hosting, met verreweg de grootste jaarlijkse groei (19,5%). Er is een aantal redenen voor de goede uitgangspositie van ons land. De snelheid van de verbindingen (latency), grote bandbreedte en het sterke hier aanwezige ecosysteem van spelers zijn daarvan de voornaamste. Het Ministerie van Economische Zaken ondersteunt ontwikkeling van de IT-sector in het algemeen en Cloud in het bijzonder met specifiek op de versterking van de Nederlandse ‘Digital Gateway’ gericht beleid3. In de optiek van EZ is de categorie Cloud Computing/Datacenters een van de kansrijke IT-subsectoren. Uit het ‘Aanvalsplan’ van AgentschapNL: “Met name SaaS (Software-as-a-Service) biedt kansen. Nederland is […] een aantrekkelijk vestigingsland omdat het één van de meest ‘cost competitive’ landen is op het gebied van software development en een wereldleider in het gebruik van nieuwe elektronische diensten (denk aan Internetbankieren) is. Verder heeft Nederland één van de

10


meest volwassen, effectieve cyber security beleidskaders in de wereld. Dit is cruciaal in de implementatie van datacenters en cloud diensten4.” Ook de Tweede Kamer is wakker geworden, gezien de motie Verhoeven die in de herfst vorig jaar is aangenomen en die de regering oproept beleid te ontwikkelen om de Digitale Mainport te versterken.

Privacy Privacy en cloud houden een lastige relatie. Een belangrijke belemmering voor Public Cloud-gebruik in de bancaire wereld is weggenomen met de in november 2012 kenbaar gemaakte toestemming van De Nederlandsche Bank (DNB) aan banken om publieke Cloud-diensten te gebruiken, mits de serviceprovider onderzoek door DNB mogelijk maakt. De eerste banken zijn inmiddels volledig de Cloud ingegaan. Ook de onder het toeziend oog van het College Bescherming Persoonsgegevens door het Ministerie van Volksgezondheid, Welzijn en Sport gegeven toestemming om het Landelijk Schakelpunt voor het Elektronisch Patiënten Dossier te laten hosten bij een Amerikaans bedrijf, kan met het licht op de Patriot Act gezien worden als een doorbraak in de privacy-discussie.

Snowden In een Tour d’Horizon van Cloud in Nederland mag de Snowden-affaire niet ontbreken. Snowden heeft laten zien dat eigenlijk elke vorm van digitale communicatie zo’n beetje overal ter wereld kan worden afgetapt en bewaard. En dat dit ook gebeurt. Natuurlijk bestaan er wettelijke kaders voor het tappen en afluisteren, maar in de praktijk worden die kaders door de inlichtingendiensten handig omzeild. Het zou erom gaan terrorisme en criminaliteit te bestrijden, maar het is niet uitgesloten dat industriële spionage en het stelen van intellectueel eigendom minstens evenzo belangrijke motieven zijn. Dat geldt zeker voor bepaalde niet-westerse grootmachten. En meer landen maken maken zich schuldig aan grootschalig aftappen en surveillance, beslist niet alleen de VS. Het is overigens opmerkelijk hoe lauw de reacties zijn in de Nederlandse politiek en samenleving. In Duitsland ligt dat anders. Daar wordt serieus werk gemaakt van aanpassingen in de wetgeving en van praktische maatregelen. De eerste routers, ‘Made in Germany’ en door de veiligheidsdienst van de Bondsrepubliek gecertificeerd, zijn op de markt gekomen.

Het groeiende ongemak over de Amerikaanse surveillance praktijken, de lichtzinnige omgang met persoonlijke data door platforms zoals Facebook en de Europese irritatie daarover, dreigde de cloudwereld te verdelen langs geografische lijnen: een Angelsaksische, een Europese en een ‘wilde’ regio. De verheugende uitspraak van het Europese Hof van Justitie over de Safe Harbour Act leidt ertoe dat de Amerikanen zich moeten voegen naar het Europese privacybeleid. Wat betekent dat voor IT in het algemeen en Cloud in het bijzonder? Ga uit van het somberste scenario, dan kan het alleen maar meevallen. Ga er dus veiligheidshalve van uit dat het netwerk gehackt is – door criminelen dan wel door veiligheidsdiensten, elke computer besmet, dat elke router en switch een backdoor bevat, elke kabel wordt afgetapt en dat elke provider – al dan niet onder geheimhoudingslast gedwongen wordt toegang te geven. Dat wil nog niet zeggen dat ook elke organisatie doelwit is of dat dit uitsluitend aan cloud is voorbehouden. Maar voorkomen is beter dan genezen. Beveiliging kan derhalve het beste op het niveau van de data en de toegang daartoe gebeuren. End-to-end cryptografie, uitgebreide identity & access management en doorlopende monitoring van het uitgaande verkeer zullen om die reden een hoge vlucht nemen. Het is alleen jammer dat zelfs cryptografie niet honderd procent betrouwbaar is, nu de cryptografische standaardiseringscommissie NIST geïnfiltreerd lijkt te zijn waardoor cryptostandaardsmet-een-backdoor tot stand zijn gekomen5. Niettemin is encryptie in verreweg de meeste gevallen meer dan afdoende. Het is uitermate verheugend dat het kabinet heeft besloten dat belemmering van encryptie (nog) niet gewenst is: “Derhalve is het kabinet van mening dat het op dit moment niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland6.” Maar let op dit ‘op dit moment’!

Toekomst Nu Cloud onontkoombaar is geworden en steeds meer organisaties het leveringsmodel omarmen, heeft de aandacht zich verlegt naar de managementaspecten ervan: ‘we hebben Cloud, in diverse soorten en smaken, en aanvullend op onze bestaande

systemen. Hoe zorgen we voor inbedding en integratie, voor controle over de data en van de vendors, en verkleinen we onze risico’s?’ Daarmee zijn zo’n beetje de thema’s van de komende jaren geschetst. Eén ding is zeker: de behoefte aan lokale, traditionele IT-expertise zal gaandeweg plaatsmaken voor de vraag naar nieuwe competenties. Er staat een nieuwe professional op die voorbij de techniek kijkt en die informatie als inhoud, in context en met meerwaarde, zal gaan inzetten in bedrijfsen organisatieprocessen. Gebruikers gaan hun eigen informatie-omgeving zelf managen, binnen en buiten de cloud. De al jaren gaande zijnde globalisering van IT zal in een stroomversnelling geraken nu plaats en tijd er in de Cloud niet toe doen. Mits de Cloud Provider maar de beschikking heeft over voldoende dataverbindingen met veel bandbreedte en lage latency. En laat Nederland hierdoor nu eens heel sterke kaarten in handen hebben…..!

EuroCloud Nederland Dat alles gezegd hebbende, rijst misschien de vraag welke rol EuroCloud Nederland heeft gespeeld in de ontwikkelingsgang van cloud in Nederland. De eerste jaren stonden in het teken van voorlichting en uitleg. We hebben diverse round tables en briefings georganiseerd over specifieke topics, zoals certificering, Trust & Security, de waarde van data in de cloud en Cloud Brokerage. Ook hebben we tal van briefingdocumenten en praktijkvisies uitgebracht over deze en andere onderwerpen. Als lid van het NEN-comité over cloudstandaards is EuroCloud Nederland enige tijd betrokken geweest bij de discussie over cloudnormering. Ook heeft de stichting inbreng gehad in de gesprekken met de Europese Commissie over de rol van cloud bij het gestalte geven van de Digitale Agenda. Met aanpalende organisaties en verenigingen, zoals Nederland ICT, DHPA, DINL en NGI NGN onderhouden bestuursleden contacten. De jaarlijkse uitreiking EuroCloud Nederland Awards heeft met name een aantal cloud start-ups de mogelijkheid gegeven zich te presenteren en bredere aandacht te krijgen. Cloud is een ‘Mer à Boire’; omdat het onderwerp zoveel dimensies heeft, zijn de raakvlakken voor EuroCloud Nederland als kennisnetwerk grenzeloos. Tegelijkertijd zijn de mogelijkheden beperkt omdat Euro-

Cloud een not-for-profit initiatief is met een te verwaarlozen budget. Bovendien is cloud gemeengoed geworden en is de behoefte aan voorlichting sterk verminderd. Eind 2014 heeft het bestuur van EuroCloud Nederland uitvoerig stil gestaan bij de eigen toekomst. Het heeft drie pijlers geformuleerd: • EuroCloud Nederland Awards evenement versterken. In de afgelopen vijf jaar hebben bij elkaar genomen zo’n zestig bedrijven de moeite genomen hun case in te zenden voor de Awards. Dat geeft het belang aan van en de belangstelling voor de Awards. • Meer internationale uitwisseling. We kunnen vaststellen dat de bij de aanvang beoogde internationale samenwerking binnen EuroCloud Europa onvoldoende van de grond komt. Dat is jammer, want ook over de grenzen gebeuren er op cloudgebied interessante zaken. Om die reden heeft EuroCloud Nederland zelf meer internationaal gerichte initiatieven genomen: handelsmissies organiseren en in contact treden met buitenlandse partijen voor kennismaking en kennisuitwisseling. • Organisatie jaarlijks Nationaal Cloud Debat. Dit jaar wordt voor het eerst het Nationaal Cloud Debat gehouden waarin vooral de gebruikerskant belicht wordt: wat willen grote gebruikersorganisaties in sectoren als de zorg, financiën of overheid met cloud? Wat verwachten ze van hun leveranciers? EuroCloud Nederland zoekt hiervoor samenwerking met andere branche- of sector-organisaties en kennisnetwerken.

Los van de drie hierboven beschreven pijlers blijft EuroCloud Nederland netwerkbijeenkomsten houden dan wel faciliteren, zoals het netwerkevenement ‘Show your Cloud’. Partners en andere cloud bedrijven zijn dan gastheer van de EuroCloud Nederland community. Het gastbedrijf heeft een goede gelegenheid zijn cloudpropositie onder de aandacht te brengen. Zo terugkijkend, denk ik dat we als bestuursteam gezien de beperkte middelen en tijd veel tot stand hebben gebracht. Maar er is nog veel meer mogelijk. Ik ben ervan overtuigd dat mijn opvolger Robbert Hoeffnagel de activiteiten van EuroCloud Nederland een extra boost zal weten te geven. Ik wens hem veel succes. Theo Loth

1 ‘Who Coined Cloud Computing’, door Antonio Regalado in: MIT Technology Review, 31 oktober 2011 2 ‘Digital infrastructure in The Netherlands – the Third Mainport’, 14 november 2013 3 ‘Strategisch aanvalsplan The Netherlands: Digital Gateway to Europe’, Agentschap NL, Ministerie van Economische Zaken, 2 juli 2013 4 Ibidem, blz. 25 5 ‘How a Crypto ‘Backdoor’ Pitted the Tech World Against the NSA’, door Kim Zetter, in Wired, 24 september 2013 6 Kabinetsstandpunt encryptie, brief regering dd. 4 januari 2015 CloudWorks - nr. 1 / 2016

11

Cloud-visie Kamini Aisola van AWS:

‘Nederlandse klanten AWS hebben opvallend hoog technologisch niveau’ AWS opende het Nederlandse kantoor in Den Haag vorig jaar om directer in contact te kunnen staan met accountmanagers, solutions architects, partner managers en klanten. De stap werd ingegeven door een behoefte die men onder klanten constateerde: er kwamen steeds meer aanvragen voor face-to-face contact binnen. Inmiddels kan het bedrijf alweer terugkijken op bijna een jaar aanwezigheid in Nederland. Wat viel de cloudgigant zoal op in dat jaar? Zijn er specifieke uitdagingen waar bedrijven voor staan wanneer zij naar de cloud willen migreren? Vereist de regelgeving op de Nederlandse markt een bijzondere aanpak? Lopen we voor of achter, als we onszelf vergelijken met de rest van de wereld? Prangende vragen, die Aisola graag beantwoordt. “Wat in Nederland allereerst opvalt, is het grote enthousiasme voor innovatie. Dat heeft natuurlijk te maken met het feit dat een aantal van de grootste innovators ter wereld hier hun hoofdkwartier heeft en dat bedrijven in Amsterdam heel dicht bij de internet backbone zitten. Hierdoor kon men in een vrij vroeg stadium de vruchten van het internet plukken en dat zie je terug in de interactie die wij met onze klanten hebben. Wat ik bijvoorbeeld verrassend vond, was de technologische aard van de vragen die wij krijgen van klanten. Het niveau van de vragen is erg hoog en geavanceerd, vergeleken met andere landen. Wat ook opviel was dat onze klanten erg graag gebruik maken van de mogelijkheden die wij bieden voor feedback. We gebruiken die feedback bij elke beslissing die we nemen en de behoeften van onze gebruikers bepalen waar wij in gaan investeren en hoe onze product-roadmap eruit ziet. De Nederlandse klanten lieten op dit gebied een erg proactieve betrokkenheid zien. Voor ons is dat natuurlijk prettig, omdat we zo een duidelijk beeld krijgen van waar de markt behoefte aan heeft.”

In april is het een jaar geleden dat cloudprovider Amazon Web Services (AWS) zich fysiek in Nederland vestigde. AWS is natuurlijk al veel langer een grote speler op de Nederlandse markt en het bedrijf voorziet internationaal zeer succesvolle bedrijven als WeTransfer, Endemol en Philips van IT-infrastructuur en clouddiensten. De hoogste tijd om AWS eens aan de tand te voelen over Nederland en onszelf door de ogen van ‘s werelds grootste cloudprovider te bekijken. We spraken met Kamini Aisola, regionaal manager van Amazon Web Services Benelux.

Kamini Aisola

12


{

‘Wat in Nederland allereerst opvalt, is het grote enthousiasme voor innovatie’

klanten daar naar vragen, want veiligheid en privacy hebben bij ons de allerhoogste prioriteit. Zeker voor onze klanten in streng gereguleerde sectoren, zoals de financiële en gezondheidszorgsector, is dat van groot belang. De grootschaligheid van AWS biedt hier een groot voordeel voor iedereen die gebruikmaakt van ons platform.

Nederlandse AWS-klant: WeTransfer - Wie wel eens een bestand via WeTransfer heeft verstuurd, weet dat de bestanden voor korte tijd beschikbaar blijven. Omdat WeTransfer voor iedereen gratis te gebruiken is, kan het bedrijf moeilijk voorspellen hoeveel opslagruimte het per maand nodig heeft. Door de schaalbaarheid van de AWS-cloud kan het bedrijf eenvoudig de capaciteit ophogen of terugbrengen en betaalt het nooit onnodig voor opslagruimte die niet wordt gebruikt.

In het nabije verleden waren veel bedrijven en organisaties huiverig om hun hele infrastructuur naar de cloud over te zetten en dat had met name met veiligheidsoverwegingen te maken.Welke ontwikkelingen ziet AWS op dat gebied? “We zijn op een punt aanbeland, zowel in Nederland als in de rest van de wereld, dat we niet meer vragen waarom we naar de cloud moeten, maar vooral hoe we het gaan doen. We bieden een andere en voor veel bedrijven nieuwe IT-infrastructuur, dus het is niet altijd direct duidelijk wat de beste manier is om die overgang succesvol voor elkaar te krijgen. De eerste vraag die we in bijna alle gevallen krijgen, is inderdaad: hoe zit het met veiligheid en privacy? We vinden het fijn dat CloudWorks - nr. 1 / 2016

13

Cloud-visie Omdat wij de veiligheid en compliance in de streng gereguleerde sectoren moeten kunnen garanderen, voldoet ons platform aan de allerhoogste eisen op veiligheidsgebied. De Nederlandse Bank heeft verklaard dat Amazon Web Services aan de eisen voor het bedienen van financiële instellingen voldoet. Dat betekent dat Nederlandse financiële instellingen AWS kunnen gebruiken voor elke workload, of het nu gaat om retail banking, analyse van data, of mobiele apps voor bankieren. Het voordeel voor de rest van de Nederlandse markt is evident: we voldoen aan de strenge eisen voor financiële instellingen, wat ons platform ook direct geschikt maakt voor andere sectoren. Maar daar stopt het niet. Veel Nederlandse ondernemingen doen ook zaken in het buitenland, waar weer andere wetgeving en regulering geldt. Dankzij de wereldwijde aanwezigheid van AWS, kunnen we aan de veiligheidseisen van onze klanten in vele landen voldoen. Onze klanten hebben de keuze uit twaalf regio’s met ieder hun specifieke veiligheidsspecificaties. Waar de klant ook besluit zijn data op te slaan, daar blijft het staan. Zo ben je er altijd zeker van dat de lokale compliancy is gegarandeerd. Als het gaat om data die vanwege regelgeving binnen de EU moet blijven, dan blijft deze dat ook.” Zijn er specifieke obstakels te noemen waar Nederlandse klanten van AWS tegenaan lopen bij hun cloudgang?

{

‘Hoe zorgen we voor een soepele overgang wanneer we met één voet in de cloud, en één voet in onze lokale infrastructuur staan?’

Nederlandse AWS-klant: Essent - Essent profileert zich als innovatieve energieleverancier met diensten als E-Mobility en E-Thermostat. Daarvoor maakt het bedrijf gebruik van de cloud: alle publieke websites en selfserviceportals voor klanten draaien bij AWS. Op deze manier bespaart Essent geld en tijd, die nu geïnvesteerd kunnen worden in klanten.

