Verslag Diner Pensant van 19 september 2012
1/7
ICT ALS WATER UIT DE KRAAN
\
ICT zou moeten werken als een nutsvoorziening: als stroom uit een stopcontact of als water uit de kraan. In theorie kan cloud computing die belofte inlossen. Maar hoe realistisch is dat? Met welke praktische haken en ogen krijgen organisaties te maken die ICT als dienst afnemen? Die vragen stonden centraal tijdens een Diner Pensant, georganiseerd door M&I/Partners. Zo’n vijftien informatie- en IT-managers van MBO-instellingen namen er aan deel. Altijd beschikbaar, traploos regelbaar en probleemloos in het gebruik: cloud-oplossingen maken dat mogelijk. Applicaties kun je als dienst afnemen (software as a service, kortweg Saas). Zelfs hele serverparken kun je in de cloud brengen (infrastructure as a service, ofwel Iaas). Voor onderwijsinstellingen lijkt cloud computing dan ook zeer aantrekkelijk: het beheer van ICT wordt eenvoudiger, de kosten kunnen naar beneden (door de vraag te bundelen en zo te profiteren van schaalgrootte). En studenten en medewerkers kunnen beschikken over meer faciliteiten. Iedereen blij en de instelling maximaal ontzorgd. Tot zover de theorie, maar hoe is de praktijk? Hoe zit het met de beveiliging van gegevens? Hoe garandeer je de continuïteit als je niet weet waar je data zich bevinden? En wat te doen als je plotseling behoefte hebt aan meer dienstverlening of juist aan minder dan in je contract is geregeld? Kan de kraan inderdaad probleemloos open en dicht? Kortom: in hoeverre zijn we écht in de wolken met cloud computing? Zo’n vijftien vertegenwoordigers van mbo-instellingen discussieerden over dit thema, samen met een aantal adviseurs van M&I/Partners. Dat gebeurde op 19 september tijdens een Diner Pensant in het Klooster in Amersfoort. Op het menu stonden vier sprekers, met korte presentaties en stellingen om de discussies aan de verschillende dinertafels aan te zwengelen (zie kader ‘Discussies aan tafel’).
2/7
Discussie aan tafel In drie ronden discussieerden de deelnemers aan de verschillende dinertafels over stellingen. Adviseurs van M&I/Partners traden op als moderator en vatten de conclusies samen. Het mbo kan uiterlijk in 2020 de overgang naar de cloud maken, zodat lokale datavoorzieningen tot het verleden behoren. Een volmondig ‘ja’ was bij de deelnemers niet te horen. Jaap de Mare: ‘Wat het lastig kan maken, zijn de specifieke applicaties die je in veel beroepenvelden hebt. Als instelling heb je er niet zo veel grip op of je die in de cloud kunt brengen. Een zorgenpuntje is voorlopig ook de privacy: wat vindt het College Bescherming Persoonsgegevens ervan als je alle data in de cloud hebt? Je kunt dat oplossen door resources te poolen; je maakt dan gebruik van elkaars overcapaciteit aan datacenters, zoals in het hoger onderwijs ook al gebeurt. Zo maak je je eigen private cloud.’ Richard Sitters vult aan: ‘De infrastructuur in de cloud brengen zal het probleem niet zijn. Bij de software ligt dat anders, en dan vooral bij de honderden kleinere pakketten.’ De afspraak van SURFmarket met Google betekent dat ook mboinstellingen (via SLBdiensten) gerust met Google Apps aan de slag kunnen. ‘Dat geldt wel voor de faciliteiten die de studenten ondersteunen, maar niet als het gaat om de bedrijfsvoering’, aldus Jaap. Richard: ‘Ook wij zijn er niet volledig van overtuigd. We hebben lang stilgestaan bij de juridische vraag wie uiteindelijk de licenties van de programma’s afneemt: de student of de instelling? Als het de laatste is, heb je wederom de nodige issues op privacygebied op te lossen. We kwamen erop uit dat je eerst een gedegen risicoanalyse moet uitvoeren, waarbij je per applicatie kijkt welke gegevens echt privé zijn en welke niet. Aan de hand daarvan kun je kijken wat je al dan niet via SURF-contracten in de cloud kunt brengen. Het woordje ‘gerust’ willen we dan ook graag vervangen door ‘bewust’. Jeroen Westerik: ‘Op dit moment zien we goede mogelijkheden, maar bij ons aan tafel ging de discussie al snel een heel andere kant op. Wij vroegen ons af of Google en Microsoft in de toekomst wel de partijen zijn om in de behoeften van de scholen te voorzien. Wij denken dat dit zich moeilijk laat voorspellen.’ Het gebruik van cloud-voorzieningen betekent ontzorging van mijn instelling. Jeroen: ‘Nee, want je krijgt er gewoon andere zorgen voor terug. Dat was de eerste reactie bij ons aan tafel. Dat neemt niet weg dat we de voordelen wel zien. We hebben vooral stilgestaan bij de vraag hoeveel regie je kunt houden, als instelling of gezamenlijk, en waar je plicht eindigt om te voorkomen dat leerlingen in de problemen komen.’ Richard Sitters: ‘Ook wij waren het er niet zo maar mee eens. Wij denken dat je behoefte krijgt aan een ander type functionaris als je de cloud in gaat. Je hoeft je ICT weliswaar niet meer te beheren, maar moet wel zorgen voor een goede aansturing van de partij die de cloud-diensten levert. Dat vraagt onder meer om goed contractmanagement. Dat heb je heus niet één, twee, drie geregeld.’ Jaap vult aan: ‘De presentatie van Jan Bakker gaf al aan dat van volledige ontzorging niet echt sprake is. Aan de andere kant was de stemming hier ook: mijn bordje wordt mooi schoongeveegd. Dus in de praktijk: ja!’
3/7
REVOLUTIE EN EVOLUTIE De ontwikkeling van cloud computing gaat langzaam én snel tegelijk, hield Bart Ververs zijn gehoor voor. De adviseur van M&I/Partners spreekt daarom van een revolutie en een evolutie. De cloudtoepassingen voor de consument hebben in pakweg vijf jaar een enorme vlucht genomen. Het gebruik van apps op smartphones en tablets, maar ook Twitter en Facebook zijn daar de meest aansprekende voorbeelden van. Niet iedereen zal zich realiseren dat er verspreid over de wereld containers vol met servers staan die deze vormen van cloud computing mogelijk maken. Doordat de grens tussen consument en werknemer steeds meer vervaagt, vormt privégebruik een sterke katalysator voor cloud computing op het werk. Ververs: ‘Want we vinden het heel normaal om met onze tablet naar kantoor te gaan en daar gebruik te maken van de applicaties waarmee we ons thuis omringen. In een bedrijfsomgeving spelen echter andere (en meer kritische) factoren een rol dan bij een consument’, legt hij uit. ‘Bedrijven die “de cloud in willen” weten zich voor vragen gesteld als: hoe regelen we de beveiliging? Hoe gaan we om met privacyvraagstukken? Hoe brengen we legacyapplicaties in de cloud? En wat doen we met het personeel dat we in dienst hebben?’ Het vinden van goede antwoorden op deze vragen kost tijd. En dat maakt dat de ontwikkelingen in het bedrijfsleven eerder evolutionair dan - zoals in de consumentenmarkt - revolutionair zijn.
