Whitepaper Cloud computing Perspectief voor gemeenten Versie 1.0 oktober 2013
© 2013 Copyright KPN Lokale Overheid Alle rechten voorbehouden. Zonder voorafgaande schriftelijke toestemming van KPN Lokale overheid mag niets uit dit document worden gereproduceerd, verspreid of toegankelijk gemaakt door middel van druk, (foto)kopie, database of anderszins, hetgeen ook van toepassing is op gehele of gedeeltelijke bewerking.
Inhoudsopgave 1. Inleiding 2. Cloud computing voor gemeenten: waarom? 2.1 2.2 2.3 2.4
Wat is het? Voordelen voor gemeenten Risico’s De overstap
3. De GemeenteCloud 3.1 3.2 3.3 3.4
Wat is de GemeenteCloud? Wat levert het op per doelgroep? Meer voordelen Andere oplossingen
4. En nu?
© 2013 Copyright KPN Lokale Overheid Pag 2 / 14
Hoofdstuk 1. Inleiding
Gemeenten staan voor grote uitdagingen wanneer het gaat om ICT. Door decentralisaties, vergrijzing, iNUP en andere ontwikkelingen worden zij – wellicht meer dan andere organisaties – uitgedaagd stappen te zetten. Alle ICT in eigen beheer houden is vaak geen optie meer, net zo min als het volledig uitbesteden aan één externe partij. Steeds meer gemeenten zijn daarom geïnteresseerd in de mogelijkheden van werken in de cloud. Maar cloud computing is een breed begrip en kent veel invalshoeken. Op internet zijn positieve voorbeelden te vinden, toch aarzelen veel gemeenten met de overstap. Want wat zijn de risico’s? Hoe kom je in die cloud? En hoe houd je als gemeente controle op het gebruik van de cloud door medewerkers? De redenen en motieven om als gemeente in de cloud te stappen, lopen uiteen. Het voldoen aan wettelijke verplichtingen, kostenbesparing, behoefte aan flexibiliteit en modern werkgeverschap zijn voorbeelden. Wat de aanleiding ook is, de behoefte aan veiligheid en grip op zaken is net zo belangrijk. Om hieraan concreet invulling te geven is een frisse kijk nodig op cloud computing. Met deze whitepaper willen we zo objectief mogelijk informatie geven over cloud computing, de voor- en nadelen en de mogelijke risico’s ervan. Met andere woorden: als ik kies voor cloud computing, zijn er dan risico’s voor de bedrijfsvoering en heeft dit bijvoorbeeld gevolgen voor de informatiebeveiliging? Deze whitepaper kan lokale overheden helpen een antwoord te formuleren op deze vragen. Dat doen we door in hoofdstuk 3 onze visie op cloud computing voor gemeenten met u te delen: De GemeenteCloud. Daar beschrijven we ook welke stappen we al gezet hebben om samen op weg naar de cloud te gaan. In het laatste hoofdstuk geven we tenslotte een bescheiden voorzet hoe dit door een gemeente te vertalen is in beleid.
© 2013 Copyright KPN Lokale Overheid Pag 3 / 14
Hoofdstuk 2. Cloud computing voor gemeenten: waarom?