“In Nederland zien we vooral de oude manier van werken, versus de nieuwe. Een hoop klanten hebben al decennia een bepaalde infrastructuur en manier van werken. Dankzij AWS is dat niet langer nodig, maar die overstap is voor veel bedrijven lastig. Niet dat het ontbreekt aan enthousiasme over de mogelijkheden, maar er is nog

Nederlandse AWS-klant: Endemol - Iedereen heeft wel eens een programma gezien dat geproduceerd is door Endemol. Het bedrijf maakt, produceert en distribueert al jaren internationale hits. Dit zou onmogelijk zijn zonder een flexibele, schaalbare en altijd beschikbare IT-infrastructuur. Endemol gebruikt AWS, zodat de eigen IT-afdeling zich niet langer hoeft te richten op onderhoud van datacenters, maar de handen vrij heeft voor andere zaken. Inmiddels loopt alle digitale distributie via de AWS-cloud.

14


een lange weg te gaan als het gaat om wat de cloud kan betekenen voor klanten. We krijgen van veel klanten dan ook de vraag: hoe gaan we het doen? En welke stappen moeten we nemen? We helpen deze klanten met het bepalen van een goed startpunt. We identificeren samen een specifiek project of applicatie die op AWS kan draaien. Dan is er in ieder geval iets concreet. Vervolgens bouwen we de mogelijkheden uit, en kijken we samen naar de doelen van een bedrijf, en hoe ons platform hen daarbij kan helpen, zoals bijvoorbeeld bij digitale transformatie. En heel belangrijk: we hebben al meer dan een miljoen actieve klanten. We kunnen gebruik maken van de kennis en ervaring die we bij al die klanten hebben opgedaan. Dat betekent dat we vaak op de meest specifieke vragen ook hele specifieke antwoorden hebben. In Nederland is het technologisch gedeelte meestal wel duidelijk voor klanten. Ze vragen om onze hulp bij het beantwoorden van de vraag: hoe zorgen we voor een soepele overgang wanneer we met één voet in de cloud, en één voet in onze lokale infrastructuur staan? Wanneer we deze vraag krijgen, laten we onze Solutions Architects

en Professional Services Experts helpen bij het maken van de overstap. Neem bijvoorbeeld Shell, dat in 2010 overstapte naar AWS. Ze wilden als bedrijf meer agile zijn, en werkten samen met ons Solutions Architecture-team om te kunnen voldoen aan hun vrij stringente beveiligingseisen en maatregelen. De resultaten zijn fantastisch: Shell gebruikt de cloud onder meer voor het doorrekenen en testen van modellen, waardoor 200 tot 300 projectteams binnen een dag aan de slag kunnen. Voorheen kostte hen dat weken. Een ander voorbeeld is Talpa, dat onder meer gebruikmaakt van AWS om de livestreams van realityprogramma Utopia af te handelen. Er is al meer dan 100.000 uur aan livestream via de app beschikbaar gesteld. Ook de stemmen die binnenkomen in de apps voor programma’s als The Voice, of The Winner Takes It All worden verwerkt op het AWS-platform. Die laatste app is 300.000 keer gedownload en heeft meer dan drie miljoen stemmen geregistreerd. Door de aard van ons platform kan de capaciteit eenvoudig worden opgeschaald tijdens uitzendingen, zodat de extreme pieken in verkeer gemakkelijk kunnen worden afgehandeld.”

Nederlandse AWS-klant: Philips - Philips City Touch is een intelligent managementsysteem voor straatverlichting. In plaats van de verlichting alleen aan- en uitzetten op vaste tijdstippen, kunnen lampen per stuk naar wens feller worden gezet, worden gedimd, of zelfs helemaal uit worden gezet in bijvoorbeeld industriegebieden. Het bedienen van de lampen gaat via de AWS-cloud, die de input van de sensoren in bruikbare data omzet. Het biedt veel mogelijkheden: van energiebesparing, tot beter zicht op verkeersstromen in een stad. In Londen en Praag doen ze er hun voordeel al mee.

Wat is het belangrijkste dat bedrijven kunnen leren van de ervaring van AWS op de Nederlandse markt? “Het voornaamste leermoment dat we bij onze klanten zien, is het besef dat ze bepaalde zaken niet meer hoeven te doen. Dankzij de nieuwe manier van IT bedrijven en de selfservice-aard van het platform, hoeven zij zich niet meer bezig te houden met zaken die niet hun kernactiviteit zijn. Ze kunnen zich in plaats daarvan richten op de business outcome. AWS biedt deze bedrijven de mogelijkheid om direct en veilig toegang te hebben tot hun data, via een platform dat voortdurend wordt bijgewerkt, zich aan de standaarden

Nederlandse AWS-klant: Wehkamp - Wehkamp kan dankzij AWS alle tijd steken in ontwikkeling van de webwinkel, omdat onderhoud van servers niet door de eigen IT-afdeling hoeft te worden gedaan. Daarnaast is het door de schaalbaarheid van de AWS-cloud eenvoudig om de capaciteit van de webwinkel op te schalen als er een grote reclamecampagne loopt, en het aantal klanten toeneemt.

{

‘Door de aard van ons platform kan de capaciteit eenvoudig worden opgeschaald’

houdt die ze voor zichzelf stellen, en voor een bedrag waarmee ze het zelf niet zo snel zouden redden. Precies hierom hebben we de cloud de nieuwe norm voor bedrijven zien worden. Jaren geleden bestond er de perceptie dat de cloud alleen werd gebruikt door startups, en dat grotere bedrijven het niet in zouden zetten op grote schaal – eventueel alleen voor ontwikkeling en testomgevingen. We tonen met onze klanten echter het tegendeel: bedrijven als Philips, Talpa, Endemol en Essent maakten allemaal de overstap. Het is gebeurd.” Wat gaat AWS de komende tijd allemaal doen in Nederland? “We investeren waar we merken dat het nodig is en waar er aanleiding voor is. We zijn al vele jaren op de Nederlandse markt, omdat we veel interesse in AWS zien. En we groeien als kool. In mei organiseren we wederom onze jaarlijkse top. We vinden het belangrijk niet alleen virtueel, maar ook fysiek steeds meer aanwezig te zijn.” CloudWorks - nr. 1 / 2016

15

Juridische vooruitblik De Verenigde Staten zet legislatief in op het delen van informatie over netwerkbeveiliging. Wie als bedrijf gegevens ter zake verstrekt aan het Department of Homeland Security heeft recht op juridische bescherming (maar moet overigens onder voorwaarden wel toegang tot klantgegevens verstrekken). En last but not least, iedere eigenaar van een drone in de VS moet tegenwoordig zijn onbemand luchtvaartuig formeel bij de Federal Aviation Administration registeren en deze markeren.

Balkanisatie Sommige, vooral grote ondernemingen, vrezen deze ontwikkeling: ‘the Balkanization IT’. Dat betreft bij nader inzien minder ICT als zodanig, maar meer afzonderlijke digitale markten, dus gebieden met eigen spelregels. Juridische Balkanisatie kunnen we echter niet nieuw noemen. Sterker nog: zij heeft zo ongeveer vanaf day one bestaan. Recht wordt immers van oudsher nadrukkelijk geografisch bepaald. Dat uitgangspunt geldt onverkort ten aanzien van de juridische normering van de commerciële informatietechniek, die na de Tweede Wereldoorlog opkwam. De actuele toename en diversiteit van nationale ICT weten regelgeving onderscheidt zich wel van vroeger. We zien veel nieuwe, bijzondere regels voor uiteenlopende digitale onderwerpen, die doorgaans snel tot stand komen. Uitzoomend blijkt dat het om twee categorieën weten regelgeving gaat: gericht op handelsbelang of nationale veiligheid. Aanbieders van producten en diensten in het digitale domein worden hierdoor niet zelden frontaal geraakt. Aanpassen en regulatory compliant zijn, of land dan wel regio verlaten, luidt het devies. Veel smaken zijn er niet.

Worldwide public cloud

Wetgeving ingeklemd tussen handelsbelang en nationale veiligheid Cloud computing verovert de wereld met een voortvarendheid waar eerdere modellen voor elektronische technologie en gegevensverwerking met jaloezie naar kijken. Ook juridisch bezien zet spoedeisendheid grotendeels de toon. Nationale wetgevers produceren in hoog tempo een bonte verzameling autonome ICT-gerelateerde regels die cloud computing vaak in het hart raken. De informatiemaatschappij bevindt zich nu juridisch ingeklemd tussen handelsbelang en nationale veiligheid. Ondertussen ploegt de Europese Unie noestig verder voor het realiseren van een digital single market, nieuwe wetgeving inzake privacy en netwerken informatiebeveiliging incluis. 16


Soevereine staten normeren hun informatiemaatschappij nadrukkelijk op basis van autonome wetgeving. De voorbeelden zijn legio. Zo verplicht Russisch recht tot dataopslag op Russisch grondgebied, overweegt het Verenigd Koninkrijk evenals bijvoorbeeld Frankrijk om encryptie bij wet te verbieden, terwijl de Duitse rechter Google’s Gmail beschouwt als telecommunicatiedienst, waardoor sommige clouddiensten strikter worden genormeerd. Daarnaast zijn telecommunicatiebedrijven en Internetaanbieders in China verplicht ‘technische hulp’ te bieden aan veiligheidsafdelingen, en wenst onze wetgever op Nederland gerichte online-kansspelen geclausuleerd mogelijk te maken. Eerder maakte Frankrijk plannen om het TOR-netwerk te verbieden en het gebruik van openbare wifi-netwerken tijdens een noodtoestand te blokkeren. Die zijn inmiddels weer ingetrokken. Van de autonome wetgevingsbevoegdheid en de keuze voor geheel nieuwe, afwijkende nationale ICT-wetgeving, getuigt eveneens het Nederlandse ontwerp Wet computercriminaliteit III, eind december ingediend bij de Tweede Kamer, dat politie en justitie de formele bevoegdheid geeft heimelijk ‘terug te hacken’; zelfs grensoverschrijdend. Een uniek opsporingsmiddel. Nog een voorbeeld.

Microsoft zegt in ieder geval afscheid te hebben genomen van de wereldwijde public cloud door middel van haar recente besluit om persoonsgegevens van Europese burgers in Duitsland gevestigde datacenters van T-Systems te verwerken. Langs deze weg worden de persoonsgegevens en andere informatie van haar klanten buiten de reikwijdte van de Patriot Act en verwante Amerikaanse wetgeving geplaatst. Commentatoren kijken hier op allerlei manieren naar, maar im Grunde genommen gaat het toch vooral om pragmatisme. Microsoft doet wat haar Europese klanten graag willen (en houdt bedrijfsinformatie en persoonsgegevens in beginsel uit Amerikaanse overheidshanden). Daardoor is ze tevens regulatory compliant. Tegelijkertijd kun je je afvragen of het concept van een wereldwijde public cloud überhaupt juridisch realiseerbaar is. En vervolgens welke internationale afspraken hierbij passen, zonder dat soevereine staten de zeggenschap over hun nationale veiligheidszaken (en handelsbelangen) verliezen.

Safe Harbour In antwoord op Kamervragen schreef minister Van der Steur (Veiligheid en Justitie) op 30 november 2015 dat hij niet verwacht dat de onderhandelingen over een nieuw Safe Harbour-verdrag, goed beschouwd een Europese beschikking, over de doorgifte van persoonsgegevens van Europese burgers naar de Verenigde Staten, op korte termijn zullen worden afgerond. Niet alleen werd de oude beschikking uit 2000 door het Gerechtshof van de Europese Unie op 6 oktober 2015 ongeldig verklaard - de Amerikaanse inlichtingendiensten verzamelen grootschalig persoonsgegevens van CloudWorks - nr. 1 / 2016

17

Spice in Finance

Juridische vooruitblik Europese burgers, terwijl aanspraak op effectieve gegevensbescherming ontbreekt - ook werkt de Europese Unie zoals bekend aan nieuwe privacywetgeving, die eveneens herziening van Safe Harbour vereist.

Deadline Afronding en inwerkingtreding staan echter onder tijdsdruk omdat de in de Artikel 29 werkgroep verzamelde Europese privacytoezichthouders, de deadline op eind januari 2016 hebben gesteld. Bij gebrek aan een nieuw verdrag, mogen vanaf februari persoonsgegevens niet langer aan de Verenigde Staten worden doorgegeven, omdat het land geen passend beschermingsniveau voor Europeanen biedt. Let op: buiten deze omstandigheid is doorgifte toch toegestaan, echter uitsluitend op basis van een wettelijke uitzondering of met vergunning van de Minister van Justitie, na advies van de toezichthouder af te geven.

Standard Contract Clauses Uitzonderingen bevestigen dus de regel. Wanneer het binnen een multinational om doorgifte naar een land zonder passend beschermingsniveau gaat, kunnen interne gedragscodes in de vorm van Binding Corporate Rules uitkomst bieden. In andere gevallen bestaat de mogelijkheid voor, in dit geval, Amerikaanse bedrijven, waaronder cloudleveranciers, door de Europese Unie opgestelde Standard Contract Clauses op te nemen in overeenkomsten met hun klanten (extern dus). Bij Safe Harbour waren grofweg 4000 bedrijven aangesloten. Het leeuwendeel daarvan betreft kleine(re) ondernemingen. Vooral deze groep zal naar verwachting snel moeten handelen, hetgeen mogelijk aanzienlijke kosten tot gevolg heeft. Gebruikers(organisaties) doen er goed aan om te vragen of de modelcontracten van toepassing zijn op hun rechtsverhouding.

Zoals bekend, gaat het om een grondige herziening en actualisering, die bestaande privacyrechten aanscherpt, nieuwe toevoegt en tevens administratieve lasten wil verlichten. We zien onder meer regels over het inzage-, correctie- en verwijderingsrecht van individuen (burgers, consumenten, patiënten, werknemers, en meer), alsook de verplichte aanstelling van een privacy officer, zij het onder voorwaarden. Verder bevat de verordening een meldplicht voor datalekken en voor het bedrijfsleven kan een toezichthouder een geldboete opleggen tot maximaal 4 procent van de jaaromzet.

Cybersecurity Na ruim twee jaar onderhandelen lijkt een doorbraak te zijn bereikt over het ontwerp van een Richtlijn voor netwerken informatiebeveiliging (NIB). Op 7 december bereikten de Europese Commissie en de verantwoordelijke commissie van het Europees Parlement namelijk consensus. Hierna volgt parlementaire stemming (EP-Commissie Interne markt en consumentenbescherming en het Comité van Permanente Vertegenwoordigers) en als laatste de behandeling in de Telecomraad, de verzamelde telecomministers. Het oorspronkelijke ontwerp bepaalt onder meer dat exploitanten van essentiële infrastructuur in een aantal sectoren (financiële dienstverlening, vervoer, energie, gezondheidszorg), aanbieders van diensten van de informatiemaatschappij (inclusief cloudleveranciers) en overheden risicobeheersregelingen moeten invoeren en ernstige incidenten met betrekking tot hun kerndiensten moeten melden. Vast staat dat het niveau van de beveiligingsvoorschriften is gekoppeld aan de maatschappelijke relevantie van een bedrijfstak. De jongste versie van de NIB-richtlijn is nog niet openbaar, maar naar verwachting wordt de tekst snel definitief gemaakt.

Verdeelde meningen Maar het kan ook zijn dat een strikte Duitse privacytoezichthouder roet in het eten gooit. Weliswaar vormen de Standard Contract Clauses een rechtsgeldige uitzonderingsregel; het Unabhängiges Landeszentrum für Datenschutz van Schleswig-Holstein beschouwt ze desalniettemin illegaal. Wie zonder wettelijke basis persoonsgegevens van Europeanen op servers in de VS opslaat, kan beboet worden met 300.000 euro, aldus deze toezichthouder. Dan kunnen de overeenkomsten met Amerikaanse cloudleveranciers beter beëindigd worden. Vrijwel zeker zullen de samenwerkende Europese privacytoezichthouders, verenigd in de inmiddels notoire Artikel 29 werkgroep, met een eensluidend standpunt komen. Dat betekent dat óf deze toezichthouder uit de Bondsrepubliek gelijk krijgt en het huidige systeem van wettelijke uitzonderingen deels op de schop gaat; óf dat, bij een andersluidend standpunt, SchleswigHolstein zal moeten inbinden. Vanaf 1 februari weten we meer.

Stimulering van de eigen - digitale - economie enerzijds en nationale veiligheid anderzijds in de vorm van verregaande bevoegdheden voor overheidsdiensten inzake toegang tot informatie. Dat zien we duidelijk terug in weten regelgeving voor de informatiemaatschappij: allerhande autonome regels en voorschriften, verschillend per soevereine staat. De vraag is of dat anders kan.

Op de valreep - 15 december - hebben Europees Parlement, de Europese Commissie en de lidstaten eindelijk een voorlopige overeenstemming bereikt over de Algemene Verordening Gegevensbescherming (AVG). Het voltallige parlement stemt er begin dit jaar over, dan wordt de tekst definitief vastgesteld en treedt de regeling twee jaar later in werking. In het eerste kwartaal van 2018 krijgt de Europese Unie voor het eerst een daadwerkelijk gelijk privacyspeelveld.