ANTICIPEREN OP GROEI De groei van cloud computing in de zakelijke markt mag dan nog bescheiden zijn, in de wereld die schuilgaat achter de cloud spelen zich stormachtige ontwikkelingen af, bleek uit de presentatie van Ververs. Die liet zien dat leveranciers anticiperen op een sterke groei van cloud computing op het werk. Hun ogen zijn vooral gericht op de hosting van al dan niet bedrijf kritische applicaties, via publieke of hybride (publiek/private) clouds. De belangrijkste speler is Amazon Web Services. Dit bedrijf is in 2006 ontstaan vanuit de overcapaciteit in de rekencentra van deze populaire webwinkel. Amazon Web Services is met een geschatte omzet van een miljard dollar (2011) marktleider in de publieke cloud. Ter illustratie: de API’s (application programming interface) van Amazon worden in de markt gezien als de standaard. De belangrijkste concurrent van Amazon is volgens marktanalisten - VMWare, dat eind jaren negentig groot is geworden met servervirtualisatie, en dus al een sterke positie heeft in de zakelijke omgeving. De concurrentiestrijd die momenteel plaatsvindt, speelt zich af tussen grote spelers als IBM, HP en Dell. Zij bieden cloud-managementplatforms aan op basis van open source. Een cloudmanagementplatform vormt de laag die nodig is om afzonderlijke servers als cloud te laten functioneren. Deze platforms automatiseren als het ware de automatisering en vormen daarmee
4/7
een extra laag bovenop servervirtualisatie. De belangrijkste op open source gebaseerde cloudmanagementplatforms zijn OpenStack, CloudStack en Eucalyptus. OpenStack, dat de sterkste marktpositie heeft, bestaat pas sinds juli 2010. ‘Laat de techniek de techniek en praat in business-termen. Dat is dé manier om bij bestuurders aan tafel te komen.’
PRAAT IN BUSINESS-TERMEN Met de presentatie van Richard Sitters, eveneens adviseur bij M&I/Partners, kwam de aandacht weer vóór de cloud te liggen, in plaats van erachter. Sitters constateerde nuchter dat organisaties die cloud-diensten afnemen zich niet al te zeer hoeven te bekommeren over de vraag hoe cloudleveranciers in technisch opzicht hun zaakjes hebben geregeld. Wie de cloud in wil, kan zich beter richten op zijn eigen huiswerk. En dat is er genoeg, bleek uit de do’s and don’ts die Sitters uit zijn eigen praktijk naar voren bracht (zie ook kader ‘Zeven tips voor wie de cloud in wil’). De eerste klinkt als een open deur, maar Sitters ziet het regelmatig mis gaan. ‘Laat je IT-wensen een afgeleide zijn van de organisatiedoelstellingen. Kijk dus eerst naar de ambities die je als organisatie hebt. Stel daarvanuit een informatiebeleidsplan op en bepaal dan of “de cloud ingaan” wel een logische oplossing is. Laat de techniek de techniek en praat in business-termen. Dat is dé manier om bij bestuurders aan tafel te komen.’ Met die aanpak maakte Sitters het mee dat een organisatie voor kinderopvang besloot om € 50.000 per jaar meer aan ICT te besteden, omdat daardoor op andere plekken in de organisatie een miljoen euro werd bespaard. Sitters: ‘Om de slag te maken naar het onderwijs: als maatschappelijke organisatie wil je je als school wellicht onderscheiden als een groene organisatie. Met eigen servers lukt dat bijna nooit. Met een cloud-oplossing kan dat wel. Een ander voordeel voor scholen heeft te maken met continuïteit. Een ICT-voorziening voor studenten en medewerkers die ’s avonds uit de lucht is wegens onderhoud, dat kan echt niet meer. Studenten verwachten dat ze 24 uur per dag kunnen inloggen, dat moet je dus ondersteunen.’
