Cloud computing: een kans voor scholen
Auteur: Miranda van Elswijk en Willem-Jan van Elk Dit artikel is verschenen in Vives d.d. april 2011
Mail lezen via Hotmail, rekeningen betalen via een internetbankierapplicatie en foto’s plaatsen op Flickr… steeds meer softwarediensten zijn altijd en overal beschikbaar via internet. Deze diensten worden cloud services genoemd. Veel organisaties, waaronder scholen, maken er gebruik van. In dit artikel leest u over de besluitvorming rond clouddiensten, de implementatie ervan, de veiligheid en de juridische aspecten. Cloud computing bestaat al sinds de jaren negentig van de vorige eeuw (zo bestaat Hotmail al sinds 1996), maar wint nu terrein. Dat komt doordat de randvoorwaarden voor de toepassing ervan nu pas zijn ingevuld; zo zijn de internetverbindingen snel en zijn gegevensopslag en rekencapaciteit goedkoop. Ook in het onderwijs wordt cloud computing steeds meer gebruikelijk. Er zijn bijvoorbeeld online faciliteiten voor de elektronische leeromgeving, de leerlingenadministratie en de financiële administratie, mail en (digitaal) samenwerken. Als de gebruiker (docent, leerling, medewerker) beschikking heeft over een internetverbinding en een browser, kan hij deze faciliteiten gebruiken. Hij kan werken vanaf een PC op school of thuis, of met behulp van zijn mobiele telefoon. Op het moment dat het hem uitkomt. Daarmee wordt het onderwijs flexibeler. Toegevoegde waarde van ICT in het onderwijsproces Een school die gebruik maakt van cloud computing, hoeft minder tijd en geld te besteden aan de techniek. Daarmee komt er ruimte beschikbaar voor de toegevoegde waarde (uitnutting) van ICT in het onderwijsproces. Zonder dat de kosten hoger worden. Het grote voordeel van cloud computing is dat de instelling zelf geen servers meer nodig heeft en niet meer zelf software hoeft aan te schaffen en te onderhouden. In plaats daarvan zijn er aanbieders die diensten leveren. Omdat het om standaard diensten gaat, met veel gebruikers, kunnen de kosten laag zijn. Bovendien bewegen de kosten meestal mee met het werkelijke gebruik; er zijn geen investeringen vooraf meer nodig. Cloud computing is een interessante ontwikkeling met veel potentieel, maar het is ook een ontwikkeling die een zorgvuldige afweging en besluitvorming vergt en die vragen met zich meebrengt over privacy en juridische aspecten. Besluitvorming: redeneer vanuit het onderwijs Net als voor alle vernieuwingen geldt: pak de besluitvorming over cloud computing goed aan. Redeneer vanuit de meerjarige onderwijsvisie van de school. Die visie bepaalt hoe de informatievoorziening er in de toekomst uit moet zien. Het veranderen van die informatievoorziening binnen de school is een geleidelijk proces; het is immers vrijwel altijd onmogelijk èn onwenselijk om alles in één keer te wijzigen. Verstandiger is een meerjarenplan te maken voor een periode van drie tot vijf jaar en daarin te bepalen wat wanneer zal veranderen en wat daarbij de kansen van cloud computing zijn. Maak een businesscase, waarin u kijkt naar de kosten en baten van cloud computing. Let daarbij ook op verborgen kosten, zoals de salarissen van beheerders en de overgangskosten die ontstaan als u na de contractperiode de gegevens bij een andere leverancier wilt onderbrengen. Daarnaast zijn er verborgen baten; als een school gegevens opslaat in de cloud, hoeven die niet meer uitgewisseld te worden via bijvoorbeeld USB-sticks. Daardoor loopt u minder kans op bijvoorbeeld een virusbesmetting en de kosten die daarmee gepaard gaan.