18


Financieringsvormen; te kust en te keur De ontwikkeling van uw onderneming kan op sommige momenten vragen om aanvullend geld. Mogelijk omdat uw onderneming snelheid maakt. Of omdat u nieuwe kansen hebt ontdekt of juist pas op de plaats wilt maken en nieuwe investeringen wilt doen. Het kan ook een stap zijn ter voorbereiding op een verkoop of strategische samenwerking. Maar hoe dan vervolgens uw financiering regelen? Financiering is er in vele verschijningsvormen, waarbij het risicodragende aspect van financiering de bepalende factor is. Risicoloos financieren bestaat niet, maar er is wel het nodige te zeggen over financiering en risico. Het is van belang om een goed financieringsplan op te stellen waar uitvoerig en gedegen aandacht wordt besteed aan de interne en externe risico’s, de zekerheden en - niet in de laatste plaats de plannen ‘B’ en ‘C’ voor als het niet zo gaat als u had gedacht. Ook overwegingen om te zoeken naar spreiding van risico over diverse aanbieders is een verplichte paragraaf in dit plan. In het spectrum van aanbieders zijn er twee uiterste financiers te onderkennen met aan de ene zijde de risicoloze financieringsvormen waarbij de geldgever hoegenaamd geen risico loopt, bijvoorbeeld omdat aanvullende zekerheden zijn gevraagd in borgstelling, onderpand of anderszins. Aan het andere einde van dit continuüm vinden we de durfkapitalisten die geld in uw onderneming willen stoppen, risico willen lopen en mee-investeren.

Crowdfunding - Deze sterk opkomende vorm van financiering kent een enorm aantal verschijningsvormen. Het is eigenlijk niet meer dan een verzamelnaam voor financiering van initiatieven door een (groot) aantal investeerders (the crowd) die een bedrag naar eigen keuze in het initiatief of bedrijf investeren. Mkb-fondsen - Diverse institutionele en particuliere beleggers verstrekken via mkb-fondsen financiering aan mkb-bedrijven. Deze gelden worden volgens een vast aanvraagproces aan mkbondernemers uitgeleend. Private equity en Venture capital - Private equity is risicodragend vermogen voor de financiering van niet-beursgenoteerde ondernemingen, zoals familiebedrijven of bedrijven die worden overgenomen door het management. Participatiemaatschappijen zijn de belangrijkste verschaffers van deze vorm van financiering. Het doel van deze investeerders is veelal om de waarde van de onderneming te verhogen, om deze in de toekomst vervolgens weer met winst te verkopen. Een specifieke vorm van risicodragend kapitaal is venture capital, of durfkapitaal. De risico’s die worden genomen zijn hoger, de tegenprestatie in de vorm van geëist rendement ook. Een vorm van financiering die zich onderscheidt van eerder genoemde vormen.

Waarop moet je letten bij het vinden van een financier? Voor het internationaal luchtverkeer mogen regels omtrent aansprakelijkheid bij verdrag zijn vastgelegd; over landingsrechten wordt doorgaans bilateraal onderhandeld, terwijl een binnenlandse vlucht sowieso onder de normering van de nationale luchtwet valt. En wie naar de VS en een aantal andere landen wil vliegen, moet als airline een reeks van persoonsgegevens van de passagier verstrekken, voorafgaand aan vertrek.

Tot slot Europese wetgeving

Louis van Garderen

Het laatste wat soevereine staten willen, is hun jurisdictie afstaan. Dat uitgangspunt is voor de gedigitaliseerde samenleving niet anders en geldt zelfs in versterkte mate nu gegevensverwerking vrijwel onzichtbaar en at the speed of light plaatsvindt; nationaal en grensoverschrijdend. Mr.V.A. de Pous is juridisch medewerker van Uitgever FenceWorks

Vormen Leningen, rekening-courant leningen en lease - Deze vormen van financiering worden nog relatief vaak verstrekt door de bank en gaan vrijwel altijd gepaard met zekerheden in de vorm van onderpand in materiele vaste activa zoals gebouwen, auto’s, systemen en dergelijke. Factoring - Richt zich vooral op de financiering van debiteurenportefeuilles die worden overgedragen aan een kredietverschaffer. Deze vorm is vooral geschikt voor relatief grote kredietbehoeften die samenhangen met veranderingen in het werkkapitaal (groei). Meestal vindt relatief hoge bevoorschotting plaats, soms tot 100%. Microkredieten - Voor banken is het vaak niet aantrekkelijk kleinere zakelijke kredieten te financieren door de relatief hoge handelingskosten en het hoog ingeschatte risico van deze kleine leningen. Vooral financieringen van dit segment staan onder druk. Alternatieven zoals Qredits verstrekken deze kredieten wel die door een ander marktmodel (online, geformaliseerd, fondsgesteund) mogelijk zijn zonder de hoge kosten.

Allereerst is het van essentieel belang om de doelstellingen van je financiering helder te hebben. Naast de keuze voor een financieringsvorm is de uitwerking van een potentiële financiering een punt van aandacht: • Begin tijdig zodat je niet onder druk hoeft te zwichten voor onwenselijke financeringsvereisten; • Zorg voor een goed juridisch framework vooral ook m.b.t. het uit handen geven van zeggenschap; • Laat je bijstaan bij het aantrekken van geld door een onafhankelijk en deskundig accountant; • Neem de tijd; • Zorg voor een plan ‘b’. Het is goed om bij financieringen dicht bij de eigen ondernemingsdoelstellingen te blijven; misschien wel het beste advies dat ik kan geven. Ik wens u succes in uw groei! Louis van Garderen is oprichter van Joinson & Spice CloudWorks - nr. 1 / 2016

19

Visie

DC-expert John Laban pleit voor einde aan ‘groepsdenken’

Datacenter aan vooravond ingrijpende veranderingen Het is hoog tijd dat er een einde komt aan het groepsdenken binnen de datacenterindustrie. Dat stelt de Britse datacenterexpert John Laban. Out of the box-denken wordt van cruciaal belang, meent de Engelsman. We doen momenteel veel te veel dingen ‘omdat we dat nu eenmaal altijd zo gedaan hebben’, stelt hij in dit artikel. Met name de opkomst van open hardware - bijvoorbeeld via het Open Compute Project - biedt ongekende kansen, maar veel bouwers en beheerders van zowel commerciële datacenters als enterprise rekencentra lijken niet open te staan voor nieuwe technologie en nieuwe werkmethoden.

Groepsdenken en kritisch denken zijn in veel gevallen elkaars tegenpolen. Helaas is ‘denken zoals de rest van de groep dat ook doet’ al heel lang de norm in de datacenterindustrie. Met als gevolg dat we anno 2016 nog altijd datacenters bouwen op basis van principes die stammen uit de jaren zestig. Voor de goede orde: dat is dus de tijd van de eerste mainframe-computers. En uitgedrukt in tijd: een halve eeuw (!) terug.

Achterhaalde concepten Dat is overdreven, zegt u? Kijk dan even naar de volgende voorbeelden: • Nog altijd een grote nadruk op het beperken van luchtvochtigheid. Stamt uit de tijd dat ponskaarten en tapes - die gemaakt zijn van papier - krom trokken bij een overmaat aan vocht. • Verhoogde vloeren op zaal. Die waren ooit bedoeld om de leidingen om met water te kunnen koelen onder de ITapparatuur te houden. • Verhoogde maar verstopte vloeren. Ooit dus bedoeld voor waterleidingen, maar sinds die tijd helemaal vol gestopt met andere apparatuur, kabels en dergelijke, waardoor de ruimte onder de vloeren vaak geen enkele rol meer kan spelen bij luchtcirculatie. • Zwarte racks die ervoor zorgen dat het verlichten van ‘white space’ soms erg lastig is. • Koelingssystemen die de temperatuur op zaal dragelijk houden. Ooit nodig voor operators die een groot deel van de dag op zaal waren, terwijl vrijwel alle activiteiten tegenwoordig van buiten de ruimtes kunnen worden verricht. • Complexe en inefficiënte AC-distributiesystemen en het gebruik van UPSsystemen met dubbele conversie waardoor meerdere redundante AC/DC-voedingen in ICT-apparatuur nodig zijn. • Akoestische vloertegels die een aangenamere werkomgeving opleveren voor operators die de hele dag op zaal zijn. • Deuren in racks en het gebruik van ventilatoren bovenaan en in het midden van kabinetten die nog stammen uit de tijd dat de lucht van onder naar boven door een rack moest worden geleid.

{

’Met als gevolg dat we anno 2016 nog altijd datacenters bouwen op basis van principes die stammen uit de jaren zestig’

de kreet ‘disruptief’ voor gebruiken. Leest u even mee: • Het einde van de ‘domme’ terminals doordat de PC werd geïntroduceerd. • Op ethernet gebaseerde lokale netwerken (LAN) die gebruik maken van goedkope twisted pair bekabeling en glasvezel die daarvoor toegepaste netwerktechnologieën en bekabelingstypen hebben verdrongen (coax, ArcNet, Token Ring, FDDI, ATM en - binnenkort - Fibre Channel). • Storage area networks (SAN). • Virtualisatie van server-hardware. • Linux en andere open source-software.

Impact van OCP op dc Ik heb al deze veranderingen in mijn werkzame leven meegemaakt. Maar de effecten van deze ontwikkelingen vallen naar mijn mening in het niet bij wat we de komende tijd gaan meemaken met OCP en andere vormen van open hardware. Het woord ‘transformatie’ wordt de laatste tijd veelvuldig gebruikt en misbruikt, maar als er

ooit een ontwikkeling was die in mijn visie transformatief is voor het datacenter, dan is het wel de opkomst van open hardware en de impact die deze technologische ontwikkeling zal hebben op zowel enterprise datacenters als colo’s. De lijst met gevolgen is veel te lang om hier volledig te kunnen behandelen. Laat ik er daarom hier een handvol benoemen: • Huiskamertemperatuur is straks de norm in datacenters; voor server-, storage- en netwerkapparatuur is straks geen aparte mechanische koeling, CRAC’s en dergelijke meer nodig. • Veel goedkoper: open hardware zal minimaal 50 procent goedkoper in aanschaf en beheer zijn dan traditionele hardware. • Het einde van Fibre Channel. • Het einde van het 19 inch rack (in gebruik sinds 1911!). • Het einde van de aloude hoogtemaat (1U, 2U etc.) dat vervangen wordt door het nieuwe OU ofwel Open Unit.

Is OCP disruptief? Sinds de jaren zestig heeft de datacenterindustrie een aantal ingrijpende veranderingen ondergaan. Tegenwoordig zouden we daar

20



21

Visie • Het einde van centraal opgestelde UPSsystemen. • Het einde van verhoogde vloeren. • Het einde van AC/DC-voedingen in ITapparatuur. • Het einde van kabels achter in ITapparatuur: denk aan voedingskabels en netwerkbekabeling aan de achterzijde van servers. • De komst van OCP-servers die gebruik maken van ventilatoren met een doorsnede van 80 mm en grote koeltorens op de CPU’s die een koelefficiency kennen die minimaal acht maal beter is dan die van traditionele 1U servers met 40 mm fans. • Veel lagere PUE: op OCP-technieken gebaseerde datacenters die een PUE kennen van 1,08 of beter. Deze veranderingen zijn zo ingrijpend dat het woord ‘disruptief’ niet langer volstaat. Ik heb er een nieuw woord voor bedacht: rumperedis. Ik schreef er eerder al een artikel over voor DatacenterWorks.

De echte IT-fabrikanten Wie bouwt nu eigenlijk de apparatuur waarmee wij onze datacenters vullen? Laat ik twee voorbeelden noemen: Foxconn en Quanta. De eerste heeft 1.000.000 (inderdaad: één miljoen) mensen in dienst, de tweede ‘slechts’ honderdduizend. Deze twee bedrijven zijn verantwoordelijk voor een groot gedeelte van alle ICT-apparatuur die wij dagelijks in datacenters gebruiken. De meeste mensen in de datacenterindustrie hebben echter nog nooit van deze ondernemingen gehoord. Of wellicht kent men Foxconn, maar dan vooral als producent van iPhones. Ze produceren echter veel en veel meer.

{

Dit soort bedrijven besteden nauwelijks geld aan marketing of het ontwikkelen van een merknaam. Dat hebben zij overgelaten aan de leveranciers waarvan wij de ICTapparatuur kopen die in onze datacenters wordt geplaatst. Alle financiële middelen steekt men in het ontwikkelen van nieuwe hardware en het nog sneller, beter en goedkoper kunnen produceren van die apparaten. Niet vreemd dus dat het uitgerekend de Foxconn’s en de Quanta’s van deze wereld zijn die zich op het fenomeen ‘open hardware’ hebben gestort. Zij adopteren de open source hardware designs die hier ontwikkeld worden en zien hierin enorme kansen. Zij kunnen nu spotgoedkope maar uitstekend presterende IT-hardware bouwen en leveren en daarmee de gevestigde namen zwaar beconcurreren.

De IT-industrie reageert Wie de ontwikkelingen bij grote IT-leveranciers de afgelopen jaren heeft gevolgd, ziet wat er momenteel gaande is: • Waarom heeft IBM zijn divisie die servers op basis van Intel-platformen ofwel commodity-hardware maakt verkocht? • Waarom heeft HP zich in tweeën gesplitst? • Waarom kocht Oracle eerst Sun Microsystems maar lijkt het concern steeds meer afstand te nemen van zijn hardware-tak? • Waarom fuseren Dell en EMC? • Waarom zijn grootafnemers van IThardware als Rackspace, Facebook en Microsoft zulke grote fans van het Open Compute Project? • Nog interessanter: waarom zijn grote Wall Street-banken (denk aan Goldman Sachs en dergelijke) zulke grote aanhangers van OCP-hardware?

’Foxconn en Quanta kunnen nu spotgoedkope maar uitstekend presterende IT-hardware bouwen en leveren en daarmee de gevestigde namen zwaar beconcurreren’

22


• Waarom investeert een financieel concern als het Amerikaanse Fidelity Investments in de ontwikkeling van de Open Bridgerack van OCP? • Waarom positioneert een leverancier als Brocade zich minder en minder als aanbieder van Fibre Channel-producten?

Gereed maken De vraag die dit soort ontwikkelingen bij mij oproept is: zijn de bekende leveranciers die hiervoor genoemd zijn zich aan het voorbereiden op een toekomst waarin de toon wordt gezet door open hardware? Ik denk van wel. Zij zijn hier naar mijn mening zeer actief mee bezig. Hoe stil is het echter in de datacenterindustrie? Bij aanbieders van klassieke dc-producten als power- en koelingsproducten zie ik heel weinig voorbereidingen op deze nieuwe toekomst. Hetzelfde

geldt voor de eigenaren van enterprisedatacenters. Deze grote groep datacenters investeert per jaar maar liefst 150 miljard dollar in hun faciliteiten en IT-infra-

structuur. Maar zelfs een relatief simpele ontwikkeling als de Open Bridge-rack kom ik bij hen niet tegen. Bovendien hoor ik zelden iemand hierover praten of vragen

stellen. Terwijl dit soort nieuwe ontwikkelingen van cruciaal belang zijn voor ieder datacenter dat gebruik wil maken van open hardware. Dezelfde stilte is er bij de meeste solo’s, een uitzondering als Rackspace dus daargelaten. In mijn visie staan we aan het begin van een nieuw tijdperk in de wereld van datacenters. De tijd dat de bekende hardwaremerken de toon zetten is zo langzamerhand voorbij. IT-hardware zal de komende jaren meer en meer een commodity-product worden. Een handvol Chinese/Taiwanese fabrikanten zullen de wereld overspoelen met spotgoedkope hardware die net goed genoeg is voor de taken waarvoor zij ingezet gaan worden. John Laban, Mission Critical Facilities Consultant CloudWorks - nr. 1 / 2016

23

Interview Wilbert van den Bliek en Ron Rouhof van SQS

{

‘Denk bij testen verder dan het hier en nu’ Testen van software is vandaag de dag niet meer te vergelijken met hoe het vijf jaar geleden ging. Maar als we vijf jaar verder zijn, ziet de testwereld er weer compleet anders uit, zeggen Wilbert van den Bliek en Ron Rouhof van de onafhankelijke softwarekwaliteitsspecialist SQS. Een gesprek over snelheid, flexibiliteit, globaliteit en de klok rond werken. Hun boodschap: denk verder dan het hier en nu.

’Klanten vragen zonder uitzondering om een kortere ‘time-to-market’

Bij SQS zitten meer uren in een dag. Als op het Beneluxhoofdkantoor in Utrecht de werkdag begint, zijn de collega’s in India al meer dan een halve dag bezig. Ook voor Nederlandse klanten. “Het is de toekomst van ons vak”, zegt Managing Director Wilbert van den Bliek. “Global service met lokale support.” Met het oog op die toekomst zijn vorig jaar onder meer de testcentra in Pune en Chennai flink uitgebreid. Op basis van de wereldwijde industrialisatiestrategie kiest SQS testlocaties op basis van beschikbare vaardigheden. De Indiase stad is een ideale plaats om getalenteerde medewerkers aan te trekken. “Iedere keer als ik er ben, raak ik onder de indruk van de verregaande domeinkennis van onze mensen daar. We zijn sterk vertegenwoordigd in veel sectoren, waaronder de financiële sector. We zouden bij wijze van spreken met de aanwezige kennis zelf een bank kunnen beginnen.” Lokaal groeit SQS ook. “Maar onze arbeidsmarkt is een stuk krapper”, zegt Chief Operations Officer Ron Rouhof. Het vak van testprofessional is inmiddels helemaal ingebed bij organisaties, waardoor er veel vraag is naar ervaren testprofessionals met affiniteit voor techniek en softwareontwikkeling. “Er wordt steeds meer van onze professionals verwacht. Waren vroeger domein- en testkennis voldoende, tegenwoordig wordt verwacht dat een testprofessional ook kennis heeft van systeemontwikkeling, ervaring heeft met testautomatisering tools en kan adviseren over risico’s, beveiliging en performance. Het is een dynamische baan waarin je contact hebt met alle afdelingen bij een klant en waar veel van je gevraagd wordt als het gaat om samenwerken en flexibiliteit. Je hebt te maken met nieuwe technologie of wetgeving die gaandeweg een testproces alweer kan verbeteren of veranderen.” Van den Bliek: “Het vraagt soms veel van professionals en dan is het prettig dat er wereldwijd heel veel kennis is in ons bedrijf en dat we op het gebied van opleidingen voorop lopen.”