2.1 Wat is het? Moeten gemeenten hun werkprocessen wel onderbrengen in de cloud? Om op die vraag een antwoord te geven, is het belangrijk te weten wat cloud computing precies is. Een eenduidige definitie van cloud computing bestaat niet, want de ‘standaard’ cloud bestaat niet. In algemene zin zijn velen het wel eens over het volgende: cloud computing is het via een breedband netwerk zoals internet, op aanvraag beschikbaar stellen van diensten, software of infrastructuur.1 Daarnaast heeft een cloud volgens het Nationaal Cyber Security Centrum (Ministerie van Veiligheid en Justitie) de volgende eigenschappen: Direct en op verzoek beschikbaar De meeste clouddiensten zijn direct online te kopen. Ze zijn 24 uur per dag, 7 dagen per week beschikbaar. Internettechnologie Clouddiensten zijn gebaseerd op standaard internettechnologieën. Dit heeft als voordeel dat ze overal en altijd te gebruiken zijn, als er maar een internetverbinding is. Gedeelde ICT-recources ICT-resources (ook de mensen) van een cloud leverancier zijn gebundeld. Daardoor beschikt niet iedere organisatie over zijn eigen resources, maar worden deze met andere organisaties gedeeld. Betalen voor gebruik Gebruikers betalen alleen voor het gebruik van ICT-resources en diensten, niet voor de aanschaf of het beschikbaar zijn ervan. Schaalbaar Gebruikers hebben nooit te weinig of te veel computer- of servercapaciteit tot hun beschikking. Ze betalen dus ook nooit teveel. Efficiënt met capaciteit Het datacenter in de cloud is vanwege de omvang en het delen van ICT-resources in staat om de wisselende capaciteitsvraag van verschillende organisaties gemakkelijk op te vangen. Cloudmodellen Bovenstaande eigenschappen en de tamelijk vage definitie(s) helpen niet om grip te krijgen op de cloud. Daarom wordt de cloud veelal ingedeeld op hoofdlijnen, in drie primaire cloudmodellen. Dit zijn de private cloud, de publieke cloud en de community 1
Bron: Cloud computing en shared service centra, VNG & KING, 2011
© 2013 Copyright KPN Lokale Overheid Pag 4 / 14
cloud. De verschillen zitten vooral in de omvang en de toegang tot de geleverde clouddiensten. Combinaties van de drie modellen zijn uiteraard ook mogelijk en worden hybride cloud genoemd. Wel is steeds één aspect hetzelfde: een deel van de dienst wordt in de cloud gecentraliseerd. Het voordeel daarvan is dat je altijd, overal en vanaf verschillende apparaten bij die clouddienst kunt.
Figuur 1: Cloudmodellen. Bron: Appcore.com
2.2 Voordelen voor gemeenten In het bedrijfsleven zijn er drie hoofdoelen om te kiezen voor cloud computing. Deze bieden voor bedrijven vaak essentiële voordelen in de concurrentiestrijd. Deze drie zijn ‘business performance resourcing’ (wat ruwweg neerkomt op schaalbare infrastructuur), ‘business agility’ (flexibiliteit) en ‘cost reduction’ (kostenbesparing).2 Voor overheden, gemeenten in het bijzonder, liggen de doelen en drijfveren vaak iets anders. Concurrentiestrijd is vooralsnog geen reden voor gemeenten. De complexiteit van gemeentelijke processen en ICT-ondersteuning gekoppeld aan het idee ‘meer met minder’ maken dat werken in de cloud gemeenten andere grote voordelen kan bieden. In algemene zin zijn deze samen te vatten in drie thema’s: standaardisatie, kostenreductie en goed werkgeverschap. Hieronder werken we deze thema’s uit. Standaardisatie Gemeenten hebben te maken met een woud aan applicaties en leveranciers. Die applicaties zijn in complexe ketens aaneengeschakeld, vaak met behulp van op uiteenlopende standaarden gebaseerde koppelingen. Daar komen, bijvoorbeeld door decentralisatie van taken vanuit het rijk, nog ketenpartners en andere overheden bij. Clouddiensten zorgen voor standaardisatie van die processen, koppelingen en applicaties. De complexiteit neemt hierdoor af, de productiviteit neemt toe. Kostenreductie Met cloud computing kunnen gemeenten computerkracht en applicaties gebruiken zonder deze zelf te hoeven bezitten en onderhouden. Dit leidt tot kostenbesparingen: er 2
Bron: Cloud Computing for Business, The Open Group Guide, 2011
© 2013 Copyright KPN Lokale Overheid Pag 5 / 14