2
Implementatie: goed moment, roadmap en afspraken Als u een keuze heeft gemaakt voor een of meerdere clouddiensten, is het belangrijk om een goed moment te bepalen voor de overgang ernaartoe. Een logisch moment is als apparatuur vervangen moet worden, of als het contract met de huidige leverancier van ICT-diensten afloopt of moet worden vernieuwd. Maak een (regelmatig bij te stellen) roadmap, die voor de komende jaren aangeeft welke diensten wanneer (ongeveer) en in welke volgorde zullen worden ingevoerd. Onderdeel van de roadmap is het implementatieplan. Daarin staat wat het resultaat is van de implementatie en wat er moet gebeuren op het gebied van techniek en organisatie om dat resultaat te bereiken. Maak bij elke stap in het plan zichtbaar wat erbij komt kijken, hoeveel tijd de stap in beslag gaat nemen, wat de kosten zijn, wat er met de stap bereikt wordt en wanneer dat zichtbaar wordt. In het implementatieplan besteedt u niet alleen aandacht aan de infasering van clouddiensten, maar ook aan de uitfasering van de huidige ICT-diensten. Bij de implementatie van cloud services hoort het maken van afspraken. Meestal sluit de gebruiker na de besluitvorming een contract af met de leverancier, een service level agreement (SLA). Daarin staat welk serviceniveau de leverancier biedt. Het is immers belangrijk dat de dienstverlening goed beschikbaar is, want het is vervelend als een docent bijvoorbeeld ICT nodig heeft in zijn les en de clouddienst niet te bereiken is. Met name bij gratis vormen van cloud computing is het gebruikelijk dat de leverancier geen of weinig garanties biedt. Daar staat tegenover dat leveranciers van clouddiensten grote ondernemingen zijn, die het zich niet kunnen permitteren om slecht te presteren. Denk daarbij aan Microsoft en Google. Belangrijk is om na te gaan welk serviceniveau de leverancier kan geven en of dat niveau voldoet aan uw eisen. Houd bij de implementatie rekening met het ‘absorptievermogen’ van uw organisatie: geef medewerkers en leerlingen de tijd om het vertrouwen in de ingevoerde clouddiensten op te bouwen. Begin bijvoorbeeld met de diensten die duidelijk nut voor hen hebben. Koppel de scholing direct aan de nieuwe (cloud)diensten die medewerkers en leerlingen gaan gebruiken, zodat ze hun kennis kunnen toepassen. Richt een helpdesk in, inventariseer de problemen die zich in de praktijk voordoen en zoek daar oplossingen voor en deel waardevolle ervaringen over het gebruik in de onderwijspraktijk. Bij de implementatie van cloud services gaat het niet alleen om organisatorische, maar ook om technische veranderingen. Als u gebruik maakt van clouddiensten, betekent dat dat u veel bandbreedte en een betrouwbare internetverbinding nodig heeft. Een ander aandachtspunt vormt de gegevensopslag. Bereken hoeveel opslag u nodig heeft en hoeveel gegevensverkeer u verwacht. Dan kunt u uw ICT-voorzieningen daarop aanpassen. Zo kan het nodig zijn om een deel van de gegevens toch niet in de cloud, maar op een server op te slaan. De overgang naar cloud services heeft gevolgen voor de ICT-toepassingen binnen de school en daarmee ook voor de taken van de systeembeheerders. Ze zullen zich minder bezig houden met bijvoorbeeld het installeren van softwarepakketten en meer met het functioneel beheer van clouddiensten. Met de komst van cloud services zal het onderwijs feitelijk ook meer zeggenschap krijgen over ICT. Het gaat immers veel meer om het ‘wat’ en veel minder om het ‘hoe’ van ICT in het onderwijs.
3
Dataportabiliteit Er bestaat niet één clouddienst die alle functionaliteiten voor uw school biedt; er is geen dienst met een elektronische leeromgeving, een leerlingenadministratie, een roosterapplicatie, webmail, een samenwerkingsomgeving én een financiële administratie. Een school zal dus gebruik maken van verschillende producten en diensten (al dan niet vanuit de cloud) die samen de gewenste functionaliteit bieden. De belangrijkste voorwaarde om data te kunnen uitwisselen tussen twee cloudapplicaties, is dat beide applicaties dezelfde 'taal' kunnen spreken. Ze moeten hun gegevens beschikbaar kunnen stellen op een manier waar andere applicaties mee kunnen werken. Deze zogeheten dataportabiliteit is niet alleen van belang voor het uitwisselen van gegevens tussen verschillende applicaties, maar ook voor het terughalen van gegevens. Na afloop van het contract met de cloud provider moeten de opgeslagen gegevens in een of andere vorm toegankelijk blijven voor de instelling. Het is lang niet altijd zo dat u de data die ‘in de cloud’ zijn opgeslagen, gemakkelijk ergens anders kunt plaatsen, bijvoorbeeld toch weer op uw eigen apparatuur of bij een concurrerende aanbieder. Grote spelers als Microsoft en Google maken uitdrukkelijk bekend dat ze aandacht besteden aan dataportabiliteit door deel te nemen aan belangengroepen of door interne activiteiten te organiseren. Naarmate er meer spelers op dezelfde markt zijn, is de hoeveelheid opties om te schakelen meestal ook groter. Voor aanbieders is het namelijk aantrekkelijk om mensen over te kunnen laten stappen vanaf de concurrent, dus dat moet dan wel zo makkelijk mogelijk zijn. Naarmate de markt van clouddiensten volwassener wordt, zal