Security en ervaring Wilbert van den Bliek en Ron Rouhof (rechts) in het hoofdkantoor van SQS Benelux. “IT wordt overal core-business.”

24


Een ander voordeel van de enorme schaalgrootte (zie kader) van SQS is de kennis van internationale wetgeving en security. Financiële instellingen van naam als HSBC, Credit Suisse en UBS gingen nog niet zo heel lang geleden voor grote bedragen het schip in door diefstallen uit hun testsystemen. Mede op grond daarvan legt de Europese Unie vanaf dit jaar het testen met productiedata

aan banden. Door synthetische data te gebruiken bij testprocessen, kun je dit ondervangen. “Aan die oplossing hebben we wereldwijd jaren gewerkt”, zegt Van den Bliek. “Dan schakelen we met onze specialisten over de hele wereld. In dit geval was Zwitserland, hét bankenland bij uitstek, in de lead. De opgedane kennis maken we beschikbaar voor banken in de Benelux. Testen met synthetische data is niet alleen praktischer bij het voorkomen van diefstal, het is ook nog eens flink goedkoper, je hebt minder data nodig om alle testen uit te kunnen voeren en je kunt die data keer op keer hergebruiken, waardoor de resultaten van de testen herhaalbaar en voorspelbaar zijn.” Hij geeft nog een voorbeeld van het profiteren van schaalgrootte. “In Nederland staat online gokken nog in de kinderschoenen. De aanbieders staan voor een grote uitdaging: hoe zorg je voor een ultieme consumentenervaring, als je weet dat iedere bug fataal kan zijn? In landen waar online gokken al big business is, zijn we daarvoor gecertificeerd en hebben we daar ervaring mee.”

Snelheid en nog eens snelheid De komende jaren draait alles om snelheid in combinatie met goede software, merken ze in Utrecht nu al. Klanten vragen zonder uitzondering om een kortere ‘time to market’. Door de opkomst van mobiele devices neemt het testwerk alleen maar toe. Rouhof: “De wereld verandert sneller dan mensen in de gaten hebben. Vroeger waren bijvoorbeeld verzekeringsmaatschappijen mensenbedrijven. Tegenwoordig zijn ze helemaal IT-driven, is bijna alles geautomatiseerd en doen klanten hun zaken via een portal, met de PC, maar vaak ook op diverse mobiele devices.” De COO verwacht de komende jaren veel testwerk in relatie tot het commercieel gebruik van (big)data. Zo denkt SQS mee met enkele sportbonden om data beschikbaar te maken voor derden. Bijvoorbeeld om uitslagen van competitiewedstrijden onmiddellijk te verwerken in een ranglijst en zichtbaar te maken in een app. “De behoefte aan realtime informatie is gigantisch. Dan hebben we het nog niet eens over de marketing mogelijkheden van dergelijke applicaties. Denk maar aan gerichte advertising of een E-wallet waarmee je in de sportkantine kunt afrekenen.”

DevOps nu dé manier Om IT wendbaar en weerbaar te maken is DevOps de ontwikkelmethode. Bij DevOps draait het om samenwerking tussen ontwikCloudWorks - nr. 1 / 2016

25

Nieuws

Interview keling en beheer. Daar komt de naam ook vandaan: Dev staat voor Development en Ops voor Operations. Alle afdelingen werken daarbij samen. “Bouwen en beheer valt daarmee samen”, zegt Van den Bliek. “In andere sectoren zie je dat ook. Het bedrijf dat een weg aanlegt, doet ook twintig jaar het onderhoud. Gedurende die onderhoudsfase ontwikkel je bij software ook gewoon door.” Software ontwikkeling wordt steeds meer een teaminspanning. Iedereen is vanaf de eerste dag verantwoordelijk voor en betrokken bij het eindresultaat en is tevens verantwoordelijk voor het beheer van de software. “Voor testprofessionals is het grote voordeel dat je al vroeg in het stadium van softwareontwikkeling kunt beginnen met testen en rekening houdt met de inzet van tools om geautomatiseerd te kunnen testen”, weet Rouhof. “Het ontwikkelen van software voor de mobiele markt is veeleisend. Omdat mobiele apparaten, platforms en besturingssystemen zich met ongekende snelheid ontwikkelen, moeten leveranciers zich steeds aanpassen zonder klanten te frustreren. Voor sommige toepassingen wil je een gebruiker niet iedere maand met een nieuwe portal confronteren terwijl je bij andere toepassingen het liefst op dagelijkse basis de mogelijkheid wilt hebben om nieuwe functionaliteit beschikbaar te stellen. Daarbij ben je dan voor de huidige mobiele platformen ook nog eens mede afhankelijk van diensten als Apple en Google. Het is dus van groot belang om bij de architectuur van nieuwe toepassingen stil te staan bij de snelheid waarmee de software voortgebracht moet worden en het tempo waarin je in staat wilt zijn om het uit te leveren.”

van EuroCloud EuroCloudNL start nieuwe jaar met juridische vooruitblik

Ron Rouhof: “Testen van software is een dynamische baan.”

Over vijf jaar ziet de testwereld er weer heel anders uit. Rouhof kijkt er naar uit. “Dan heb je apps die met elkaar zaken doen. En natuurlijk moet je blijven testen. Je hebt het over miljoenen gebruikers.” Van den Bliek ziet een service georiënteerde markt voor zich. “Waarom zou je nog software aanschaffen als je het uit de cloud kunt halen? Samen zijn ze het over één ding eens: IT is of wordt core-business voor nagenoeg alle bedrijven. Ook daar waar dit nu nog niet het geval is. Ruud Poels is Manager Communications bij SQS Nederland

DevOps wordt zowel in Nederland als internationaal veel gebruikt. Binnen SQS ligt de lead in Ierland. Om eigen en andere professionals bij te praten houdt de dienstverlener kennissessies, waarbij de Ierse collega’s als gastspreker optreden. Die kennisoverdracht gebeurt ook niet meer enkel en alleen in saaie leslokalen. “Bij de dynamiek van de hedendaagse tester hoort ontspanning, dus zijn de trainingen op leuke locaties. “Het wordt allemaal minder procedureel. Als werkgever in de IT moet je zorgen dat je medewerkers fris blijven”, aldus Van den Bliek.

Wereldwijd actief SQS is behalve in de Benelux actief in Duitsland, Verenigd Koninkrijk, Verenigde Staten, Australië, Oostenrijk, Egypte, Finland, Frankrijk, India, Ierland, Italië, Maleisië, Noorwegen, Singapore, Zuid-Afrika, Zweden, Zwitserland, Portugal en de Verenigde Arabische Emiraten. Bij SQS werken wereldwijd 4600 medewerkers. Het Benelux hoofdkantoor is gevestigd in Utrecht. Ierse collega’s praten professionals bij over DevOps.

Aanbieders en gebruikers van clouddiensten verkeren al geruime tijd in een grote staat van onzekerheid. Door het ongeldig verklaren van de Safe Harbour-overeenkomst was reeds veel onduidelijkheid ontstaan, maar met de komst van de nieuwe Privacy Shield geheten reeks van afspraken is er nog maar weinig verbetering in de situatie gekomen. Zolang de officiële verwoording van de naar buiten gebrachte afspraken niet bekend zijn, moeten we het doen met opmerkingen van betrokkenen tijdens persmomenten of artikelen en eerste voorzichtige analyses vanuit de media. Zolang de toezichthouders in de diverse landen zich echter nog niet over de afspraken hebben uitgelaten, bestaat er vooralsnog weinig duidelijkheid over de manier waarop Europese en Amerikaanse bedrijven met persoonsgegevens dienen om te gaan.

Juridisch mijnenveld Dat is echter niet het enige terrein waar veel juridische onduidelijkheid bestaat. Ook de vaak complexe en verwarrende regelgeving per land maakt dat het aanbieden en gebruiken van clouddiensten niet altijd even eenvoudig is. Daarom heeft EuroCloudNL het initiatief genomen om dit - we zouden bijna zeggen - juridische mijnenveld in

Meld u nu aan als partner of sponsor, en blijf op de hoogte! Met een aantal inspirerende bijeenkomsten in Nederland en andere landen, en een groeiende Europese organisatie met een vertegenwoordiging in meer dan 25 landen, is EuroCloud binnen twee jaar een belangrijk ken-

26


Nieuws

kaart te brengen door middel van een public briefing document genaamd ‘Een juridische vooruitblik - ICT-wetgeving ingeklemd tussen handelsbelang en veiligheid’. Het document is van de hand van mr. V. A. de Pous en komt ook elders in deze editie van CloudWorks aan de orde.

Show Your Cloud EuroCloudNL organiseerde vlak voor de jaarwisseling weer een Show Your Cloudevent. Op 10 december was de EuroCloud-community te gast bij Servoy, de leverancier van het gelijknamige applicatieontwikkeling-platform. Servoy had drie ISV’s bereid gevonden te vertellen hoe zij de transitie naar SaaS-leverancier hebben doorgemaakt. Dat leverde een boeiend palet op van drie totaal verschillende verhalen. ERP-vendor Globis liet zien hoe de klanten een brede keuze hebben gekregen: cloud en/of on-premises, serviceabonnement en/of licenties. Bij STB heeft de overgang naar de cloud tot een geheel nieuw initiatief geleid: OneYou, een zeer geavanceerde service om op basis van biometrische kenmerken (volgens de nieuwe BOPS-standaard) veilige authenticatie en SignOn te realiseren. Het gaat dan om bijvoorbeeld gelaatsuitdrukking, viervingerscan en hartritme. De leverancier

nisnetwerk geworden op het gebied van Cloud Computing en Software as a Service. Daarnaast biedt EuroCloud een uitstekend platform voor netwerken met zowel leveranciers als gebruikers van Cloud Computing. Naast een actief bestuur hebben inmiddels al meerdere bedrijven zich ingezet voor EuroCloud door een financiële bijdrage

van business-software Newbase heeft zelfs actief afscheid genomen van klanten omdat zij of niet in de doelgroep pasten of omdat zij niet bereid waren de Newbase-software voortaan online af te nemen. Het bedrijf is gewoonweg gestopt met het onderhouden van de traditionele software. Deze radicale aanpak heeft tot grotere winstgevendheid geleid. Ook komend jaar zal EuroCloudNL weer een aantal Show Your Cloud-events organiseren. In CloudWorks maar ook op de website van EuroCloudNL zullen wij hierover binnenkort aankondigen plaatsen.

Wijzigingen bestuur Theo Loth en Nan Sevenhek hebben besloten om per 1 januari 2016 het bestuur van EuroCloudNL te verlaten. Tegelijkertijd is Robbert Hoeffnagel (hoofdredacteur van onder andere CloudWorks en Infosecurity Magazine) toegetreden tot het bestuur. Hij zal zich onder andere met de externe communicatie en met het organiseren van nieuwe Show Your Cloud-events bezig houden. Bovendien zal hij zich richten op het verder uitbouwen van de EuroCloud Monitor. Dit is een jaarlijks terugkerend onderzoek dat de stand van zaken ten aanzien van het gebruik van clouddiensten in Nederland in kaart brengt.

te geven of middelen beschikbaar te stellen. Heeft u vragen of – nog beter – wilt u zich aanmelden als Partner, stuur dan een mail naar [email protected] +31 87 87 65 65 6 [email protected] www.eurocloudnl.eu CloudWorks - nr. 1 / 2016

27

Cloud-platform

Cloud Architect Alliance – partner van het HIT-BP De Cloud Architect Alliance is in mei 2014 ontstaan omdat de twee oprichters Freek Beemster en Bart Veldhuis vanuit hun eigen vakgebied de behoefte voelden opkomen aan een onafhankelijk, nietcommercieel gedreven platform waar vakgenoten van kennis en ervaring kunnen wisselen zonder de zogenaamde pet van hun werk- of opdrachtgever op te hebben. Zowel Freek Beemster als Bart Veldhuis werkten toen nog voor een werkgever, wat hen de ruimte bood dit op eigen titel te organiseren. Freek Beemster is met zijn bedrijf Niah Executive Search een subject matter expert in recruitmentoplossingen in de snel veranderende wereld van cloud technologieën. Bart Veldhuis, zelf gecertificeerd cloud-architect, biedt met zijn bedrijf Weolcan cloud-advies en trainingen aan. Het doel van de CAA is om de cloud-architecten die hierbij betrokken zijn te verbinden onder een zogenoemd ‘gentlemens nondisclosure agreement’ waarbij het gezamenlijke doel kennisdeling is.

Afgelopen evenementen • 26 juni 2014: Het eerste evenement vond plaats in juni 2014 waarbij de CAA 35 cloud-architecten heeft uitgenodigd om over automation & orchestration in de cloud te praten onder het genot van een goed diner in een nog beter restaurant in het Olympisch Stadion in Amsterdam. Sprekers die zichzelf een autoriteit in de markt mogen noemen, leidden het evenement inhoudelijk en er waren bijna geen no-shows. Dus dat was een duidelijke indicatie dat er behoefte is aan een platform als de CAA. • 9 oktober 2014: Het tweede evenement had veel drukker kunnen zijn, ware het niet dat door een logistieke beperking slechts ruimte was voor 50 cloud-architecten. Het onderwerp was security in cloud solutions. Wederom sprekers van formaat en zeer positieve feedback van het publiek. Na de evaluatie van dit evenement realiseerden de organisatoren zich dat de organisatie van dit evenement een succes was. Met name het format waarbij alle presentaties nadrukkelijk inhoudelijk van aard zijn (dus geen ‘marketingen sales-praatjes’) bleek aan te spreken. Met als gevolg de beslissing dat de CAA een vervolg zou krijgen en wel op een andere locatie zodat ruimte voor meer deelnemers ontstaat. Gekozen is voor een locatie pal naast station Amsterdam Amstel, zodat de locatie voor iedereen goed bereikbaar is. Daarnaast werd er besloten dat een stichting als rechtsvorm het best past bij de identiteit en de uitstraling van de CAA.

Freek Beemster (l) en Bart Veldhuis

28


• 5 februari 2015: De CAA heeft voor dit evenement een nontechnisch onderwerp gekozen wat minstens zo belangrijk is voor architecten om hun werk goed uit te kunnen voeren, namelijk: ethiek. Zeven ronde tafels met negen cloud-architecten mochten

stellingen beantwoorden waarbij de antwoorden aan het eind van het evenement werden samengevat in Geboden. Hier is ook het boekje ‘De 7 Geboden van de ethisch handelende cloud-architect’ uit ontstaan. De eerste druk is inmiddels uitverkocht.

Identity & Access Management Inmiddels heeft de CAA de onderwerpen Identity & Access Management in de cloud behandeld, waarbij 85 cloud-architecten aanwezig waren. Tijdens het meest recente evenement heeft de CAA wederom voor een trending topic gekozen door zich met alle 95 aanwezige cloud-architecten te verdiepen in de wereld van cloud brokerage & orchestration. Een dermate nieuw begrip dat dit ook voor de meeste cloud-architecten nog niet uniform gedefinieerd kon worden. Er werd een workshop gehost door ervaren agile coaches waarbij de aanwezige 95 cloud-architecten conform de denkbeelden van de Bono (niet de Bono van U2!) gezamenlijk de requirements van een cloud broker mochten definiëren. Inmiddels zijn bij de CAA bijna 300 cloud-architecten aangesloten. Een van de grondslagen van de CAA is dat er heel kritisch wordt gekeken naar wie welke bijdrage wil leveren. De sprekers worden zorgvuldig gekozen door de organisatie, de sponsoren krijgen op de evenementen die zij sponsoren geen spreektijd en er wordt continu gezocht naar het meest relevante onderwerp van dat moment.

Volgende sessie: 26 mei Er staat alweer een volgende CAA op de planning, 26 mei 2016. Dan zal het gaan over nieuwe ontwikkelingen op security-gebied. Nieuwe wetgeving biedt restricties maar ook nieuwe kansen om op een andere manier met de materie om te gaan. Wordt nader toegelicht tijdens het evenement. Onderwerpen van de daaropvolgende evenementen zullen zijn: • cloud continuity • disaster recovery in de cloud • cloud-oplossingen voor cloud-native startups Omdat de CAA voor 100% op sponsorbijdragen leeft, staat zij ook altijd open voor nieuwe sponsoren. Wie hier meer informatie over wil ontvangen kan zich richten tot Freek Beemster of Bart Veldhuis. Contactgegevens zijn bekend bij de redactie.