wordt uitsluitend betaald voor wat wordt gebruikt. Voor kleine gemeenten loopt dit al snel op tot een kostendaling van wel tien procent. Voor grote gemeenten is dit nog meer.3 Goed werkgeverschap Cloud computing levert flexibiliteit, gebruikersgemak en werkplezier bij de medewerker op. Zij kunnen overal, wanneer zij willen en op elk apparaat werken. Zo kunnen zij werk en privé nog beter op elkaar afstemmen. Een volledig gepersonaliseerde werkomgeving – en daarmee inspelen op IT consumerization – zorgt ervoor dat gemeenten interessant blijven als werkgever. En ook niet onbelangrijk: cloud computing is in veel gevallen een groenere keuze voor het milieu dan energievretend ‘ijzer’ in een eigen gemeentelijk datacenter neer te zetten. 2.3 Risico’s Ondanks de vele voordelen van cloud computing zijn toch veel gemeenten huiverig voor het werken in de cloud. Risico’s op het gebied van privacy en gegevensbeveiliging zijn veelgenoemde redenen om – vooralsnog - de cloud te mijden. De open toepassingen (veelal in de publieke cloud) voldoen vaak nog niet aan de wensen van de overheid. Ook wet- en regelgeving en de opslag en archivering van gegevens zijn heikele punten. Dan zwijgen we nog over het eigendom van data en vraagstukken die opkomen wanneer een cloudleverancier zijn dienstverlening niet kan continueren. Een ander risico is het verlies aan flexibiliteit en eigen zeggenschap over toepassingen. Echte cloud toepassingen zijn ontwikkeld voor meerdere organisaties en gebruikers en daarom vaak minder makkelijk aanpasbaar aan de specifieke eisen van één gemeentelijke organisatie. Hierbij merken we op dat het in de cloud standaardiseren van toepassingen en processen juist in het applicatielandschap van gemeenten een groot voordeel biedt. Dit risico beheerst accepteren lijkt daarmee een noodzaak om aan de doelstellingen van applicatierationalisatie te voldoen. Een laatste risico dat we willen adresseren is de afhankelijkheid en beveiliging van een (internet)verbinding bij het werken in de cloud. Zelfs in Nederland is niet altijd en overal een (breedbandige) internetverbinding beschikbaar. De beveiliging van die verbindingen en - daarmee van het gebruik en dataverkeer over die verbindingen - is niet altijd even goed geregeld. 2.4 De overstap Desgevraagd geven veel gemeenten (en in algemene zin: organisaties) aan dat zij serieus de overstap naar de cloud overwegen. Weliswaar niet altijd met een ‘big bang’ met de hele organisatie en ICT ineens en evenmin op de kortst mogelijke termijn. Maar er bestaat grote eensgezindheid over het feit dat de cloud de toekomst heeft. Hoe ontwikkelt die toekomst zich dan en in welke mate is de markt volwassen genoeg e om gemeentelijke overheden – die er om bekend staan bij voorkeur gebruik te maken van bewezen technologie – de overstap te laten maken? Groei en wasdom Wanneer we kijken naar beelden van experts, dan zien we in de zogenaamde Hype Cycle van Gartner dat vele ‘bouwblokken’ van de cloud binnen nu en drie jaar marktvolwassenheid bereiken en dat grote delen al langere tijd volwassen zijn.
3
Bron: TCO benchmark 2012 van M&I Partners
© 2013 Copyright KPN Lokale Overheid Pag 6 / 14
Figuur 2 Hype Cycle voor Cloud Computing. Bron: Gartner, augustus 2012.
Het professionaliseren van de automatisering staat bij de meeste gemeenten al enige tijd op de agenda. De wil om te veranderen is er en voorzichtig zetten steeds meer gemeenten stappen richting de cloud. De toename van het gebruik van Software as a Service (SaaS) met ongeveer twintig procent per jaar4 illustreert dit. Hierbij worden applicaties via internet op huurbasis beschikbaar gesteld. Ook maken medewerkers – ook nu al - steeds meer gebruik van (gratis) clouddiensten als Dropbox, Gmail, Skydrive, Twitter en Facebook. Cloud computing is daarmee een technologie die bepalend zal worden voor de bedrijfsvoering van organisaties. Steeds meer data en diensten worden via internet bewaard. De overstap naar de cloud is gezien het gebruik dat er al is eigenlijk niet zo wereldschokkend, maar toch moeten gemeenten zorgvuldig te werk gaan bij het zetten van stappen. Een goede inventarisatie is noodzakelijk. De ervaring leert dat het devies ‘besloten waar nodig en open waar het kan’ een goed vertrekpunt biedt voor gemeenten. Daarnaast is een stapsgewijze aanpak wenselijk, zodat de organisatie ‘leergeld’ kan betalen zonder dat de gemeentelijke dienstverlening aan burgers en bedrijven in het gedrang komt.