functionaliteit om eventueel te kunnen switchen ook steeds meer een verkoopargument worden. Zover zijn veel aanbieders van toepassing voor het onderwijs nog niet. Vaak zijn er maar enkele aanbieders van zeer specifieke toepassingen. Zij zullen hun beperkte resources eerder inzetten om nieuwe functionaliteit te ontwikkelen en zich daarmee te onderscheiden van de concurrent. Pas als dataportabiliteit een eis wordt vanuit de klant, zullen de aanbieders hieraan gaan werken. Een belangrijke toepassing in het onderwijs is de elektronische leeromgeving (ELO). Hiermee beheren veel onderwijsinstellingen informatie over vakken en de opleiding en kunnen leerlingen en docenten met elkaar communiceren. Omdat een ELO specifiek gericht is op het onderwijs, zijn allerlei onderwijstoepassingen standaard inbegrepen: het maken van roosters, het inleveren van opdrachten, het aanbieden van cursusmateriaal, enzovoort. Omdat de markt voor ELO’s – vergeleken met die van bijvoorbeeld kantoorapplicaties of financiële pakketten – relatief klein is, zijn ook de aanbieders ervan vaak klein en werken ze kleinschalig. Hierdoor zijn er minder afspraken op het gebied van standaarden, maar zijn er over het algemeen meer mogelijkheden tot maatwerkondersteuning door de leveranciers bij het overzetten van gegevens van de ene ICT-dienst naar de andere. Om toch zekerheid over uw gegevens te hebben en financiële verrassingen te voorkomen, is het belangrijk goede en expliciete afspraken te maken met de leverancier over de mogelijkheid uw gegevens ‘terug’ te kunnen halen. Hoe veilig is de cloud? Gegevens die in de cloud worden opgeslagen, zijn niet meer onder volledige controle van de instelling. Wat betekent dat voor de veiligheid van die gegevens? De risico’s van clouddiensten (bijvoorbeeld op het gebied van toegang tot de gegevens, privacy en stabiliteit van de leverancier) zijn vergelijkbaar met andere extern geleverde ICT-diensten.
4
Maar clouddiensten brengen specifieke risico’s met zich mee; zo kan een cloudleverancier gebruikmaken van diensten van derden, waarmee de klant geen afspraken heeft gemaakt op het gebied van beveiliging. Cloud computing kent natuurlijk niet alleen beveiligingsrisico’s, maar ook voordelen. Door de schaalvoordelen zijn beveiligingsmaatregelen door cloud providers goedkoper te implementeren. Ook kunnen cloudleveranciers beveiligingsmiddelen sneller en dynamischer inzetten en beschikken ze vaak over diep inhoudelijke beveiligingskennis die aan de afnemerszijde ontbreekt. Maak afspraken met de leverancier over privacy. Probeer van de leverancier in elk geval de volgende basale punten bevestigd te krijgen: • De leverancier deelt uw gegevens niet met anderen • De leverancier bewaart uw gegevens zolang u wilt • De leverancier verwijdert uw gegevens zodra u dat wilt • De leverancier stelt u in staat uw gegevens terug te nemen en elders onder te brengen Bij beveiliging geldt het adagium: “een keten is zo sterk als de zwakste schakel”. Het is dan ook niet voldoende om alleen te kijken naar de kwaliteit en de maatregelen van de cloud provider. Ook de instelling zelf moet beveiliging goed organiseren en uitvoeren. Uit onderzoek blijkt dat nalatigheid door het eigen personeel (door verlies van laptops, USB-sticks en andere gegevensdragers) de voornaamste reden is dat gegevens op straat belanden. Besteed daarom in de instelling aandacht aan het ‘opvoeden’ en informeren van de gebruikers: medewerkers, leerlingen/studenten en soms ook ouders. Wat wordt van hen verwacht op het gebied van beveiliging? Welke verantwoordelijkheden hebben zij in de omgang van gegevensdragers en het beheren van wachtwoorden? Juridische aspecten Het gebruik van clouddiensten brengt met zich mee dat uw gegevens ‘in de cloud’ staan. Dat geeft aanleiding tot een aantal vragen op juridisch gebied. De situatie is niet eenvoudig: bij cloud computing gaat het vaak om buitenlandse spelers, waardoor zowel regelgeving uit Nederland en Europa als daarbuiten van toepassing is. Er is nog maar weinig jurisprudentie op dit gebied en wetgeving is nog steeds in ontwikkeling. Dat neemt niet weg dat uw gegevens beschermd moeten zijn. Privacy is een fundamenteel recht dat nauw verbonden is met persoonlijke vrijheid. Het omvat de zogeheten informationele privacy: het recht op gegevensbescherming. Van belang is onder andere de Dataprotectierichtlijn. Deze richtlijn bepaalt dat de locatie van de vestiging van de verantwoordelijke doorslaggevend is. Wanneer bijvoorbeeld gegevens zijn opgeslagen in een datacenter op Amerikaans grondgebied, is de USA Patriot Act van toepassing; deze wet heeft als doel om de Amerikaanse overheid meer mogelijkheden te geven om informatie te verzamelen over en op te treden in geval van mogelijk terrorisme. Ieder land van de Europese Unie is verplicht om de Dataprotectierichtlijn om te zetten in nationaal recht. In Nederland is dat de Wet bescherming persoonsgegevens (Wbp). De Wbp bepaalt dat persoonsgegevens worden verwerkt in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze. Ook bepaalt de Wbp dat persoonsgegevens slechts aan landen buiten de Europese Unie mogen worden doorgegeven indien deze landen een ‘passend beschermingsniveau waarborgen’.