Samenwerking CloudWorks en de Cloud Architect Alliance CloudWorks en de Cloud Architect Alliance zijn een samenwerking aangegaan. Dit betekent onder andere dat u vanaf nu in iedere magazine-editie maar uiteraard ook op de website van CloudWorks (www.cloudworks.nu) informatie over dit samenwerkingsverband van cloud-architecten kunt vinden. CloudWorks - nr. 1 / 2016

29

{

Mobiel internet

’Laat eerst een grondige studie maken aan de hand van de locatie(s) van uw bedrijf’

Niet alle wegen leiden naar Rome Ook in 2015 kwam er geen einde aan de opmars van mobiel internet verkeer. Meer dan de helft van alle internetgebruikers surft inmiddels met een mobiel apparaat, al zijn er nog altijd landen waar de desktop pc domineert, zoals bijvoorbeeld de VS, IJsland en Cuba.

Wereldwijd hebben 3 miljard mensen toegang tot internet. Daarvan hebben 2 miljard, oftewel twee derde, internet via hun smartphone. De verwachting is dat er tot 2020 nog een miljard mensen online gaan. En dat is helemaal te danken aan de smartphone. De smartphone heeft ons gedrag de afgelopen jaren ingrijpend veranderd. Omdat we tegenwoordig altijd en overal toegang hebben tot alle denkbare informatie, hebben adviseurs en verkopers een veel minder grote kennisvoorsprong dan vroeger. Het aandeel mobiele website-bezoeken is in 2015 gestegen tot ongekende hoogtes. Het moment dat mobiel en desktop evenveel bezoeken opleveren ligt niet meer zo veraf.

Datacenter Maar wist u ook dat al dit draadloos internetverkeer via wifi of mobiel (3/4G) vroeg of laat via een of andere manier toch de grond in gaat en via meestal koper- of glasvezelverbindingen met het datacenter zal worden verbonden? Vandaar dat het steeds belangrijker wordt om eens stil te staan bij de mogelijkheden om de optimale verbinding te kiezen om al deze informatie in goede banen te leiden. Zonder verbindingen of connectiviteit zijn er immers geen clouddiensten mogelijk. Het is eigenlijk verbazingwekkend hoe weinig bedrijven en organisaties hier eigenlijk bij stil staan.

Bandbreedte wordt voor veel bedrijven steeds belangrijker, want u bent niet de enige gebruiker van de digitale snelweg. Datacenters worden beschouwd als de digitale hub tussen uw bedrijf en het Internet. Hoe korter de afstand, hoe beter de verbinding. Steeds vaker zien we dat de werknemer thuis over een betere verbinding (lees: hogere bandbreedte) beschikt dan binnen zijn eigen bedrijf. Ook valt het op dat de bedrijfsverbinding naar het Internet gedeeld dient te worden met alle aangesloten medewerkers en men daarboven ook nog gebruik wil maken van allerlei clouddiensten, liefst via diezelfde aansluiting naar het Internet.

Datacongestie U begrijpt dat hierdoor al snel een datacongestie zal ontstaan, met alle gevolgen van dien. Daarom is het belangrijk om eerst een duidelijk overzicht te krijgen van de mogelijkheden van aansluitingen naar het datacenter of Internet en een analyse te maken van het aantal applicaties binnen uw organisatie en hun dataverbruik. Hierna kan men pas een degelijk plan opstellen om onder andere: • Te zorgen dat alle verbindingen ontdubbeld worden zodat bij uitval, bijvoorbeeld door graafwerken in uw buurt, er toch via een andere route en telecom provider verder kan worden gewerkt. • Het Internetverkeer binnen uw organisatie gescheiden zal worden van de bedrijfskritische applicaties en er rekening is gehouden met het aantal gebruikers die dezelfde verbinding delen. • Datastromen te optimaliseren door de korte weg naar het datacenter te vinden en/of rechtstreeks een verbinding te maken met de Cloud Service Provider (public of private). Nog een tip: Laat eerst een grondige studie maken aan de hand van de locatie(s) van uw bedrijf, vóór dat u over gaat tot de keuze van een geschikte Internet provider. Peter Witsenburg - CloudMakelaar

30



31

Markt

Nieuwe software maakt ontwerp en engineering intuïtiever Ontwerp en engineering moeten dichterbij de bedrijfskritische processen van organisaties worden gebracht. Met het afgelopen najaar gelanceerde SolidWorks 2016 wordt daar een interessante poging toe gedaan. Met een vernieuwde userinterface en tijdbesparende functionele verbeteringen maakt deze veelgebruikte 3D-software het ontwerpen en engineeren van producten, machines en systemen veel intuïtiever. Waardoor dit soort ontwerpsoftware meer en meer een hoofdrol kan gaan spelen bij innovatie. SolidWorks 2016 bevat tientallen verbeteringen die designers en engineers helpen om zich meer op het ontwerpproces te focussen, dan op het softwaregebruik. Dat begint al bij de userinterface, die is opgefrist voor Windows 10 en de trend richting het gebruik van hogere resolutie beeldschermen. Alle grafische menuonderdelen zijn namelijk vectorgebaseerd, waardoor ze bij opschalen scherp blijven. Verder is er een intuïtief te gebruiken nieuwe menuoptie (‘breadcrumbs’) toegevoegd, vlakbij de muiscursor, waardoor gebruikers minder vaak de feature tree hoeven te raadplegen. Ook zijn hoekafrondingen en draadeindes met aanzienlijk minder handelingen te creëren.

32


Complexe uitdagingen oplossen Hoewel verbeteringen die de efficiency verhogen altijd welkom zijn, valt er meer winst te behalen met functies die helpen om ontwerpuitdagingen eenvoudiger of sneller op te lossen. Daarom bevat SolidWorks 2016 nieuwe simulatietools die beter inzicht en controle geven over operationele bewerkingen, aangebrachte belastingen en beweging van onderdelen in samenstellingen. Maar ook om complexe geometrische vormen eenvoudiger om te zetten naar de 2D-uitslagen die nodig zijn voor het productieproces. Diezelfde tools maken de krachtsverdeling in 3D-oppervlakken inzichtelijker, om het aanbrengen van sparingen in uitslagen te vereenvoudigen.

Concurrent design en engineering De derde categorie van verbeterde en nieuwe functies is gericht op het samenwerken aan ontwerpen en integreren van technische disciplines. Om concurrent design en engineering in multidisciplinaire teams te ondersteunen. Met SolidWorks 2016 zijn verder zowel elektrische besturingen, bedrading en circuits, als rechthoekige kanaalstelsels aanzienlijk sneller te ontwerpen. Verder bevat de nieuwe SolidWorks-versie inbegrepen PDMfunctionaliteit, met een userinterface die identiek is als Enterprise PDM. Alleen wel gericht op de persoonlijke ontwerpen engineeringinformatie, terwijl de uitgebreidere aanvullende PDM-software voor alle bedrijfsinformatie en meerdere workflows geschikt is.

Productieklaar maken Als ontwerpen klaar zijn moeten deze zo snel mogelijk productieklaar worden gemaakt. Daarom is het voortaan mogelijk om met SolidWorks Model Based

Definition direct vanuit 3D-modellen alle benodigde productspecificaties te definiëren, publiceren en te organiseren. Maar ook 2D-werktekeningen en eDrawings te produceren. Of fotorealistische visualisaties te maken met SolidWorks Visualize (voorheen Bunkspeed), om concepten met klanten en de productie te bespreken. Verbeteringen die er op gericht zijn om zowel traditionele productiemachines als 3D-printers sneller aan te sturen en daarmee het totale productontwikkelingsproces te verkorten.

Rethink Robotics Bij het demonstreren van de nieuwe SolidWorks 2016-functies, komen regelmatig de robots van Rethink Robotics in beeld. Dit bedrijf levert zelflerende lichtgewicht robots, die speciaal zijn ontwikkeld om in kleine ruimtes met mensen samen te werken. Zoals de tweearmige Baxter, die door zijn intuïtieve bediening en prijs interessant is voor MKB-bedrijven. Of de voor visiontoepassingen geoptimaliseerde Sawyer, die

snel precisietaken kan uitvoeren, zoals het testen van PCB’s. Deze beide robots worden aangestuurd via de Intera-software van Rethink en hebben een geanimeerd gezicht om de samenwerking met productieoperators te vereenvoudigen.

3D Cadworks Bij de Nederlandse introductie van SolidWorks 2016 was het ontwerpen engineeringbureau 3D Cadworks aanwezig. Directeur/eigenaar Patrick De Bie werkt al sinds 2004 met SolidWorks en tegenwoordig volledig in de cloud. Zijn bedrijf werkt voor klanten in verschillende disciplines, waaronder aan reverse engineeringsprojecten van oude machines. Met 3D-scans compenseren zij de vaak gebrekkige documentatie daarvan, om een basis te creëren voor de gemoderniseerde opvolgers. Verder heeft 3D Cadworks veel ervaring met eindige elementen berekeningen, flowsimulaties en het maken van technische documentatie met SolidWorks Composer.

3D ContentCentral Tegelijkertijd met SolidWorks 2016 heeft Dassault Systèmes een nieuwe versie van 3D ContentCentral geïntroduceerd. De online service voor het snel vinden, configureren en downloaden van onderdelen en assemblages van enkele honderden gecertificeerde industriële toeleveranciers. Met andere woorden een zelfservice CAD-catalogus, die op basis van een drietal abonnementsvormen door leveranciers te benutten is om hun aanbod bij 1,3 miljoen geregistreerde gebruikers onder de aandacht te brengen. Met in deze nieuwe versie tevens meer opslagcapaciteit en rapportages die de vraag naar de aangeboden producten inzichtelijk maakt. Van de redactie


33

VDI

De 16.000 studenten van de Universiteit Maastricht willen iedere dag optimaal gebruik kunnen maken van de toepassingen binnen hun desktopomgeving. De universiteit koos al jaren geleden voor virtuele desktops en de eerste omgeving bleek aan vervanging toe. Om de studenten het best mogelijke te kunnen bieden, ging de universiteit op zoek naar een nieuwe VDI-omgeving met een lange houdbaarheid. Daarom besloot de Universiteit Maastricht ook meteen zijn storage-omgeving te verversen. Onderscheidend door zijn innovatieve benadering van leren en internationale oriëntatie, is de Universiteit Maastricht de meest internationale universiteit van Nederland. De universiteit biedt aan bijna 16.000 studenten een breed assortiment aan academische programma’s. Dit en de 4.000 werknemers zorgen ervoor dat studenten het beste uit zichzelf kunnen halen. De Universiteit Maastricht had zijn Citrix XenApp-omgeving oorspronkelijk ingericht op basis van direct attached storage (DAS)systemen. Omdat deze omgeving het einde

34


van haar levenscyclus naderde, besloot het ICT-team van de universiteit om op zoek te gaan naar innovatievere opslag- en softwaremogelijkheden waarmee het de prestaties van zijn campusbrede virtuele desktopomgeving kon verbeteren. “We brachten in kaart wat nodig was om voor een volledig functionele VDI-omgeving te zorgen”, zegt Lucien Haak, de ICT-manager van de Universiteit Maastricht. “Het bleek dat niet alleen de opslag aan vernieuwing toe was. De complete virtualisatieomgeving moest worden gewijzigd. Een ander doel was om onze studenten meer vrijheid te bieden ten

aanzien van de toepassingen die zij binnen hun virtuele desktops gebruiken.”

binatie van VMWare en Tintri aanmerkelijk sneller. Het ICT-team van de universiteit heeft de implementatie inmiddels opgeschaald naar 1.100 gelijktijdige VDI-sessies voor studenten. Op korte termijn zal het van start gaan met de tweede fase van de VDIimplementatie, waarbij nog eens zo’n 400 virtuele desktops beschikbaar worden gesteld aan de medewerkers van de universiteit.

De Universiteit Maastricht schafte een Tintri T540 aan voor zijn testen programmeeromgeving, en twee Tintri T850systemen voor zijn productieomgeving. Deze laatste systemen werden opgesteld in verschillende datacenters met het oog op de bedrijfscontinuïteit. “De implementatie van de systemen verliep uiterst snel”, aldus Haak. “We riepen hiervoor de hulp in van de Professional Services-organisatie. Het hele proces nam minder dan twee uur in beslag.”

“Het is moeilijk om in exacte cijfers uit te drukken hoeveel sneller onze VDI-omgeving is geworden. De reden hiervoor is dat we tegelijkertijd de software en andere onderdelen van de virtuele omgeving vervangen”, aldus Haak. “Maar een conservatieve schatting zou zijn dat 80% van de prestatieverbeteringen van onze VDI-omgeving te wijten zijn aan de snellere systemen. We zetten deze momenteel alleen voor de VDI-oplossing in, maar het wordt ook tijd om een nieuwe omgeving voor onze servers in te richten. De prestatieverbeteringen voor onze virtuele desktops blijken zo sterk dat we nu overwegen om voor de nieuwe serveromgeving opnieuw een beroep te doen op Tintri.”

Sterkere VDI-prestaties

Eenvoudiger opslagbeheer

De virtuele desktop-omgeving van de Universiteit Maastricht presteert dankzij de com-

“Ook het opslagbeheer is er een stuk eenvoudiger op geworden met Tintri,” zegt

Uiterst snelle implementatie

Haak. “De Tintri-omgeving is aanmerkelijker eenvoudiger in het onderhoud omdat we geen LUN’s hoeven aan te maken of het SAN te beheren. We voerden kort geleden een upgrade van het Tintri OS uit, en die bleek uiterst soepel te verlopen. Alles was binnen een uur gereed, en we hoefden de systemen niet offline te halen. Met Tintri zijn we veel minder tijd kwijt aan het beheer van onze opslagomgeving.”

Aanrader voor andere universiteiten “Onze belangrijkste doelstelling voor het opwaarderen van de infrastructuur was om tegen lagere kosten hogere IOPS naar onze VDI-omgeving te brengen en de beheereenvoud te vergroten”, concludeert Haak. “We hebben beide doelstellingen kunnen realiseren door over te stappen op Tintri. We raden andere Nederlandse universiteiten aan om ook gebruik te maken van deze VM-bewuste storage-systemen. Een aantal van hun ICT-teams heeft reeds een bezoek gebracht aan ons datacenter om te zien hoe de oplossing in de praktijk werkt. Zij zijn nu van plan om hun opslagsystemen eveneens te vervangen door die van Tintri.” Van de redactie

foto: Arjen Schmitz

foto: Harry Heuts

Studenten Universiteit Maastricht genieten van vrijheid met nieuwe VDI-omgeving

Haak raakte sterk geïnteresseerd in de systemen van Tintri na het zien van een webinar waarin werd getoond hoe Unidesk gebruikmaakte van de opslagmogelijkheden van Tintri. “Zo kwamen we uit bij Tintri”, zegt hij. “We wisten dat DAS veel te langzaam was voor de gevirtualiseerde omgeving. Na alles wat we hadden gezien en gehoord was het duidelijk dat de oplossing van Tintri veel hogere IOPS kon bieden tegen een aanzienlijk lagere prijs. We besloten daarom in 2013 om onze DAS-opslag te vervangen door Tintri.”

Het ICT-team van de universiteit ging van start met de implementatie van een testomgeving waarin het de prestaties van virtualisatieoplossingen van Citrix en VMware kon vergelijken. Het team vergeleek daarnaast de App Volumes van VMware met Unidesk, een platform voor desktop- en applicatiebeheer. Na een analyse van de testresultaten besloot de Universiteit Maastricht om de bestaande Citrix-omgeving in te ruilen voor VMware Horizon View en VMware App Volumes, zodat het kon profiteren van aanvullende functionaliteit en verbeterde prestaties. Na het identificeren van de meest geschikte virtualisatie- en beheeroplossingen ging het team op zoek naar een sneller en kostenefficiënter platform voor het moderniseren van de infrastructuur. CloudWorks - nr. 1 / 2016

35

Apps Software op maat steeds populairder

Vijf redenen om te kiezen voor apps op maat

•V eel kant-en-klare oplossingen zijn niet compatibel met andere programma’s Waarschijnlijk gebruikt een bedrijf een softwarepakket voor een bepaald proces en een ander voor een ander, gerelateerd proces. Als deze twee softwareprogramma’s niet effectief met elkaar communiceren, zit dat de effectiviteit in de weg. Door zelf een app op maat te bouwen is het mogelijk om te integreren met een bredere set API’s van verschillende softwareleveranciers en datapartners. Daardoor wordt de productiviteit van de organisatie verbeterd. Ive Defaix

Werknemers hebben de neiging om kant-en-klare mobiele apps te gebruiken voor hun werk. Het risico van een schaduw-IT-omgeving ligt op de loer, waarbij forse security-risico’s worden gelopen als bedrijfsdata via standaards apps in publieke clouds worden opgeslagen. Apps op maat bieden organisaties niet alleen meer veiligheid, ze zijn bovendien specifiek toegesneden op de behoeften van het bedrijf, waardoor productiviteit en concurrentiepositie verbeteren. Uit cijfers van onderzoeksbureau Forrester blijkt dat de custom apps markt een onterecht ondergeschoven kindje is. De afgelopen vier jaar groeide deze markt met zo’n 33 procent tot circa 70 miljard dollar. Apps op maat bieden organisaties meerwaarde doordat ze volledig zijn afgestemd op de unieke behoeftes van het bedrijf en erop gericht zijn om de bedrijfsprocessen te transformeren. Uit onderzoek van CDW blijkt dat veel organisaties ervan overtuigd zijn dat hun investeringen in custom apps al snel resultaat opleverden. Zo noemden ze een verhoogde efficiëntie (46 procent), een verhoogde productiviteit (41 procent) en de mogelijkheid voor werknemers om remote te werken (39 procent). Ze gaven aan dat

hun werknemers gemiddeld 7,5 uur per week bespaarden door het gebruik van mobiele apps op maat. Het kan voor veel organisaties, zeker startende bedrijven, aantrekkelijk lijken om voor kant-en-klare apps te kiezen. Deze zijn relatief goedkoop en snel inzetbaar. Toch leidt het gebrek aan maatwerk vaak tot inefficiënte, handmatige processen. Wanneer een bedrijf (snel) groeit, kan schaalbaarheid van de app problemen opleveren, waardoor er fors geïnvesteerd moet worden in proprietary software zodat er alsnog geschaald kan worden. Er is dan ook een aantal goede redenen om te investeren in op maat gemaakte apps. • Kant-en-klaar kan niet aan iedere behoefte voldoen Kant-en-klare oplossingen richten zich over het algemeen op veelvoorkomende behoeftes van het gros van de organisaties. Een bedrijf dat specifieke behoeftes kent, is vaak beter af met software die beter aan die behoefte kan voldoen. Daarbij komt dat de functionaliteit van het grootste deel van de kant-en-klare oplossingen niet te wijzigen is om de app beter te laten aansluiten op de organisatie. Het kan lastig zijn om ingebouwde elementen toe te voegen of te verwijderen, waardoor een bedrijf met een oplossing zit met ofwel teveel ofwel te weinig functionaliteit.