4
Bron: Forbes.com, the Gartner prediction
© 2013 Copyright KPN Lokale Overheid Pag 7 / 14
Hoofdstuk 3. De GemeenteCloud
3.1 Wat is de GemeenteCloud? Om gemeenten de kans te geven zich te richten op het voortdurend verbeteren van de kwaliteit van de dienstverlening aan burgers en bedrijven en handhaven van gevoerd beleid, heeft KPN Lokale Overheid de GemeenteCloud ontwikkeld: een beveiligde online omgeving waarmee gemeenten in hun eigen tempo ontwikkelingen kunnen omarmen. Daarbij werken bestaande en nieuwe technologieën in harmonie samen. Het fundament van de GemeenteCloud is al in 1995 door de gemeenten zelf gelegd met de oprichting van (het) Gemnet als besloten en beveiligde netwerk-infrastructuur. Deze GemeenteCloud beoogt een open ‘marktplaats’ te bieden aan gemeenten, leveranciers en andere (semi)overheden. Door het inzetten van beveiligingen, certificaten en slimme routering creëert KPN Lokale Overheid een gebalanceerde cloud: besloten waar nodig en open waar het kan. Of anders gezegd: een private cloud als de aard van de gegevens daarom vraagt en een publieke cloud als de toepassingen en doelen dit toestaan. De GemeenteCloud is zodoende een gebruik(er)svriendelijke omgeving waarin Nederlandse gemeenteambtenaren eenvoudig toegang krijgen tot applicaties die zij nodig hebben om goed te kunnen werken. Dit kan zijn in de cloud, maar ook vanuit het eigen datacenter, dat van hun shared service center of dat van een buurgemeente et cetera. Waar, wanneer en hoe zij dat ook willen. En met ieder apparaat. Eenmaal ingelogd – via single sign on5 - beschikken zij over een breed aanbod van applicaties waarmee zij direct aan de slag kunnen. De GemeenteCloud is opgebouwd uit drie basisblokken, die ieder op hun beurt bestaan uit meerdere bestaande of nader te ontwikkelen onderdelen. Deze drie basisblokken zijn: Identiteit Hierin wordt vastgesteld wie de gebruiker en diens organisatie is en welke rechten en toegang op grond daarvan kunnen worden toegekend. Ook worden zaken als single sign on geregeld. Infrastructuur Dit is vaak onzichtbaar maar onmisbaar: alle apparatuur, verbindingen, beveiligingen et cetera die nodig zijn om in de cloud te kunnen werken. Applicaties
5 Eenmalig (in één sessie of authenticatie) met één gebruikersnaam/wachtwoord combinatie direct toegang verkrijgen tot meerdere applicaties
© 2013 Copyright KPN Lokale Overheid Pag 8 / 14
Feitelijk alle functionaliteiten en toepassingen die gebruikers nodig hebben om hun werk te kunnen doen. Dit varieert enorm, van gemeente-applicaties tot kantoorautomatisering, van telefonie tot printen. De GemeenteCloud voorziet in de de samenhang tussen deze drie blokken en de gemeenschappelijke werking daarvan. 3.2 Wat levert het op per doelgroep? Voor de eindgebruiker Met de GemeenteCloud hebben de eindgebruikers vanaf elke locatie veilig toegang tot generieke kantoorapplicaties en specifieke gemeente-applicaties. Dit biedt keuzevrijheid, snelheid en gemak. Zij kunnen eenvoudig het aanbod van beschikbare (generieke) applicaties bekijken en vergelijken en de toepassing van hun keuze aanvragen. Na goedkeuring door de budgethouder kan de medewerker in no time aan de slag met de nieuwe applicatie. Ook de specifieke gemeente-applicaties kunnen via de GemeenteCloud worden benaderd. Dit kan steeds vaker ook mobiel, zodat de integratie optimaal is en de eindgebruiker één ‘look and feel’ ervaart.
Figuur 3 De GemeenteCloud schematisch weergegeven vanuit gebruikersperspectief. Voor Partner netwerk zie Bijlage: het KPN Lokale Overheid partner netwerk.
