‘Europese overheden lopen warm voor AWS, nu hun inkoopprocessen nog’

Tijdens het AWS-event in Den Haag in mei spraken we met Christian Zahorski over Amazon Web Services in de publieke sector. Hij is het hoofd van de salesdivisie in Europa voor overheden, onderwijs en non-profit organisaties. Volgens hem staan Europese overheden steeds meer open staan voor AWS, maar dat niet altijd de inkoopprocessen er op voorzien zijn.

Zahorski is binnen Amazon Web Services verantwoordelijk voor de publieke sector. We spraken hem dan ook over de ontwikkeling op dit gebied. Bijvoorbeeld welke overheden gebruikmaken van AWS, hij liet weten dat de Belgische overheid een grote klant is, zij gebruikt AWS om de wegen te monitoren. In Nederland is de overheid nog geen grote afnemer, wel veel Nederlandse Universiteiten zijn klant bij AWS.

Natuurlijk wilde we graag weten wat het verschil is tussen de Belgische en de Nederlandse overheid is. Stelt de Nederlandse overheid bijvoorbeeld zwaardere eisen dan de Belgische collega’s? Dat bleek niet het geval, er zijn in veel verschillende Europese landen wel verschillende eisen ontwikkeld waaraan een cloudomgeving moet voldoen. Dat is echter geen probleem, daaraan voldoet AWS in de meeste gevallen wel.

Het probleem bij de Nederlandse overheid ligt vooral aan de inkoopkant, iets wat ze in meer landen zien. Er zijn allemaal procedures ontwikkeld waaraan een inkooptraject moet voldoen. Die procedures zijn echter, op het vlak van IT, gebaseerd op het inkopen van hardware en softwarelicenties. Niet op het inkopen van clouddiensten die afgerekend worden op basis van gebruik.

Het inkopen van VM’s is meestal niet het probleem, want daar kan een vast bedrag per maand aan worden gehangen. Het inkopen van serverless, API-calls en allerlei verschillende PaaS-diensten is echter een stuk lastiger. Het bedrag staat op voorhand namelijk niet vast. In Nederland zijn recent wat zaken veranderd, waardoor het nu makkelijker is geworden. Zahorski kan niet zeggen of de overheid nu snel een grote klant zal worden, maar hij hoopt natuurlijk van wel.

Overheidseisen voor cloudomgevingen

Zahorski was zelf al begonnen over de eisen die de verschillende overheden stellen. We vroegen ons af hoe groot die eisen zijn, of die heel verschillend zijn en of AWS daar altijd aan zal voldoen. Bijvoorbeeld of overheden altijd de data in hun eigen land willen houden. Dat laatste is in elk geval niet het geval. Inmiddels hanteren Europese landen de eis dat als eraan de GDPR wordt voldaan, wat AWS doet, dan mag de data binnen elk datacenter binnen de EU worden verwerkt en opgeslagen.

AWS heeft alleen in de Verenigde Staten een aparte overheidsregio geopend om de Amerikaanse overheid te voorzien van clouddiensten, maar dat is een redelijk unieke situatie. In Europa is er geen vraag naar een speciaal overheidsregio of locatie. Dat is ook niet de manier waarop AWS werkt, het openen van nieuwe regio’s gebeurt puur en alleen op basis van een generieke behoefte.

Wat betreft de eisen aan de cloud vanuit overheden, die gaan vaak over veiligheid. In Duitsland hebben ze hiervoor de C5-eisen. Die heeft AWS bestudeerd en vervolgens bekeken hoe ze daaraan konden voldoen. De eisen en ideeën die daaruit voortkwamen waren niet onredelijk en heeft AWS toen ontwikkeld, maar niet puur voor Duitsland. Die veiligheidsfeatures zijn vervolgens binnen alle regio’s doorgevoerd. Spanje heeft bijvoorbeeld weer zijn eigen eisen aan cloudomgevingen. Doordat AWS voldeed aan de Duitse eisen konden ze vrij gemakkelijk voldoen aan die van Spanje. Inmiddels zijn de meeste overheden ruimschoots tevreden.