•D e productiviteit van de organisatie stijgt Softwareapplicaties die specifiek zijn gebouwd met de behoeftes van het bedrijf in het achterhoofd, maken het mogelijk voor teams om sneller en slimmer te werken. Er is één uitgebreid technologieplatform in tegenstelling tot een aantal verschillende programma’s. Een geïntegreerd platform kan forse efficiëntiewinst opleveren, omdat alle data zich op één plek bevindt en gebruikers niet steeds hoeven te switchen tussen programma’s en websites in hun workflow. • Het biedt concurrentievoordelen Het is een stuk lastiger om de concurrent te verslaan als een organisatie dezelfde kant-en-klare oplossing gebruikt als die rivaal. Met het bouwen van een eigen app op maat die specifiek is afgestemd op de behoeftes en bedrijfsprocessen, is het mogelijk om de concurrentie voor te blijven. Die voorsprong groeit naarmate een bedrijf meer investeert in eigen systemen. • Het is kosteneffectief en eenvoudig Organisaties moeten het doen met krappe IT-budgetten. Zeker startende bedrijven hebben vaak niet de financiële middelen om fors te investeren in infrastructuur, een IT-afdeling en talloze

andere IT-gerelateerde zaken die claimen de boel gladjes te runnen. Veel apps op maat kunnen op een eenvoudige wijze worden gebouwd op een platform van de leverancier. Die zorgt voor de infrastructuur, veiligheid van data, schaalbaarheid en alle andere zaken. Deze custom apps zijn eenvoudig zelf samen te stellen op basis van de data in de organisatie. Geen vermoeiende gesprekken meer met een ontwikkelteam of de IT-afdeling om de requirements van een app helder te krijgen, geen prototypes meer testen of terug naar af. Met een aantal simpele muisklikken kan iedere organisatie een app op maat bouwen. Een custom app kan initieel een hogere investering betekenen voor bedrijven, maar het levert zijn waarde dubbel en dwars op als een organisatie voldoende schaalgrootte heeft. Het zelf bouwen van een app die specifiek is afgestemd op de bedrijfsbehoefte, die toegespitst is op schaalbaarheid en een hogere efficiëntie mogelijk maakt, kan het verschil betekenen tussen het leveren van een algemeen product of dienst en het leveren van een geweldig en onderscheidend product of dienst. Ive Defaix is Business Developement Manager bij FileMaker in de Benelux

FileMaker dicht gat tussen Excel en SAP Softwareontwikkeling kenmerkt zich tegenwoordig door een apparaat-agnostische strategie. Het is de truc om vanuit één centrale codebron de programmatuur op verschillende apparaten te gebruiken. Filemaker, een volle dochteronderneming van Apple en een van de meest ondergewaardeerde technologiesuccessen uit Silicon Valley, biedt met het Filemaker Platform een relevante en buitengewoon eenvoudige manier voor ontwikkelaars om zakelijk mobiele apps te bouwen. Het bedrijf bestaat dertig jaar en is van een simpele database tool uitgegroeid tot een robuust platform met zijn eigen server, script en rekentools, interfacebouwer en integratie API’s. Omdat het geschikt is voor teamgebruik, dicht Filemaker het gat tussen desktop software zoals Excel en grootzakelijke tools die zijn gebouwd op Oracle of SAP. De kracht van het platform ligt in de eenvoud van het gebruik. Een ontwikkelaar kan in uren bouwen wat in een traditionele programmeertaal dagen of zelfs weken kost. De app op maat is vervolgens beschikbaar voor desktop, mobiel en web met een enkele, gedeelde codebron.

36



37

Onderzoek 61 procent van bedrijven niet tevreden met huidige integratie tussen diverse cloudoplossingen

Integratie van cloudoplossingen blijft uitdaging voor veel bedrijven

Uit een brancheonderzoek van Scribe Software onder driehonderd ITmanagers blijkt dat veel organisaties moeite hebben met het integreren van hun cloudapplicaties. “We zien dat organisaties steeds meer SaaSapplicaties aanschaffen. Dit betekent dat IT-professionals zich moeten voorbereiden op constante veranderingen die elkaar ook steeds sneller opvolgen”, zegt Henk Adriaans, director EMEA van Scribe Software. “Connectiviteit moet daarom vandaag boven aan de strategische prioriteitenlijst staan. De oude vertrouwde integratiemethoden zijn niet flexibel genoeg om bij te blijven bij de huidige groei van data en cloudapplicaties.” Uit het onderzoek blijkt dat het gebruik van cloudapplicaties in bepaalde segmenten enorm is toegenomen, vooral in marketingen salesautomatisering. In deze sectoren geeft respectievelijk 62 en 60 procent van de respondenten aan een cloudoplossing te gebruiken. Dit leidt weer tot het gebruik van steeds meer best-of-breed-applicaties. Het integreren van die cloudapplicaties is daarbij een van de belangrijkste uitdagingen, zo blijkt uit het onderzoek. Hierdoor neemt de vraag naar flexibele, nieuwe integratiemogelijkheden sterk toe. Maar liefst 61 procent van de ondervraagden geeft aan niet tevreden te zijn met zijn huidige integratie tussen diverse cloudoplossingen.

voor 59 procent van de respondenten om niet tevreden te zijn met hun mogelijkheden voor data-integratie tussen cloud- en on-premise systemen.

API’s nog steeds populair Het custom programmeren van API’s is nog steeds de meest populaire methode van integratie. Zo noemt 54 procent van

Een uitdaging: integratie van cloud en on-premise Hoewel de cloud de afgelopen jaren steeds populairder is geworden, heeft de starheid van on-premise applicaties ervoor gezorgd dat organisaties vaak werken in hybride omgevingen. Belangrijke ERP-, CRM- en BI-applicaties draaien vaak nog on-premise. Door de combinatie van on-premise en cloud nemen de complexiteit, snelheid en het volume van data toe. Dit is een reden

38


de respondenten het als zijn primaire keus voor het koppelen van applicaties – een toename ten opzichte van de 48 procent in het 2013-onderzoek. Dit komt vooral omdat deze methode bekend is bij developers. Echter, langetermijnkosten van deze ‘custom-coded’-integratie worden vaak onderschat, vooral bij hybride implementaties waarin cloudapplicaties – met diverse updates per jaar – een rol spelen. Respondenten vinden de ontwikkeltijd (45 procent) en de kosten (36 procent) de belangrijkste integratie-uitdagingen. De tijd of moeite die het kost om oplossingen te updaten was van minder grote zorg.

MDM en big data belangrijke dataintegratie-initiatieven Ondanks de populariteit van het ontwikkelen van een API leidt ontevredenheid

Henk Adriaans

met cloud-integraties bij 59 procent van de respondenten ertoe dat ze kiezen voor software, connectoren en platformen van derde partijen om de processen te vereenvoudigen. Verder blijkt dat het migreren van data van één systeem naar een ander (42 procent), van back- naar front-office (37 procent), het integreren van data voor BI/analytics (37 procent) en het integreren van on-premise apps (35 procent) de belangrijkste data-integratie-initiatieven zijn. Daarnaast richten grote bedrijven (meer dan duizend werknemers) zich ook op Master Data Management en big data. Respectievelijk 32 en 22 procent van de ondervraagden noemt dit de belangrijkste data-integratie-initiatieven. De belangrijkste overwegingen voor organisaties bij het evalueren van data-integratieoplossingen zijn hoe eenvoudig het systeem aan te leren is (51 procent), de eenvoud in het gebruik (47 procent), datakwaliteit (39 procent), connectiviteit (39 procent) en schaalbaarheid (38 procent).

Integration Lifecycle Management

Groei gebruik van verschillende cloudapplicaties

“Integratie was voor de opkomst van de cloud al een issue voor veel bedrijven. Nu ze steeds meer cloudapplicaties in gebruik nemen, nemen de uitdagingen op dat gebied alleen maar toe. Aan de ene kant omdat cloudleveranciers vrij strikte regels stellen op het gebied van integraties en aan de andere kant omdat gebruikersorganisaties

steeds vaker wijzigingen willen doorvoeren”, zegt Adriaans. “Processen veranderen vandaag de dag heel regelmatig en dat wil je zo snel mogelijk in al je applicaties aangepast hebben. Daardoor is het werken met losse API’s niet langer wenselijk en bepleiten wij dat organisaties werken aan integration lifecycle management. Integratie is niet langer een geïsoleerde activiteit. Je zult het voortdurend op de agenda moeten plaatsen om bij te blijven.”

Innovatie Sommige bedrijven omzeilen al deze uitdagingen door vast te houden aan hun bestaande applicaties, waardoor ze kansen missen op het gebied van innovatie. “Door integraties voorspelbaar en gestructureerd uit te voeren binnen een cloudplatform is die koudwatervrees niet langer nodig”, benadrukt Adriaans. Van de redactie

Integration-as-a-Service Aansluitend op de belangrijke ‘As-aService’-trend levert Scribe een integratieplatform als dienst. Adriaans: “Dat platform is ondergebracht bij Microsoft Azure waardoor beschikbaarheid en veiligheid zijn gegarandeerd. Wij werken binnen ons platform met connectoren die direct beschikbaar zijn. Deze connectoren communiceren met een applicatie via een API. Omdat wij zelf alle connectoren bijhouden en updaten heb je daar als klant geen omkijken meer naar. Dat zorgt voor veel meer structuur en controle. Daarnaast ziet een integratie er op ons platform altijd hetzelfde uit, ongeacht de applicatie. Door eenzelfde look en feel zijn integraties dan ook veel eenvoudiger uit te voeren.” Adriaans noemt als voorbeeld een internationale klant die 279 integraties moet beheren. “Dat is nagenoeg onmogelijk zonder de juiste tools.”

Over Scribe Software Scribe is een wereldwijd leverancier van oplossingen die data daar brengen waar het nodig is – ongeacht de ITinfrastructuur. De producten van Scribe helpen 12.000 klanten en 1.200 partners data te gebruiken – cloudgebaseerd, on-premise of een mix daarvan – om zo omzetten te vergroten, service te verlenen en sneller businessvalue te creëren. De oplossingen worden ondersteund door uitgebreide support en training. Hiermee verleent het bedrijf diensten aan klanten binnen een breed spectrum aan sectoren, waaronder financiële dienstverlening, life sciences, productie, en media- en entertainmentbedrijven. Scribe opende in 2015 een Beneluxvestiging. Hier biedt een gespecialiseerd team lokale ondersteuning aan klanten. CloudWorks - nr. 1 / 2016

39

Bescherming persoonsgegevens

GDPR: ooit van gehoord? Thomas Kramps

In 2018 gaat de General Data Protection Regulation (GDPR) van de EU van kracht. Een verordening die de bescherming van persoonsgegevens harmoniseert binnen alle 28 EU-lidstaten. Nieuw is dat deze verordening recente technologische ontwikkelingen als big data, sociale netwerken en de cloud omvat. De huidige EU-richtlijn inzake gegevensbescherming (95/46/EC) zorgde voor een te grote verscheidenheid binnen de lidstaten en houdt onvoldoende rekening met globalisering en technologische ontwikkelingen zoals sociale netwerken en cloud computing. Tijd dus voor een verregaande harmonisatie van de regelgeving omtrent persoonsgegevens; de GDPR. Het belangrijkste doel van de GDPR is om de persoonsgegevens van burgers te beschermen. Uitgangspunt daarbij is een grotere verantwoordelijkheid en aansprakelijkheid voor bedrijven en organisaties die persoonsgegevens verzamelen, opslaan en verwerken. Het verzamelen van persoonlijke gegevens door bedrijven en organisaties mag alleen onder strikte voorwaarden en voor een legitiem doel. Een van de kernbeginselen van de EU-verordening is ‘verantwoording’. Organisaties moeten aantonen dat zij voldoen aan de GDPR en dat ze de vereiste maatregelen hebben genomen om deze na te leven. Uw organisatie is daarmee te allen tijde juridisch aansprakelijk voor de bescherming van (ongestructureerde) data, indien deze data verloren raakt, gestolen wordt, aangepast wordt of gebruikt zonder autorisatie.

Dataniveaus Binnen de regelgeving rondom bescherming persoonsgegevens maakt de EU

40


onderscheid in persoonlijke en speciale gegevens. Persoonlijke data verwijst naar het privé-, professionele of publieke leven van een burger. Dit kan van alles zijn: een foto, naam, e-mailadres, bankgegevens, posts op sociale media, functioneringsbeoordelingen, abonnementen, aankopen, opleiding, loginnamen en wachtwoorden, hobby’s en IP-adres. Of in de woorden van de EU: alle data op basis waarvan een individuele burger kan worden onderscheiden binnen een groep. Waarbij moet worden aangetekend dat de EU extra voorzichtigheid eist als het gaat om gegevens van minderjarigen. En dat geldt ook voor data die voor bepaalde mensen een groter veiligheidsrisico met zich meebrengen. De GDPR bestempelt bepaalde persoonlijke gegevens als ‘speciale data’. Het is streng verboden om dergelijke gegevens te verwerken, tenzij hier vrijstelling voor is aangevraagd en toegekend. Het gaat dan om gegevens over etnische afkomst, politieke opvattingen, levensovertuiging, genetische gegevens, medische gegevens, seksuele geaardheid en strafrechtelijke gegevens. Naast de compliancy op het gebied van gegevensbescherming krijgen bedrijven ook nog te maken met het ‘recht om vergeten te worden’ en de nieuwe privacyprincipes van Data Protection by Design en Data Protection by Default. Data Protection by Design betekent dat

nieuwe diensten en bedrijfsprocessen die gebruikmaken van persoonsgegevens, de gegevens volgens de verordening moeten behandelen. Een bedrijf moet dus zelf aantonen dat zij voldoende maatregelen hebben genomen om de verordening na te leven. In de praktijk betekent dit dat een IT-afdeling gegevensbescherming en privacy binnen de gehele levenscyclus van een systeem of proces moet integreren. Data Protection by Default betekent dat de meest strenge databeschermingsinstellingen automatisch van toepassing zijn wanneer een klant nieuwe producten of diensten aanschaft. Met andere woorden, van klanten en gebruikers wordt niet meer verwacht dat ze hun privacy-instellingen handmatig aanpassen.

De controller is er verantwoordelijk voor dat een organisatie gegevens op een correcte manier verzamelt, verwerkt en opslaat. • Processor Dit is een persoon, rechtspersoon, overheidsinstantie of andere dienst, die persoonlijke gegevens verwerkt namens de controller. Het gaat dan vaak om serviceproviders, IT-dienstverleners, hosters en salarisadministratiekantoren. De processor moet de persoonsgegevens verwerken in overeenstemming met de instructies van de controller, en adequate maatregelen nemen om de persoonsgegevens te beschermen.

Standaardrollen Belangrijk onderdeel van de GDPR is het definiëren van vier standaardrollen bij gegevensbescherming. Elk met hun eigen rechten en plichten. Ik behandel ze hieronder in het kort. • Controller Een controller is een persoon, rechtspersoon, overheidsinstantie of andere dienst, die het doel en de manier van verwerken van persoonsgegevens beoordeelt. In sommige gevallen is de rol van de controller afgeleid uit de wet of officiële taken van de organisatie, zoals de Belastingdienst.

• Datasubject Dit is het individu van wie de persoonlijke gegevens zijn. De GDPR geeft het datasubject specifieke rechten, zoals het recht om te worden geïnformeerd over de verwerking van gegevens, het recht om toestemming te geven voor de verwerking van persoonsgegevens (opt-in) of bezwaar aan te tekenen tegen de verwerking van persoonsgegevens (opt-out). Daarnaast heeft een datasubject het recht om gegevens op te vragen (recht van toegang) en over te dragen aan een andere partij (dataportabiliteit).