Zeven tips voor wie de cloud in wil 1 Vraag je af waarom de organisatie de cloud in wil. Een doel op zich mag het nooit zijn. Een cloud-oplossing moet bijdragen aan het verwezenlijken van de organisatieambities. 2 Praat in business-termen. Wie bestuurders wil overtuigen, vergeet de techniek en maakt van zijn cloud-plan een business-case. Wat zijn de investeringen? Wat levert het op? Hoe wordt de organisatie er beter van? 3 Kijk of je er klaar voor bent. Weet wat je wilt en bovenal weet wat je hebt: welke applicaties draaien er? Zijn alle licenties op orde? Is er een veiligheidsplan? 4 Houd de regie in eigen hand. Denk niet dat een cloud-oplossing volledige ontzorging betekent. Uw cloud-dienstverlener moet strak aangestuurd worden, met de sla’s als leidraad. 5 Stel de data op voorhand veilig. Wat gebeurt er als uw cloud-dienstverlener failliet gaat? Stel die vraag op voorhand en regel de cloud-escrow. Bewaar ergens anders een kopie van de data en zorg periodiek voor een restore. 6 Check de transparantie. Eis heldere antwoorden op heldere vragen. Bijvoorbeeld: waar bevinden zich mijn data? Krijgt u geen goed antwoord? Ga dan een deurtje verder. 7 Samenwerken? Wees eerlijk! Als u samen met andere organisaties cloud-diensten inkoopt, dan is de mate waarin cloud-diensten worden gebruikt, de verdeelsleutel. En niet bijvoorbeeld het aantal werknemers of de omzet van de afzonderlijke partners.
5/7
‘Het is een misverstand om te denken dat je ontzorgd bent, want dat ben je helemaal niet.’
REGIE IN EIGEN HAND Het tweede advies dat Sitters gaf: check of je er wel klaar voor bent. ‘Weet welke applicaties je hebt draaien. Kijk of je alle licenties hebt als die nodig zijn voor je cloud-toepassing. Zorg ervoor dat er een goed informatiebeleidsplan en veiligheidsplan zijn.’ Net zo belangrijk is het om de regie in eigen hand te houden. ‘Want slecht opdrachtgeverschap leidt tot slecht opdrachtnemerschap. Maak je geen illusies: het is een misverstand om te denken dat je ontzorgd bent, want dat ben je helemaal niet. Het technisch beheer is weliswaar uitbesteed. Maar het strategisch beheer moet je in eigen hand houden. Bovendien moet je je leverancier aansturen, aan de hand van service level agreements (sla’s) die je vooraf hebt opgesteld.’ Een ander punt dat Sitters aansneed, was: wat te doen bij een faillissement? ‘Natuurlijk, je data krijg je wel terug, maar dat kan best een maand duren. En die tijd heb je niet. Stel je data dus op voorhand veilig.’ Dat kan bijvoorbeeld, legde Sitters uit, door een kopie van de data ergens anders op te laten slaan. Eveneens om de continuïteit te waarborgen is het zaak om transparantie te eisen. ‘Stel heldere vragen en neem alleen genoegen met heldere antwoorden. Vraag bijvoorbeeld waar je data staan. Natuurlijk, Google zal het antwoord schuldig blijven, maar bedrijfsapplicaties draaien meestal niet in een publieke cloud. Laat de aanbieder dus maar aanwijzen waar de data zich bevinden.’
ANDERE DIENSTEN, ANDERE WENSEN Een organisatie die alles in de cloud brengt, loopt verschillende risico’s. Waar Sitters al op hintte: in het ergste geval gaat de aanbieder failliet waardoor je als afnemer een tijd niet over de data en de software kunt beschikken. Maar er zijn meer risico’s. Die vloeien vooral voort uit het feit dat cloud computing nog erg jong is en de ontwikkelingen snel gaan. Zolang dienstverleningsconcepten niet zijn uitgekristalliseerd, kunnen aanbieders nog alle kanten op bewegen, waarschuwt Rianne Bos. Zij is werkzaam bij EMTIO, een zusterbedrijf van M&I/Partners, en adviseert bedrijven op juridisch terrein die overwegen om met cloud-aanbieders in zee te gaan. Bos: ‘De leverancier kan bijvoorbeeld besluiten heel andere diensten te gaan aanbieden. Aan de andere kant kun je als afnemer behoefte krijgen aan andere diensten. Want stel dat je je studenten andere ICTondersteuning wilt bieden, dan zul je ook aan je cloud-leverancier andere eisen stellen. Het is dan wel zaak dat de dienstverleningsovereenkomst daarop is berekend. In de praktijk zien we dat hier vaak vooraf niet aan is gedacht.’ ‘Win advies in als je de kennis niet hebt. Dat betaalt zich bijna altijd terug.’