© 2013 Copyright KPN Lokale Overheid Pag 9 / 14
Voor de budgethouder De GemeenteCloud is een kant-en-klare omgeving die toegang verschaft tot verschillende applicaties en daarnaast informatie kan verstrekken over het gebruik ervan. De budgethouder kan daarbij per medewerker snel en weloverwogen applicaties toewijzen of terugtrekken. De applicaties draaien in de cloud. Het gebruik is daardoor eenvoudig op en af te schalen, afhankelijk van de behoefte op dat moment. Dus geen gedoe met licenties, de applicaties zijn altijd up-to-date en geen hoge kosten meer voor onderhoud en beheer. Dit resulteert in meer grip op het budget en vóóraf bekende kosten. Voor het ICT-management Met de GemeenteCloud beschikken gemeenten over een flexibele en duurzame oplossing in de cloud, beschikbaar via het besloten Gemnet netwerk. De medewerkers krijgen meer vrijheid, de gemeente behoudt de controle. De GemeenteCloud werkt met (open) standaarden die de aansluiting op zoveel mogelijk bestaande toepassingen garanderen. De GemeenteCloud is afgeschermd en draait in een Nederlands KPN datacenter met Nederlandse beheerders via het Nederlandse Gemnet netwerk. Gemeenten voldoen hiermee altijd aan de Nederlandse wetgeving. Voor partners en leveranciers De GemeenteCloud is niet exclusief van en voor KPN Lokale Overheid en haar klanten. Sterker nog: het is een open ‘marktplaats’ voor gemeenten, leveranciers en partners van gemeenten. Niet alleen op verzoek van gemeenten kunnen applicaties worden opgenomen in de GemeenteCloud. Ook op eigen initiatief kunnen leveranciers van clouden softwarediensten worden ontsloten. De GemeenteCloud biedt gemeenten een volledige omgeving aan. Het opnemen en ontsluiten van gemeentelijke leveranciers is daarom een eerste vereiste voor succes. In de visie van KPN Lokale Overheid is het de gemeente die bepaalt met welke applicaties zij wil werken of van welke leveranciers zij gebruik wil maken. KPN levert met de GemeenteCloud het cement tussen de bouwstenen. KPN Lokale Overheid beschikt al over een groot partnernetwerk: leveranciers van gemeenten die samenwerken met KPN Lokale Overheid in het beschikbaar stellen van hun diensten, of die via het Gemnet netwerk hun diensten aan gemeenten aanbieden. Dit partnernetwerk vindt u in bijlage 1. 3.3 Meer voordelen De GemeenteCloud staat synoniem voor overal en op elk moment eenvoudig en veilig werken. Andere voordelen: 24/7 en overal veilig toegang tot applicaties, op alle devices Medewerkers krijgen met één keer inloggen toegang tot álle in de GemeenteCloud beschikbare applicaties, zowel bestaand als nieuw Gegarandeerd veilig en snel via het Gemnet netwerk KPN datacenter, Nederlandse wet- en regelgeving Duidelijk overzicht, gemeenten zien waar ze voor betalen Management dashboard Servicedesk voor ondersteuning Risicobeheersing KPN Lokale Overheid heeft nagedacht over een aantal van de eerder genoemde risico’s en de beheersing daarvan. Veel van de juridische risico’s kunnen beheerst worden doordat KPN de GemeenteCloud binnen Nederland realiseert. Het beschikbaar stellen en borgen van een kwalitatief hoogwaardige verbinding is de corebusiness van KPN. KPN Lokale Overheid kan de noodzaak voor een verbinding met de cloud niet oplossen, maar wel veel van de bijbehorende risico’s beheersen. Omdat de gemeente zelf bepaalt waar en in hoeverre zij in de GemeenteCloud stapt, © 2013 Copyright KPN Lokale Overheid Pag 10 / 14
bepaalt zij zelf ook welke mate van afhankelijkheid zich voordoet, of hoe de gemeente haar ‘eigen wijze’ in de cloud realiseert. 3.4 Andere oplossingen Speciaal voor die markten en segmenten die een gegarandeerd volledig Nederlandse cloud willen, heeft KPN CloudNL ontwikkeld. CloudNL wordt vanuit Nederland beheerd en draait in een door KPN gehoste datacenter infrastructuur. Het CloudNL platform biedt een Software as a Service en een Infrastructure as a Service dienst. Afnemers hebben de zekerheid dat de omgeving geheel voldoet aan de voor hen geldende wet- en regelgeving en compliancy regels, geborgd door externe audits. Gebruikers betalen alleen voor hun gebruik en kunnen eenvoudig capaciteit bij- of afschalen. CloudNL is daarmee een honderd procent Nederlands onderdeel van de GemeenteCloud. KPN biedt op het gebied van cloud al het volgende: 5.000 werknemers gebruiken onze virtuele desktop- en clouddiensten We faciliteren 150.000 online softwaregebruikers Zeer veilige, in Nederland gelegen datacenters, onder Nederlands beheer Een cloud omgeving die voldoet aan alle wet- en regelgeving Een duurzame oplossing dankzij energiezuinige toepassingen en honderd procent in Nederland opgewekte groene stroom.
