Tekst Sebas Eikholt
Foto Wim van Beek

Geschatte leestijd:
6 minuten

In de rubriek ‘In de wolken’ wordt in 2024 in elke editie van de Connect aandacht geschonken aan het onderwerp 'cloud’. Cloud staat hoog op de agenda van SSC-ICT en is voor 2024 een van de speerpunten. Het verhaal van de cloud wordt elke editie vanuit een nieuw perspectief belicht. Met het hoofd in de wolken, dromend van alle mogelijkheden, maar tegelijkertijd met de voeten stevig op de grond.

In de eerste editie van ‘In de wolken’ werd uitgelegd wat een cloud is, wat de mogelijkheden zijn en wat de cloud betekent voor de afnemers. In deze tweede editie vertelt Marco Knorren (strategisch adviseur CTO) over de clouddienstverlening van SSC-ICT. Hij gaat dieper in op de rol van de rijksbrede kaders als leidraad voor van deze dienstverlening.

Op 5 januari 2023 is het Implementatiekader Risicoafweging Cloudgebruik aangeboden aan de Tweede Kamer. Onder strikte voorwaarden kan het Rijk gebruikmaken van public clouddiensten. Dit zijn cloudoplossingen met een gedeelde, online infrastructuur. Applicaties en data zijn afgeschermd, maar bevinden zich wel op een locatie van een commerciële cloudaanbieder zoals onder andere Amazon, Google of Microsoft. Het implementatiekader is verplicht voor de Rijksoverheid en biedt een verdieping en uitwerking van het vernieuwde rijksbrede cloudbeleid. De focus ligt in het implementatiekader met name op de informatiebeveiliging en de bescherming van persoonsgegevens. Rijksorganisaties kunnen aan de hand van het implementatiekader zorgvuldig afwegen of de public cloud het beste aansluit bij de behoeften.

Implementatiekader Risicoafweging Cloudgebruik

Bij de uitvoering van het rijksbrede cloudbeleid is het toepassen van het implementatiekader verplicht. De inhoud is een verdieping en uitwerking van het cloudbeleid. De focus ligt op informatiebeveiliging en de Algemene Verordening Gegevensbescherming (AVG). Naast het cloudbeleid kan ook andere wet- en regelgeving van toepassing zijn. Activiteiten die aan bod komen zijn het uitvoeren van een risicoafweging, het in kaart brengen van privacy risico’s van gegevensverwerking, het opstellen van een exit-strategie, de verwerking van persoonsgegevens en het monitoren en rapporteren van het cloudgebruik. Partijen die een rol spelen bij het uitvoeren van deze activiteiten zijn onder andere de proceseigenaar, de eigenaar van de data, de bestuursraad, CIO Rijk, de AIVD, de functionaris gegevensbescherming en het service level management (SLM).

De stap naar de cloud

Marco Knorren is als strategisch adviseur betrokken bij het beleid van SSC-ICT rondom de digitale werkomgeving en de cloud. Volgens hem kan de public cloud van grote toegevoegde waarde zijn, maar geldt dit lang niet altijd. ‘Vrijwel alle applicaties en data van de zeven departementen aan wie wij ICT-diensten leveren staan op dit moment beveiligd in het eigen SSC-ICT datacenter (Overheidsdatacenter te Rijswijk, ook wel ODC, red.). De ODC'S zijn ingericht conform de Baseline Informatiebeveiliging Overheid (BIO). Dit is een Nederlandse standaard voor informatiebeveiliging bij overheidsorganisaties. We merken dat de ontwikkelingen snel gaan. We staan pas aan het begin van het gebruik van clouddiensten bij de Rijksoverheid. En dat gebruik is allereerst afhankelijk van de vraag van de afnemer of een public cloud voordelen biedt. Heb je wendbaarheid nodig? Heb je behoefte aan innovatieve toepassingen? Heb je een website die alleen op bepaalde momenten heel erg bevraagd wordt? Dan kan de public cloud uitermate geschikt zijn. Je kunt bijvoorbeeld heel snel opschalen of afschalen, betalen per gebruik, en het gebruik ’s nachts beperken.’

Afwegingskader

SSC-ICT wil volgens Marco graag inspelen op de behoefte van onze afnemers om mee te gaan met deze nieuwe technologieën, maar wel op een hele zorgvuldige manier en conform geldende regelgeving en beleidskaders. ‘Daar hebben we als uitvoeringsorganisatie van de Rijksoverheid een belangrijke taak in,’ stelt Marco. ‘Het is voor de overheid een heel ander proces dan bijvoorbeeld voor een mkb-onderneming, die vanwege minder regulering makkelijker de stap naar de cloud kan maken.’ Bij de Rijksoverheid spelen veel belangen mee, zoals onder andere (data)soevereiniteit, afhankelijkheid van commerciële partijen (Vendor-Lock-in), dataclassificatie et cetera. Voor elke applicatie moet een afwegingsproces doorlopen worden door én met onze afnemers en leveranciers. Daarbij geldt tevens dat voor sommige applicaties de kosten niet opwegen tegen de baten en daardoor beter vanuit het ODC aangeboden kunnen worden. Public cloud is dus niet altijd de gewenste oplossing. Een documentmanagementsysteem zoals Digidoc is een voorbeeld van een applicatie die op locatie (in het ODC, ook wel ‘on-site’ genoemd, red.) wordt gehouden. Dat geldt ook voor veel andere applicaties bij onze klanten. In het ODC bevindt zich ook data die niet in de public cloud mag, conform het rijkscloudbeleid. Desalniettemin merken we zelf ook dat we steeds meer gedwongen worden om naar de public cloud te gaan, omdat onze leveranciers hun producten en dienstverlening simpelweg alleen nog maar via de public cloud aanbieden.’