CLOUD-ESCROW Hoe kun je je risico’s beperken? Wapen je met kennis is het devies. Bos: ‘De aanbieder van clouddiensten heeft doorgaans veel meer kennis van zaken dan jij als afnemer. Maar laat je daardoor niet afschrikken. Win advies in als je de kennis niet hebt. Dat betaalt zich bijna altijd terug.’ Het risico dat je cloud-aanbieder wegvalt door een faillissement, kan beperkt worden door vooraf bij de selectie financiële eisen te stellen. ‘Je weet dan in elk geval dat je op dat moment met een stabiele partij te maken hebt. Daarnaast is het zaak om afspraken te maken over cloud-escrow. ‘Bij cloud computing moet je bij een faillissement niet alleen over de broncodes van de programma’s kunnen beschikken, maar ook over de data. Die zijn immers ook jouw eigendom.’ Om continuïteitsproblemen voor te zijn, is het bij cloud computing een overweging waard om vooraf afspraken te maken met een andere leverancier die bij een faillissement in de startblokken staat. Bij het wegvallen van de cloud-aanbieder kan deze de dienstverlening nagenoeg naadloos
6/7
overnemen. Een andere mogelijkheid om de risico’s te beperken, is het maken van auditafspraken. Bos: ‘Je kunt vastleggen dat een derde partij periodiek de financiële situatie van je leverancier toetst.’
SLIMMIGHEIDJE Bos wees erop dat risico’s ook kunnen ontstaan als partijen tijdens de duur van de overeenkomst uit elkaar groeien. Helemaal voorkomen kun je dat niet, de risico’s beperken wel. Bos : ‘Ontwikkel een visie op de ICT-dienstverlening waaraan je de komende jaren verwacht behoefte te hebben. Zoek vervolgens een aanbieder met een vergelijkbare visie. Als de visies overeenkomen, is de kans groter dat je aanbieder in de toekomst kan aansluiten bij jouw gewijzigde dienstverleningsvraag.’ Daarnaast is het, aldus Bos, zaak om zoveel mogelijk flexibiliteit in te bouwen in de overeenkomst. ‘Flexibiliteit kun je bijvoorbeeld zoeken in de duur van de overeenkomst. Maar je kunt ook vastleggen dat je later nadere overeenkomsten maakt. Bijvoorbeeld als je voor een bepaalde periode behoefte hebt aan extra of juist minder dienstverlening.’ Heb je dergelijke ruimte niet voor jezelf gecreëerd en krijg je toch behoefte aan een andere vorm van dienstverlening dan eerder is afgesproken? Dan heeft Bos nog een slimmigheidje: ‘Kijk goed naar de performance van je aanbieder. Als hij zich niet houdt aan de sla’s die je bent overeengekomen, kun je daarin een basis vinden om de dienstverlening te wijzigen.