Een van de bedrijven die ondernemingen helpt zich voor te bereiden op de GDPR is Netskope. Als leverancier van cloud security-diensten ontwikkelde Netskope het Netskope Active Platform, voor discovery, inzicht in en nauwkeurige controle over officieel goedgekeurde en officieuze cloud-apps. Zo managen IT-afdelingen het gebruik van cloudapplicaties en beschermen zij gevoelige (persoons)gegevens – op elk (mobiel) device. De klantenkring van Netskope bestaat onder meer uit bedrijven in de gezondheidszorg, financiële diensten, hightech en retail.

• Supervisor De Data Protection Authority (DPA) is de overheidsinstantie die de GDPR handhaaft op het grondgebied van de lidstaat. Elke DPA heeft brede handhavingsbevoegdheden, met inbegrip van de bevoegdheid om boetes op te leggen.

onderneming persoonlijke gegevens verzamelt, opslaat, gebruikt en beveiligt. Zo ver wilt u het niet laten komen; tijd voor actie dus. Thomas Kramps is Regional Director Benelux bij Netskope

Dit is de GDPR in het kort. Naast weten dat deze bestaat, is het ook belangrijk om in kaart te brengen, wat deze verordening voor uw organisatie, systemen en processen gaat betekenen. Niet om u bang te maken, maar er is binnen de GDPR een meldingsplicht van inbreuken op de privacy, met een niet misselijke boete van vijf procent van de jaarlijkse omzet van een onderneming. Gevolgd door rigide controle op de manier waarop de CloudWorks - nr. 1 / 2016

41

Interview

‘Meesurfen op de ingrijpende verschuiving in de IT’

Het IT-landschap is aan flinke verandering onderhevig: niet alleen aan de front-end door bijvoorbeeld mobility, maar ook juist aan de back-end. Mike Huseman van EnterpriseDB legt uit: verdergaande digitalisering, verzet tegen vendor lock-in en meer acceptatie van open source. “Er vindt nu een tektonische verschuiving plaats in de IT”, betoogt senior vice-president Mike Huseman van EnterpriseDB (EDB). “Nieuwe technologie en nieuwe gebruiksvormen.” De leverancier van het relational database management system op basis van het open source PostgreSQL is zowel teken van die verschuiving als ook baathebber daarvan. Huseman vertelt dat er drie buigpunten (inflection points) zijn, die de verschuiving tekenen.

Nieuwe mogelijkheden versus oude lock-in “Ten eerste digitalisering.” Ondanks de al doorgevoerde digitaliseringsslagen in het bedrijfsleven is er nu sprake van een versnelling en ook schaalvergroting. Het omvormen van analoge of analoog gedreven bedrijfsprocessen, -activiteiten en klantinteracties in digitale equivalenten zit in een stroomversnelling. Dit is een stroomversnelling, die nieuwe gebruiksvormen brengt die mogelijk zijn dankzij nieuwe toepassing van technologie. “Ten tweede lock-in door de traditionele databaseleveranciers”, vervolgt Huseman zijn opsomming. Hij schetst dat softwarereus Oracle goed is voor 42 procent van de databasemarkt. De EDB-topman stelt dat klanten daar lang niet altijd blij mee zijn. Dominantie door een leverancier geeft niet alleen minder keuze qua technologie en mogelijkheden. Dominantie - en daarmee gebrek aan concurrentie - kan ook prijspressie voorkomen en zelfs koppelverkoop stimuleren. De weerzin tegen lock-in leidt volgens Huseman nu tot een gang naar alternatieven, zoals EnterpriseDB.

Acceptatie van open source “Ten derde de acceptatie van open source”, sluit hij het rijtje buigpunten af. Ja, erkent Huseman, Linux is al jaren geaccepteerd voor serieus bedrijfsgebruik. Alleen is dat schoolvoorbeeld van open source lange tijd nogal een uitzondering geweest. De aanvankelijke reactie op het idee van een open source database voor enterprise-gebruik was vaak terugdeinzen. Dat is nu wel anders, vertelt Huseman. Deze drie zelfstandige elementen vullen elkaar aan en versterken elkaar, wat de tektonische verschuiving veroorzaakt. De beweging naar meer digitalisering is enerzijds ingezet door de verwachtingen van klanten. Probleem daarbij is dat organisaties een budget X hebben, legt Huseman uit, en dat hun omzet vlak is of zelfs daalt. Het feit dat open source software gratis is en dat support door leveranciers dus goedkoper kan zijn, helpt hierbij.

Huidige workloads overhevelen

Mike Huseman

42


“Gartner voorspelt dat in de komende twee jaar zeker de helft van de huidige database-workloads op open source zal draaien.” De opkomst van open source gaat daarmee voorbij de initiële acceptatiefase waarbij voornamelijk - of zelfs alleen - nieuwe bedrijfsactiviteiten en nieuwe workloads worden uitgevoerd op open source. De prijs-/prestatievoordelen van commoditysystemen gelden ook voor bestaande databasetoepassingen.

“Het zijn niet langer alleen nieuwe projecten”, verzekert de senior vice-president van EnterpriseDB. Hij voorspelt dat het bedrijf op het punt van forse expansie staat. “OLTP-databases zijn nu prime time voor bedrijfskritieke toepassingen. Twee jaar terug was dat nog niet zo.” Huseman geeft aan dat het voornaamste probleem van EnterpriseDB zal zijn om die groei bij te benen. Het bedrijf zet dan ook in op directe en indirecte kanalen om bedrijven te bedienen. De mix daarvan is volgens hem niet relevant “want we hebben nu überhaupt te weinig capaciteit.”

Meeliften met ISV’s en integrators Vandaar dat EDB ook kijkt naar andere kanalen voor de lopende uitbreiding. Daaronder zitten bijvoorbeeld softwareleveranciers (ISV’s, independent software vendors). “Dat is een indirect kanaal, maar dan anders.” Huseman noemt als concreet voorbeeld Red Hat. EnterpriseDB en Huseman zelf waren dan ook prominent aanwezig op het drukbezochte Red Hat Forum Benelux in oktober. “We komen die ISV’s tegen bij de klant.” Een andere route-to-market zijn de grote technologieproviders en systeemintegratoren, vertelt Huseman. Die IT-leveranciers hebben wel applicaties voor hun klanten, maar geen eigen databases. EDB wil daar een rol in spelen en dan ‘meeliften’ met die leveranciers. Dit gebeurt al bij grote projecten in India, de Verenigde Staten en ook enkele in Europa. “Ik denk dat 99 procent van de system integrators kampt met daling want hun klanten willen minder Oracle.”

Er was geen ‘goed genoeg’ alternatief De beweging naar alternatieven voor Oracle hoeft niet per se een neergang voor die databaseleverancier te betekenen. “De markt als geheel groeit”, geeft Huseman aan. De groei vindt nu vooral plaats op drie gebieden, vertelt hij. Dit zijn: de financiële wereld, de telecommarkt en de publieke sector. EDB heeft hiervan ook in Nederland projecten lopen en al uitgevoerd, zoals bij ABN AMRO. Laatstgenoemde betreft niet de hele bank, maar alleen ABN AMRO Clearing die drie jaar terug al is begonnen aan PostgreSQL. Huseman is nuchter over EDB’s vervangingsmogelijkheden voor Oracle-installaties: die gelden heus niet overal. “Telecombedrijven hebben heel veel Oracle-instances. Zeventig tot tachtig procent daarvan zijn typische workloads voor gemiddelde bedrijven.” En die zijn volgens hem best vervangbaar door EDB. Waarom dit dan niet eerder is gebeurd? Salesdirecteur Jeannot Bos van EDB Europe zegt ronduit: “Omdat Oracle fantastisch was en omdat er geen ‘goed genoeg’ alternatief was.”

Rijp voor de verschuiving Huseman knikt en legt uit dat EBD de afgelopen jaren de gaten qua functionaliteit heeft gevuld. Onderzoeksbureau Gartner beaamt dit ook. Dan nog is de databasevervangingspotentie niet honderd procent. “Er is zo’n twintig procent waarbij de databasegebruikende applicatie zó is geschreven dat de Oracle-link onbreekbaar is.” De ‘truc’ is het identificeren en inventariseren van de databases en applicaties: welke zijn rijp voor de prijs-/ prestatieverschuiving dankzij open source? CloudWorks - nr. 1 / 2016

43

Cloud-strategie

Wat je beslist moet weten over het SLA met je cloud provider Een fundamenteel element van cloudimplementaties is het service level agreement (SLA) met de cloud service provider. Voor organisaties speelt het SLA een belangrijke rol bij het invulling geven aan de regieorganisaties waarin zij veranderen door de transitie naar de cloud. In editie negen van CloudWorks schreven we al over cloud SLA’s en het gebrek aan transparantie hierin. In dit artikel gaan we dieper in op hoe organisaties om kunnen gaan met de beperkingen uit deze SLA’s en bieden we enkele concrete handvatten om mee te nemen in de evaluatie of de selectie van een cloud service provider. En ja; zelfs met de grote hyperscale cloud providers kun je onderhandelen over betere voorwaarden. De tips en trucs uit dit artikel komen uit het onderzoeksrapport van CloudQuadrants over de volwassenheid van de SLA’s van twaalf in Nederland veel gebruikte Infrastructure-as-a-Service providers. CloudQuadrants is het samenwerkingsverband tussen het in Cloud SLA’s gespecialiseerde advocatenkantoor Arthur’s Legal en de cloudspecialisten van Weolcan. CloudQuadrants heeft op basis van de Cloud SLA Standardisation Guidelines van de Europese Commissie en eigen

{

’De basisvoorwaarden zijn vastgelegd in weten regelgeving’

44


kennis en expertise, een ‘blauwdruk’ voor SLA’s ontwikkeld. Deze blauwdruk is als meetlat gebruikt om de duidelijkheid en volledigheid van de SLA’s te toetsen.

SLA’s als onderdeel van het Cloud Service Level Ecosysteem SLA’s spelen een belangrijke rol als het gaat om het nastreven van de gewenste prestaties van een clouddienst. Tegelijkertijd zijn ze slechts een stukje van de puzzel; de SLA´s vormen samen met de contracten één van de elementen in het Cloud Service Level Ecosysteem, dat klanten in zijn geheel moeten doorgronden om Service Levels adequaat te kunnen managen. Andere elementen in het ecosysteem zijn onder andere: weten regelgeving, standaardisering en certificering, risico-allocatie en verzekeren, technologie en mens. Wet- en regelgeving Een aantal basisvoorwaarden waaraan de services van een cloud provider moeten voldoen zijn vastgelegd in weten regelgeving. Een voorbeeld daarvan is de Wet Meldplicht Datalekken die sinds 1 januari 2016 van kracht is en organisaties verplicht de klant te informeren over eventuele datalekken. Afhankelijk van het type organisatie is er vaak ook specifieke weten regelgeving van toepassing, zoals de Wet Basisregistratie Personen die van toepassing is op lagere overheden en gemeenten en de Baseline Informatievoorziening Rijksdienst (BIR), waaraan rijksoverheidsinstanties moeten voldoen.

Standaardisering en certificering Naast weten regelgeving bestaan er standaarden, waarmee organisaties op meer vrijwillige basis een bepaald prestatieniveau kunnen certificeren. Bekende voorbeelden van normen en certificeringen van de International Organization for Standardization (ISO) zijn ISO/IEC 27001 omtrent informatiebeveiliging, ISO/IEC 9001 over de eisen aan het kwaliteitsmanagementsysteem van een organisatie en ISAE3402, dat eisen stelt aan de procesbeheersing en omgang met security bij de outsourcingspartij. Eurocommissaris Kroes en haar opvolger Oettinger hebben zich tevens ingezet om normen meer specifiek voor cloud te ontwikkelen. Uit hun inspanningen komt onder andere de nieuwe ISO/IEC 19086 over cloud computing voort, die de basis moet gaan vormen voor de komende normering over Service Levels. Risico-allocatie en verzekeren Cloud verandert niets aan de verantwoordelijkheden van organisaties richting hun eindklanten. Echter, daar waar eerst de eigen (interne IT-) organisatie verantwoordelijk was voor zaken als server-, storage- en netwerkbeheer komen dat soort kritische taken nu bij de cloud service provider terecht. Hierbij kent de organisatie een deel van haar eigen verantwoordelijkheid toe aan de provider. Deze verschuiving van verantwoordelijkheden wordt voor een deel vastgelegd in het SLA en voor een nog groter deel zou deze moeten worden opgevangen door de cloudarchitectuur van de organisatie. Er blijven echter altijd een aantal risico’s met een bepaalde impact liggen. Tegenwoordig is het mogelijk, om deze risico’s – indien gewenst – af te dekken met specifieke cloudverzekeringen.

Technologie Bij het afnemen van cloud verschuift de focus van het beheren van eigen infrastructuur naar het voeren van regie op virtuele resources van een cloud service provider. Dit neemt echter niet weg dat het analyseren van de technologieën die een provider gebruikt voor zijn cloudplatform van grote toegevoegde waarde kan zijn, alvorens met die provider in zee te gaan. De gebruikte technologieën hebben namelijk invloed op de karakteristieken van het platform en verschillende workloads vragen nou eenmaal om verschillende clouds. Mens Tot op heden blijft de mens de zwakste schakel als het gaat om beveiliging. In welke mate je beveiliging ook toepast, er blijft altijd ruimte voor een ‘menselijke fout’. Social engineering is een voorbeeld van technieken die hackers gebruiken om hierop in te spelen. Denk bijvoorbeeld aan het hacken van het LinkedIn-account van

een directielid om vervolgens vanuit dat account een systeembeheerder te vragen om een password-reset. SLA’s Elk element binnen het ecosysteem kent zo zijn eigen uitdagingen. Voor SLA’s geldt echter, dat door ambigu gebruik van definities, het verstoppen van belangrijke bepalingen in de kleine lettertjes, het begrijpen en vergelijken van SLA’s bijna onmogelijk lijkt. Als gevolg hiervan is het voor organisaties een enorme uitdaging om een clouddienst te selecteren die past bij hun workloads en prestatieverwachtingen. Het voornoemde onderzoek van CloudQuadrants moet hierbij uitkomst bieden. Het onderzoek levert inzichten op, die organisaties kunnen gebruiken bij het evalueren of selecteren van een cloud service provider. Een aantal van deze inzichten willen we alvast met u delen alvorens u te informeren hoe deze informatie gebruikt dient te worden in het selectieproces.

SLA Credits: reken er niet op! Het overgrote deel van de onderzochte cloud service providers biedt ‘SLA Credits’ aan indien klanten schade oplopen als gevolg van een outage. Deze SLA Credits hebben veel weg van air miles: ze kunnen alleen gebruikt worden als ‘kortingsbon’ voor de periodieke kosten die klanten aan hun provider betalen. De gedachte achter de SLA Credits is goed, maar uiteindelijk is het een waardeloze compensatie voor de daadwerkelijke schade die kan ontstaan. De schadepost die kan ontstaan als gevolg van een grote outage overstijgt namelijk al snel de periodieke kosten. Bovendien is het maar de vraag of de CSP de SLA Credits ook daadwerkelijk verstrekt; hier zijn namelijk vaak strikte voorwaarden aan verbonden. Bij Amazon AWS bijvoorbeeld, heeft een klant recht op credits in het geval dat de service in staat van ‘Region unavailability’ was. Dat wil zeggen: in het geval dat CloudWorks - nr. 1 / 2016

45

alle virtuele machines in meer dan één beschikbaarheidszone in dezelfde regio, down zijn. In het uitzonderlijke geval dat deze situatie zich voordoet, moet dat over een periode van één maand ook nog eens langer duren dan zo’n 22 minuten op basis van Amazon’s uptimegarantie van 99,95%, om aanspraak te kunnen maken op de SLA Credits. Dit betekent dat de garanties die Amazon op papier biedt, nauwelijks garanties te noemen zijn. Dat is echter minder erg dan het lijkt. Op deze manier maakt Amazon ‘duidelijk’ (op een ingewikkelde manier) dat zij verwacht dat de workloads van klanten niet afhankelijk zijn van de beschikbaarheid van één individuele VM, maar eenvoudig verplaatst kunnen worden naar andere, identieke VM’s. De kracht van Amazon zit namelijk in de ‘oneindige’ horizontale schaalbaarheid van het platform en niet in de beschikbaarheid op het niveau van de individuele VM. Wat betekent dat voor de klanten van Amazon? In plaats van te rekenen op SLA Credits als het fout gaat, moeten ze ervan uit gaan dat het per definitie fout gaat en daar hun cloudomgeving op aanpassen. ‘Design to Fail’, noemen we dat.

Problemen met dataportabiliteit in een Hybride Cloud De belangrijkste voorwaarde voor een succesvolle hybride cloud is portabiliteit van applicaties en data tussen public en private clouddiensten. Stel dat een organisatie op dit moment gebruik maakt van de public clouddiensten van Softlayer, maar de wens heeft om te migreren naar een andere provider, omdat de ontwikkelingen van Softlayer’s cloudplatform achterblijven bij de verwachtingen van deze organisatie. Op het moment dat er besloten is om de clouddienst van Softlayer op te zeggen en de organisatie op het punt staat haar data te gaan migreren, komt ze erachter dat er in het

{

‘SLA’s beschrijven slechts de garanties, maar niet de daadwerkelijke performance’

46


Event

SLA niet gespecificeerd is hoelang de data nog bewaard wordt na het afsluiten van de dienst, hoeveel tijd je krijgt om die data op te halen en in welk format en met behulp van welke interface je dat dan moet doen. Reken er dus niet op dat dit soort zaken door de provider geregeld worden, maar zorg ervoor dat jouw organisatie voorbereid is op een exit uit de cloud. Zoals te zien in de figuur op de vorige pagina is Softlayer overigens niet de enige onderzochte CSP die niets over deze belangrijke exitbepalingen vermeldt.