© 2013 Copyright KPN Lokale Overheid Pag 11 / 14
Hoofdstuk 4. En nu?
Om een start te maken met cloud beginnen gemeenten vaak met het formuleren van beleid. Daarbij is het raadzaam om dat niet te eng op te vatten: niet enkel een informatiebeleidsplan maar ook andere beleidsplannen zoals personeelsbeleid, dienstverleningsconcepten en inkoopbeleid vragen om paragrafen over cloud en hoe deze past binnen de gemeente. Uiteraard denkt KPN graag met u mee in dit proces. De volgende stappen moeten daarbij worden doorlopen: Breng de IST-situatie in kaart. Maak een overzicht van de huidige omgeving en (kleine) clouddiensten die al in gebruik zijn. Beschrijf de gewenste SOLL-situatie voor de gemeente zonder rekening te houden met medewerkers en installed base. Neem de belangrijkste randvoorwaarden en eisen op. Stel een beleidsvoorstel op: welk doel dient de cloud en welke middelen worden daarvoor ingezet op welke termijn? Maak een platformplanning en toets deze aan de markt. Werk aan de grote lijn, zonder de kleine tussentijdse successen te vergeten. Ter oriëntatie is het raadzaam te starten met één of meerdere workshops om vanuit ICT, dienstverlening aan burger en bedrijf, facilitaire zaken (o.a. beveiliging) en bestuur na te denken over de impact van cloud computing. De beoogde uitkomst hiervan is een (korte) lijst met processen, diensten of onderdelen die interessant zijn om nader te onderzoeken: welke delen brengt uw gemeente als eerste naar de cloud? In het vervolg, bij uw analyse en het opstellen van een plan(ning) kunt u zich nader laten adviseren. Een hulpmiddel daarbij kan zijn het vastleggen in een losjes op Dunn gebaseerde beleidsanalyse: Onderdelen: (voorbeelden)
Het Nieuwe Samenwerken
Betalen naar gebruik
Informatiebeveiliging
Proces A
Werkdeel B
…
Wat is het (beleids)doel? Succesfactoren? Valkuilen? Welke stappen zetten? Welke middelen en mensen? …
Wanneer deze opzet is doorlopen, treft u in de ingevulde tabel tevens de eerste aanzet voor uw GemeenteCloud plan. U kunt hiermee invulling geven aan een beleidsplan. © 2013 Copyright KPN Lokale Overheid Pag 12 / 14
KPN Lokale Overheid ondersteunt u graag in uw route richting de cloud. Wilt u vrijblijvend met ons van gedachten wisselen over dit onderwerp? Of bent u geïnteresseerd in hoe KPN een eerste workshop zou invullen? Neem dan contact op via
[email protected], 070 -343 69 00, optie 2 of neem contact op met uw accountmanager. --Over de auteur: Edwin Bax werkt als productmanager voor KPN Lokale Overheid en houdt zich onder meer bezig met het ontwikkelen van de GemeenteCloud.
© 2013 Copyright KPN Lokale Overheid Pag 13 / 14
Bijlage 1: het KPN Lokale Overheid partner netwerk
© 2013 Copyright KPN Lokale Overheid Pag 14 / 14