5
De Europese Commissie bepaalt formeel of een land een passend beschermingsniveau kent en plaatst deze op een witte lijst. Op deze lijst staan landen als Australië, Canada en de Verenigde Staten. Voor de VS gaat het daarbij om organisaties die voldoen aan de Safe Harbor principes. Dat is een richtlijn ten aanzien van het opslaan, bewaren en gebruiken van data en informatie. Overigens is inmiddels duidelijk geworden dat er veel fraude plaatsvindt met de Safe Harbor-certificaten en dat deze dus onvoldoende waarborgen biedt. Eurocommissaris Neelie Kroes waarschuwde tijdens de Parijse conferentie ‘Les Assises du Numérique (november 2010) al voor de privacyrisico’s bij het gebruik van clouddiensten en pleitte voor strengere regels voor grensoverschrijdend gegevensverkeer. Bij cloud computing is er vaak een complexe verdeling van rollen en verantwoordelijkheden. Kleine wijzigingen in de feitelijke situatie kunnen mogelijk grote gevolgen hebben voor de verdeling van rollen en verantwoordelijkheden. Het is daarom verstandig rollen, doelen en middelen uitdrukkelijk en duidelijk vast te leggen gelegd in een contract. Kortom Cloud computing is een fundamentele verandering, waar een zorgvuldige besluitvorming en implementatie aan vooraf gaat. Ook is het van belang om goede afspraken te maken, onder andere op het gebied van privacy. Maar het is ook een verandering die ervoor zorgt dat scholen minder tijd en geld hoeven te besteden aan techniek. Daarmee komt er ruimte beschikbaar voor de toegevoegde waarde van ICT in het onderwijsproces! Referenties zijn niet weergegeven in het artikel Meer informatie Met het SURFnet/Kennisnet Innovatieprogramma geven SURFnet en Kennisnet een gezamenlijke impuls aan ICT-vernieuwing in het gehele onderwijs. SURFnet en Kennisnet willen bewustwording creëren in het onderwijsveld over de ontwikkelingen, mogelijkheden en toepassingen van cloud computing en bovendien inzichtelijk maken wat de meerwaarde van cloud computing voor het onderwijsveld is. Kijk op www.surfnetkennisnetproject.nl/innovatie/cloudcomputing voor meer informatie over cloud computing. Zo kunt u hier de publicaties ‘Cloud computing in het onderwijs’, ‘Dataportabiliteit voor Cloud Computing’ en ‘De Wolk in het onderwijs’ gericht op de juridische aspecten van cloud computing downloaden. Ook vindt u hier de publicatie ‘Checklist Cloud Security’ van SURFnet.
6
SURFnet en Kennisnet geven in de publicatie ‘Cloud computing in het onderwijs’ de volgende definitie: “Cloud computing is het leveren/gebruiken van schaalbare en “elastische” diensten die via internet worden aangeboden. Het betreft standaard diensten, die door de gebruiker zelf in te richten zijn en waarvoor wordt betaald naar gebruik.” In de publicatie worden drie soorten clouddiensten genoemd: - Infrastructuurdiensten (Infrastructure-as-a-Service of IaaS): dit betreft hardwaregerelateerde online diensten, bijvoorbeeld rekenkracht (‘processing’) voor het uitvoeren van wetenschappelijke berekeningen, opslagruimte voor de back-up, of netwerkcapaciteit voor het hosten van de schoolwebsite. Voorbeelden zijn KPN, Amazon en Rackspace. - Platformdiensten (Platform-as-a-Service of PaaS): hier neemt de gebruiker een dienst af om eigen applicaties te ontwikkelen of samen te stellen uit bouwstenen, bijvoorbeeld een database of webserver. Voorbeelden zijn Googles Application Engine, Windows Azure, Force.com en (afhankelijk van het gebruik) Microsoft Sharepoint Online. - Softwarediensten (Software-as-a-Service of SaaS): bij deze vorm van dienstverlening gaat het om kant-en-klare applicaties of software die direct door de eindgebruiker gebruikt kunnen worden. Denk bijvoorbeeld aan Gmail, Hotmail en it’s learning. Deze applicaties zijn toegankelijk via een webbrowser. De klant en gebruiker hoeven niet te zorgen voor de onderliggende infrastructuur, zoals het netwerk, servers, voldoende opslag en de installatie van de software.
7