Dat wil zeggen: kennis van de verschillende aanbieders en hun services. Een overzicht daarvan kan bijvoorbeeld verkregen worden via Cloudscreener.

Tot slot: getting into the CSP selection zone

• Service Level Agreement Maturity Dit is waar onze onderzoeksinzichten en de elementen van het Cloud Service Level Ecosysteem om de hoek komen kijken. Organisaties moeten met behulp van het onderzoek van CloudQuadrants en andere inzichten uit het ecosysteem een inschatting maken van de volwassenheid van de Service Levels en de mate waarop deze aansluiten op de wensen van de organisatie.

Hoe past dit alles in het proces van het selecteren van een cloud service provider die past bij de workloads die een organisatie in de cloud wil laten draaien? In het onderzoeksrapport beschrijven we vijf categorieën die als stappen doorgewerkt moeten worden: • Cloud Service Architecture De organisatie dient zich af te vragen welke business units, data en applicaties in aanmerking komen voor cloud en welke beslist niet. Maak in deze afweging gebruik van (1) juridische en strategische experts, (2) security experts en (3) experts op het gebied van regulering en compliancy. • Cloud Offerings Om een weloverwogen keuze te kunnen maken, is kennis van de cloudmarkt nodig.

• Real Time Performance Het SLA beschrijft alleen de garanties, maar zegt niets over de daadwerkelijke performance die een cloud service provider levert. Op de website van Cloudharmony is van vele grote cloud service providers de real time performance en data tot en met een jaar geleden terug te vinden.

• Certifications Organisaties dienen na te gaan welke normen en certificering relevant zijn voor hen en controleren of cloud service providers in het bezit zijn van deze certificeringen. Bart M.Veldhuis en Koen van Schijndel zijn werkzaam bij Weolcan

foto: Dennis van de Water - www.shutterstock.com

Cloud-strategie

Voor zesde maal in Eindhoven:

Beyond Data-event in teken van open data en smart cities Tijdens het internationale Beyond Data Event, dat op 29 maart 2016 voor de zesde maal in Eindhoven wordt georganiseerd, komen gemeenten en stakeholders uit de hele wereld samen om ervaringen en enthousiasme te delen, innovatieve ideeën te genereren en oplossingen te bieden voor praktijksituaties. Koplopers op het gebied van gerealiseerde open data projecten uit binnen- en buitenland delen hun ervaringen op het podium. Daarnaast gaat u in gesprek over geïmplementeerde projecten, samenwerkingen en succesverhalen. En uiteraard welke stappen de komende jaren nog gezet moeten én kunnen worden! Praktijkprojecten van steden, corporates, onderzoeksinstellingen, maar ook innovatieve start-ups dagen je uit om te komen tot nieuwe inzichten. Tevens is er aandacht voor organisaties die onderzoek doen voor het opzetten van een open data project, informatie willen vergaren en ideeën uit willen wisselen om een succesvol project te kunnen starten. CloudWorks (een mediaplatform van FenceWorks) is een van de partners van het event.

Tijdens het event komen sprekers aan het woord als: • Rob van Gijzel, burgemeester gemeente Eindhoven • Constantijn Van Oranje-Nassau, Ambassadeur StartupDelta • Catherine Bracy, Senior Director Partnerships & Ecosystem Code for America • Beth Simone Noveck, voormalig CTO White House & Founder The Governance Lab • Bart Rosseau, Data and Information Management gemeente Gent Meer informatie over het event is te vinden op de website van het Beyond Data Event.

Met korting naar Beyond Data? Dat kan! Omdat FenceWorks partner is van het Beyond Data Event kunt u gebruik maken van een speciaal kortingsaanbod. U krijgt daarmee 20 procent korting op de reguliere toegangsprijs. Wilt u gebruik maken van dit aanbod? Schrijf u dan in via beyondopendata2016.paydro.net/event/beyondopen-data-2/Fenceworks Of vermeld op het inschrijfformulier de kortingscode ‘FenceWorks’. CloudWorks - nr. 1 / 2016

47

Whitepaper

ISO High Level Structure en het BPdelivery MOLENMODEL

Certificeringstrajecten begeleiden en ondergaan zijn vaak een aaneenschakeling van een enorme berg papierwerk. Hierbij is niet altijd even duidelijk of alle informatie die beschreven moet zijn, ook daadwerkelijk beschreven is en binnen de organisatie juist wordt toegepast. Met de introductie van de High Level Structure (HLS) van ISO leek hier verbetering in te komen. Op basis van haar ervaringen in de certificeringsmarkt heeft BPdelivery het MOLENMODEL in de markt gelanceerd. Met als enige doel ISO certificeringstrajecten, die gebaseerd zijn op de HLS, sterk te vereenvoudigen.

De High Level Structure (HLS), die door de International Standards Organization (ISO) geïntroduceerd is in 2008, had de intentie om meerdere management systemen binnen certificeringen samen te voegen. Met name daar waar het ging om het milieuzorgsysteem (ISO14001) en kwaliteitsmanagement (ISO9001) was onderkend dat beide management systemen elkaar niet veel ontliepen en dat certificering tegen deze twee normen binnen het managementsysteem vaak leidde tot dezelfde soort en type documenten. De HLS heeft als doel om de papierberg terug te dringen en de normen, die over min of meer hetzelfde managementsysteem beschikken, op die punten samen te voegen waar overlap is. ISO9001 is het boegbeeld van de High Level Structure, zeker nu net het nieuwe normkader van ISO9001:2015 is gelanceerd. Als die op de juiste wijze gevolgd wordt, wordt het betrekkelijk eenvoudig om binnen 1 documentatie set meerdere normen onder te kunnen brengen.

48


Inmiddels heeft ook de markt onderkend dat de HLS de normen ISO9001 en ISO14001 overstijgt en dat er meer normenstelsels zijn die binnen het HLS kader passen, waaronder ISO 27001 (Informatiebeveiliging). Daarnaast zijn er nogal wat certificeringsnormen die gebaseerd zijn op de ISO27001 norm waardoor de HLS veel breder toepasbaar is geworden binnen het managementsysteem. Ondanks het feit dat de HLS een zeer welkome aanvulling voor diverse normenkaders betekent, vond BPdelivery, specialist in bedrijfsprocessen en vaak gevraagd als adviseur bij ISO trajecten, dit onvoldoende houvast bieden voor organisaties. Op basis daarvan ontwikkelden zij het MOLENMODEL. Het MOLENMODEL is precies wat u mogelijk denkt dat het is; een model gebaseerd op een molen. In de eenvoudige variant bestaat een molen uit drie kernonderdelen; Het fundament, het deel dat de molen laat draaien en de wieken.

Het fundament De basis van de molen bestaat uit het organisatie fundament. In dit fundament wordt beschreven wat de Missie, de Visie en de Strategie van de onderneming is. De basis hiervan kan door de SWOT analyse ingevuld worden. Veelal leidt het fundament tot een aantal basis beleidsdocumenten die het hart vormen van de organisatie. In de beleidsdocumenten worden missie, visie en strategie beschreven, gekoppeld aan een interne set van beleidsregels die met elkaar afgesproken worden. Voorbeelden van dit laatste kunnen personeelshandboeken en communicatie richtlijnen (of communicatie beleid) zijn, maar ook het interne beleid, het klantenbeleid en het leveranciersbeleid van de organisatie. Zolang dit gebaseerd kan worden op de gemaakte SWOT analyse, kan met betrekkelijke zekerheid gesteld worden dat het fundament staat als een (molen)huis.

De motor Zodra het fundament staat, kan gewerkt worden aan die elementen die de motor zijn van de organisatie en die in grote mate op de High Level Structure leunen. Elementen die hiervoor kenmerkend zijn, zijn het ISMS (Information Security

Management System). Deze motor is wat de wieken laat draaien waarmee aangegeven wordt dat dit de DYNAMISCHE aspecten zijn van de organisatie. Naast het ISMS bevindt zich in het motor gedeelte ook (een BPdelivery variant van) MAPGOOD. Met MAPGOOD worden risico analyses, hun maatregelen, verantwoordelijke organisatie-units en aanvaardbare restrisico’s opgetekend. Ook de MAPGOOD gaat voor BPdelivery niet ver genoeg en heeft dit acroniem uitgebreid met de E voor externe relaties en de K voor klanten. Juist deze elementen worden in de traditionele MAPGOOD niet genoemd en doorgaans ook niet meegenomen. Met deze letteruitbreidingen voldoet de MAPGOOD(EK) prima om de risico analyses mee uit te voeren. Verdere elementen die binnen certificeringsnormen gebruikt worden zijn het INK model, ten behoeve van het adresseren van kwaliteitselementen en de DemingCyclus, waarmee de organisatie zich continu kan verbeteren. Vanuit het INK model en de Deming-Cyclus worden doelen vastgesteld en kern-prestatie indicatoren aan de (SMART gedefinieerde) doelen gekoppeld. Met dit gegeven is het logisch dat de motor blijft draaien zolang de organisatie zichzelf nadrukkelijk en blijvend wil verbeteren.

De Wieken De wieken worden gevormd door drie kernelementen die doorgaans binnen iedere organisatie aanwezig zijn: • Procesbeheersing; • Kwaliteitsmanagement; • Informatiebeveiliging. Alle normen gaan uit van het bestaan van processen binnen een organisatie. Processen zorgen er immers voor dat activiteiten altijd op een vaste wijze binnen de organisatie doorlopen worden. Dit zorgt dat deze wiek altijd een vast onderdeel vormt van het MOLENMODEL. Iedere organisatie zal kwaliteit willen nastreven. Niet alleen voor de eigen organisatie maar zeker ook naar haar klanten toe. Men verwacht hieruit van leveranciers uiteraard hetzelfde niveau. Kwaliteitsmanagement is daardoor een altijd aanwezige factor.

{

‘Het doel is ISO certificeringstrajecten sterk te vereenvoudigen’

Met de toename van cloud implementaties en data dat overal om ons heen aanwezig is, is informatiebeveiliging hoger dan ooit op de agenda van ICT terecht gekomen. De nieuwe datalekken wet die per 1 januari is ingegaan, heeft dit element alleen maar versterkt. Ook daardoor is deze wiek een altijd aanwezige factor. De vierde wiek van de molen wordt bepaald door de organisatie zelf. Bij iedere organisatie is een kernwaarde aan te wijzen die, naast de al genoemde waarden hierboven, een sterke invloed op het functioneren van de organisatie heeft. Deze vierde wiek kan daardoor door de organisatie zelf benoemd en ingevuld worden. Door het toepassen van het MOLENMODEL is het voor organisaties eenvoudiger om zich te kunnen concentreren op de uitvoering van de benodigde elementen om zo de organisatie beter te kunnen beheersen. Om het model meer bekendheid te geven is hierover een whitepaper geschreven dat u kosteloos kunt downloaden van de website van BPdelivery. Surf naar www.bpdelivery.com en download uw exemplaar. Door gebruik te maken van de BPdelivery service, voldoet uw organisatie al aan een aantal belangrijke normelementen binnen, onder andere, ISO27001, ISO9001 en NEN7510. Wij vertellen u hier graag meer over. Wilt u meer informatie over onze methode of graag een gesprek aangaan met ons over certificerings begeleidingen of het product BPdelivery? Neemt u dan contact met ons op via www.bpdelivery.com. CloudWorks - nr. 1 / 2016

49

Legal Look

Mr. V.A. de Pous

Meer weten over business, innovatie & IT?

Encryptie

Lees www.BusinessEnIT.nl Is encryptie juridisch belangrijk? Uiteenlopende wetgeving schrijft tegenwoordig netwerken informatiebeveiliging voor en tevens meldplichten bij allerlei ICT-gerelateerde incidenten, zoals een lek met betrekking tot persoonsgegevens. In de praktijk zien we veel partijen, zowel eindgebruikersorganisatie als leverancier, een eigen omschrijving ter zake gebruiken. Europa hanteert echter een uniforme definitie met straks een wettelijke status. Onder netwerken informatiebeveiliging verstaat een cybersecuritywetsontwerp uit 2013, dat op korte termijn wordt vastgesteld: ‘Het vermogen van een netwerken informatiesysteem om met een bepaald niveau van betrouwbaarheid bestand te zijn tegen accidentele gebeurtenissen of opzettelijke handelingen die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van de opgeslagen of verzonden gegevens of de daaraan gerelateerde diensten die via dat netwerken informatiesysteem worden aangeboden of toegankelijk zijn, in gevaar brengen’. Daar kan niemand omheen. Versleuteling van gegevens vormt hierbij een uiterst belangrijk middel. Sterker nog, je kunt argumenteren dat encryptie een indirect wettelijk voorschrift is.

Wat zijn de ontwikkelingen in dit domein? Versleuteling is bovenal een prima middel voor de bescherming van de vertrouwelijkheid en integriteit van digitale communicatie en opgeslagen data. Weinig verrassend komt encryptie van digitaal verwerkte gegevens telkens ter tafel wanneer er zich een majeure aanval op de rechtstaat heeft voorgedaan. Dat begon met 9/11; recentelijk was dat het terrorisme in Parijs. Als het aan inlichtingen- en veiligheidsdiensten ligt, moeten ICT-bedrijven een digitale achterdeur inbouwen (een ‘technische ingang’) of anderszins meerwerken, zodat de overheid in voorkomende gevallen toegang tot de ge-encrypte data kan krijgen in het kader van voorkoming, opsporing en vervolging van ernstige criminaliteit en terrorisme. Daar is terecht veel weerstand tegen, mede omdat hierdoor de beveiliging van informatiesystemen en gegevensverwerking juist wordt verzwakt. Ook criminelen kunnen immers van de backdoors gebruik maken.

Hoe ziet het Nederlandse rechtskader eruit? Het kabinet erkent volmondig dat cryptografie een ‘sleutelrol’ in de technische beveiliging in het digitale domein speelt. Bij

50


Internetbankieren tot en met het webshoppen, bij de opslag van wachtwoorden tot de bescherming van mobiele telefoons en laptops tegen verlies of diefstal. Daar heeft de overheid overigens zelf veel baat bij, nu de blauwe envelop van de Belastingdienst in beginsel breed wordt afgeschaft. Veilig digitaal communiceren tussen overheidsdienst en burger en bedrijf via DigiD - dat wordt immers vanaf 2017 de norm - kan feitelijk niet zonder versleutelingstechnieken plaatsvinden. Anderzijds beseft ook ons kabinet de noodzaak tot het verkrijgen van toegang tot versleutelde data bij de bestrijding van ernstige criminaliteit en terrorisme. Encryptie schept dus niet alleen vertrouwen in de informatiemaatschappij, maar werkt tegelijkertijd belemmerend. Al eerder schrapte de regering het oorspronkelijke decryptiebevel aan verdachten in het wetsontwerp Computercriminaliteit III. Ons strafrecht kent namelijk een uiterst belangrijk rechtsbeginsel op grond waarvan een verdachte niet aan zijn eigen veroordeling hoeft mee te werken. Na afweging luidt de mening in de Den Haag dat het op dit moment niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland. De juridische status quo: (I) het gebruik van encryptietechnieken wordt op grond van het Nederlandse recht niet verboden, (II) de digitale sector krijgt geen verplichting om een technische toegang in beveiligde producten of diensten in te bouwen en (III) verdachten hoeven wachtwoord of encryptiesleutel niet aan politie en justitie te verstrekken. So far, so good. En last but least, IV) het inbreken in beveiligd informatiesysteem kan tot computervredebreuk leiden (Artikel 138a Wetboek van Strafrecht), terwijl (V) het omzeilen van een technische voorziening voor de beveiliging van een auteursrechtelijk werk eveneens strafbaar gesteld is (Artikel 29a lid 1 Auteurswet). Mr.V.A. de Pous is bedrijfsjurist en industrie-analist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.

Business & IT publiceert artikelen en blog posts over de relatie tussen IT, business en innovatie. Ook publiceren? Kijk op http://businessenit.nl/over-business-en-it/

UW BEDRIJFSKRITISCHE ICT-INFRASTRUCTUUR GEOGRAFISCH EN STRATEGISCH VEILIGSTELLEN? The Datacenter Group heeft tussen haar datacenters in Amsterdam en Delft (en strategische datacenters) een netwerk van redundante glasvezelverbindingen. Ons uniek twin datacenter concept zorgt voor de snelste verbindingen en de betrouwbaarste dataopslag in een handomdraai.

The Datacenter Group AMSTERDAM

HAARLEM

AMSTERDAM III AMSTERDAM I AMSTERDAM II

The Datacenter Group DELFT

ROTTERDAM

= STRATEGISCH DATACENTER

VIJF GOEDE REDENEN OM VOOR THE DATACENTER GROUP TE KIEZEN

UW DATA 100% VEILIG OP NEDERLANDSE BODEM

100% UPTIME GARANTIE

24/7/365 FYSIEKE BEVEILIGING

thedatacentergroup.nl

24/7/365 REMOTE HANDS SERVICE

020 486 9773

25+ TECHNOLOGY PARTNERS

[email protected]

Alles over innovatie in ICT

Recommend Documents