CLOUD FIRST Hoe het gezamenlijk afnemen van cloud-diensten in de praktijk vorm kan krijgen, bleek uit het relaas van Jan Bakker, managing director bij SURFmarket. In SURF werken universiteiten, hogescholen en onderzoeksinstellingen samen op ICT-gebied. Daarbinnen is SURF-market de ICTmarktplaats; dit onderdeel van SURF sluit namens de aangesloten instellingen contracten af met ICT-aanbieders van software, hardware en diensten. Deze contracten zijn via SLBdiensten ook voor het mbo beschikbaar. Bakker ging in op de cloud-strategie van SURF. Sinds november 2011 is het uitgangspunt bij de instellingen die bij SURF zijn aangesloten: Cloud First. Dat betekent dat de instellingen bij vervanging van applicaties eerst kijken of er een cloud-oplossing is, bij voorkeur public, anders private. SURFmarket sluit namens de instellingen mantelcontracten af met cloudaanbieders. Bakker: ‘Een belangrijk uitgangspunt is dat we meerdere oplossingen willen aanbieden; we hanteren dus een multi-vendorbeleid. Verder kiezen we zo veel mogelijk voor open standaarden die wereldwijd zijn geaccepteerd. De programma’s zijn immers bedoeld om samen te werken, niet alleen binnen organisaties maar juist tussen organisaties.’ Inmiddels heeft het mbo een eigen cloud-strategie opgesteld, deels gebaseerd op de SURF-strategie. Voortvloeiend uit de cloud-strategie heeft SURF in juni 2012 een overeenkomst afgesloten met Google voor de afname van Google Apps for Education. Hieronder valt een aantal programma’s die vooral zijn bedoeld om bestanden te delen en samen te werken, zoals Gmail, Google Docs, Google Calendar en Google Groups. Het contract, opgesteld naar Europees recht, geldt voor alle instellingen in het onderwijs. Op dit moment maken al zo’n dertien instellingen hiervan gebruik. Zij zijn goed voor 240.000 gebruikers die kosteloos van de programma’s gebruik kunnen maken. Passend in de multi-vendorstrategie zal SURF ook met andere aanbieders van cloud-diensten afspraken maken. Zo biedt SURF nu al een alternatief voor Google Apps in de vorm van Microsoft Office 365 for Education. De samenwerking binnen SURF biedt de mogelijkheid om problemen gezamenlijk aan te pakken, zoals bijvoorbeeld security, dataportabiliteit en privacybescherming (zie kader ‘Privacybescherming in de cloud’). ‘Als je dat doet, ben je tot mooie dingen in staat’, aldus Bakker.
7/7
Privacybescherming in de cloud Het waarborgen van de privacy is één van de belangrijkste hoofdbrekens voor wie overweegt gebruik te maken van voorzieningen in de cloud: hoe weet je als afnemer van cloud-diensten dat privacygevoelige data niet in handen komen van derden? In het bijzonder speelt dit vraagstuk wanneer organisaties cloud-diensten afnemen van Amerikaanse bedrijven of bedrijven met een vestiging in de VS. Op grond van onder andere de Patriot Act kan de Amerikaanse overheid immers data opvragen bij bedrijven die een vestiging in de VS hebben. Om op een verantwoorde manier data die persoonsgegevens bevatten uit de EU en de EER door te geven voor verwerking naar de Verenigde Staten, zijn de Safe Harbor Principles ontwikkeld. Het gaat om een vorm van zelfcertificering: wie deze principes onderschrijft, legt zichzelf een aantal regels op om de privacy te beschermen. Op verzoek van SURFmarket heeft het College Bescherming Persoonsgegevens (CBP) zich onder meer gebogen over de vraag of zelfcertificering volgens de Safe Harbor Principles door een Amerikaanse aanbieder van cloud-diensten voldoende waarborgen biedt voor de bescherming van privacy bij het doorgeven van data met persoonsgegevens aan de VS. Het CBP is daar duidelijk over: naleving van de regels garandeert volgens het CPB niet dat wordt voldaan aan de Europese eisen op het gebied van privacybescherming (richtlijn 95/46 EG). Wie cloud-diensten afneemt, blijft er om te beginnen zelf voor verantwoordelijk om na te gaan of de Safe Harbor Princples worden nageleefd. En ook als dat het geval is, zal de afnemer eventueel aanvullende afspraken moeten maken om er zeker van te zijn dat wordt voldaan aan nationale en Europese regelgeving. De zienswijze van het CBP bevestigt dat de route die het Nederlandse hoger onderwijs heeft gekozen de juiste is: door gezamenlijk op te trekken in SURF-verband, kunnen met cloud-leveranciers de benodigde afspraken worden gemaakt, die een veilig gebruik van cloud-diensten borgen.
VOOR MEER INFORMATIE KUNT U CONTACT OPNEMEN MET: Karin Zwiggelaar, principal adviseur Meer weten over kwaliteit? Neem dan contact op met Karin:
[email protected] 033 – 4 220 220 Klik hier voor: meer informatie over M&I/partners.