Marco Knorren

SSC-ICT Cloud Center of Excellence

Twee jaar geleden besloot SSC-ICT om een Cloud Center of Excellence (CCoE) op te richten. Marco: ‘SSC-ICT heeft destijds het CCoE opgericht met een duidelijke ambitie, voortkomend uit onze meerjarige strategie: SSC-ICT wil vanaf 2024 de klanten zoveel mogelijk ontzorgen en tevens specialist en adviseur zijn voor het leveren van clouddiensten. Het CCoE heeft de afgelopen twee jaar een virtueel datacenter met landingszones in Microsoft Azure gebouwd. Wij bieden daarmee als het ware een winkelcentrum (virtueel datacenter) voor onze afnemers. Stroom, water, beveiliging en ingangen regelen wij. Afnemers huren één of meerdere winkels en kunnen die zelf inrichten. Dat noemen we een landingszone. Een van de eerste applicaties waaraan gewerkt is, is een chat-archiveringsapplicatie van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Die hebben we als proof of concept (PoC) gezamenlijk met de Rijksorganisatie voor Informatiehuishouding (RvIHH, voorheen Doc-Direct) uitgevoerd. Hier is gebruik gemaakt van dummy data (geen productiedata, red.) om de applicatie te testen. Inmiddels is deze PoC afgerond.’

Alternatief voor public cloud

Omdat sommige applicaties vanwege specifieke redenen niet in de public cloud mogen draaien, wordt op dit moment – in een samenwerking met ODC-Noord – een private cloudplatform ingericht. ‘Hierdoor kunnen onze afnemers ook (cloud native)applicaties draaien in ons eigen ODC in Rijswijk. Dit zijn onder andere applicaties die zodanig zijn ontwikkeld, dat ze snel op- en afgeschaald kunnen worden,’ legt Marco uit.

Belangrijke vraagstukken bij public cloud

Volgens Marco is het cruciaal dat er wordt voldaan aan de voorwaarden uit het implementatiekader, alvorens een public clouddienst wordt overwogen. ‘Rijksbreed is voor het invoeren van clouddiensten het eerdergenoemde implementatiekader vastgesteld, waar SSC-ICT zich aan moet houden. De stap naar de cloud wordt niet zomaar gemaakt; er gaat een zorgvuldige afweging aan vooraf. En het is geen gemakkelijke opgave om aan de voorwaarden te voldoen. Bij public clouddiensten is bijvoorbeeld een Data Protection Impact Assessment (DPIA) en een Data Transfer Impact Assessment (DTIA) vereist. Hiermee breng je vooraf de privacy risico’s van gegevensverwerking in kaart. Voor elke applicatie die we in de cloud zetten, worden essentiële vraagstukken behandeld door en in samenwerking met onze afnemers. Waar staan de servers van de cloudleverancier? Wat is de exit-strategie? Daarnaast dient er een relevante risicoafweging gemaakt op basis van een gedegen risicoanalyse en kijkend naar mitigerende maatregelen.’

'Voor elke applicatie die we in de cloud zetten, worden essentiële vraagstukken behandeld.'

En daar blijft het niet bij, zo laat Marco weten. ‘Het wereldwijde dreigingsbeeld is aan het veranderen en heeft invloed op het cloudbeleid. We zien een toename van het aantal dreigingen die nationale veiligheidsbelangen schaden. Het gaat om cyberdreigingen aangestuurd door andere landen of door organisaties en individuen die zijn verbonden aan deze landen. De beveiligingstechnologieën uit het verleden zijn simpelweg niet meer afdoende om het hoofd te bieden aan het complexe, snel veranderende dreigingslandschap van vandaag. Dit betekent dat SSC-ICT uitgebreide mitigerende maatregelen treft om de risico’s te minimaliseren en onze cloudoplossingen zo goed mogelijk te beschermen tegen onder andere malware (computersoftware met kwaadaardige bedoelingen, red.), ransomware (door gijzelsoftware versleutelde gegevens die in ruil voor losgeld wordt ontsleuteld, red.) en andere geavanceerde aanvallen. We nemen dit vanuit onze rol zeer serieus en daarom neemt het gehele proces veel tijd in beslag.’

Wie is verantwoordelijk?

De spreekwoordelijke bal ligt in dit gedegen proces zeker niet alleen bij SSC-ICT, maar ook bij de afnemer, zo stelt Marco. ‘Het is niet onze doelstelling om alle dienstverlening naar de public cloud te brengen. We kijken puur of het toegevoegde waarde heeft en of het is toegestaan vanuit de wettelijke kaders; primair voor afnemers, maar ook voor onszelf. Wij zijn een uitvoerende organisatie die aan afnemers de keuze biedt om clouddiensten af te nemen, zolang er wordt voldaan aan strenge voorwaarden. Wij gaan over de techniek en de daaraan gerelateerde dienstverlening, maar de afnemer is verantwoordelijk voor de data (deze blijft immers van de afnemers zelf) en de eisen die aan onze dienstverlening worden gesteld. En daarbij moet ook worden gekeken naar de verschillende soorten data, en het vertrouwelijksheidsniveau van data. Dat betekent bijvoorbeeld dat afnemers een DPIA en risicoanalyse moeten uitvoeren. Deze gezamenlijke verantwoordelijkheid betekent een nieuwe manier van werken, waarbij SSC-ICT meer de adviseursrol oppakt en in co-creatie met afnemers met de juiste oplossingen komt.’