Het feit dat er in de Verenigde Staten een aparte overheidsregio is en in Europa niet vonden wij wel vreemd. Zahorski zei hierover dat hier in Europa geen behoefte aan is en dat er in de Verenigde Staten genoeg ontwikkelaars zijn bij de overheid die er liever gisteren dan vandaag vanaf zouden zijn. De overheidsregio innoveert namelijk een stuk minder snel. Als er nieuwe features worden geïntroduceerd binnen AWS, worden die eerst naar de generieke regio’s uitgerold. Zodra de overheid ze uitgebreid heeft getest en gecertificeerd worden ze pas uitgerold naar de overheidsregio. Hierdoor zien de ontwikkelaars bij de Amerikaanse overheid wel nieuwe features verschijnen, maar kunnen ze deze de eerste maanden niet gebruiken. Dat kan best frustrerend zijn, hierdoor draaien sommige projecten van de Amerikaanse overheid alsnog in de publieke regio’s.

Kiezen overheden exclusief voor AWS of vaak voor multicloud?

Wat we ons ook afvroegen is de strategie van overheden rondom clouds. Kiezen ze vaak voor een multicloud-strategie, exclusief voor AWS of een andere cloudomgeving? Zahorski zegt dat een multicloud eis neerleggen bij een project een achterhaald concept is.

Natuurlijk kiest vrijwel elke overheid voor meerdere public clouds, maar voor één specifiek project multicloud kiezen is gewoon niet handig. Als je kijkt naar het complete cloudaanbod, dan is misschien 10 tot 20 procent van de aangeboden diensten gelijk en multicloud toepasbaar. Als aan een project een multicloud eis wordt gehangen, wordt de innovatie extreem afgeremd en is het aantal bruikbare features beperkt. Dat is gewoon niet handig. Multicloud binnen de hele overheid is geen enkel probleem, maar per project kan gewoon het beste de meest geschikt cloudomgeving worden gekozen. Wat volgens Zahorski natuurlijk altijd AWS is.

Draagt AWS meer verantwoordelijkheden ten opzichte van overheden dan andere klanten?

Zahorski laat weten dat het hele cloudmodel van AWS is gebaseerd op shared responsibility, oftewel een gedeelde verantwoordelijkheid. AWS biedt zijn diensten aan en zorgt voor de initiële operationele beveiliging. Dat is iets wat ze zeer serieus nemen, maar dat betekent niet dat klanten en overheden hier vervolgens geen rol in spelen.

AWS biedt de mogelijkheid om met templates te werken voor alle gebruikers die toegang krijgen tot het AWS-account. Zo kan precies worden ingesteld wie waar bij kan, of wie vooral juist ergens niet bij kan. Het opleggen van restricties binnen accounts is enorm belangrijk. Hoe minder mensen bij cruciale infrastructuur en data kunnen komen, hoe beter. Dit proces is overigens identiek aan de zakelijke klanten van AWS, ten opzichte van overheden beloofd AWS niet meer. Ook enterprise-organisaties werken met templates en leggen restricties op aan hun gebruikers.

Trends in de publieke sector

Bij alle innovatieve ontwikkelingen ontstaan vaak trends, zo ook in de publieke sector. We vroegen Zahorski naar welke trends hij ziet. Hij stelt doordat steeds meer overheden de voordelen van de cloud gaan inzien, hun inkoopprocessen aanpassen en steeds meer gaan doen met de cloud, de bruger waarschijnlijk de grote winnaar gaat zijn.

Veel overheden kiezen ervoor om steeds meer algemene data vrij te geven via API’s, hierdoor kunnen startups en andere bedrijven applicaties ontwikkelen die effectief gebruikmaken van deze data. Hierdoor zie je bijvoorbeeld dat het openbaar vervoer in veel landen enorm is verbeterd. Door effectief gebruik te maken van data, kan je precies zien hoe laat je bus komt en of die vertraging heeft.

Dat is echter maar het begin. Steeds meer overheden ontwikkelen ook digitale toegangssystemen, zoals in Nederland DigID en in België eID. Daarmee is het mogelijk online in te loggen bij de overheid of verzekeraars. Zahorski stelt dat dit in de toekomst waarschijnlijk nog veel breder gaat gebeuren, bijvoorbeeld bij de bioscoop. Op die manier kan een overheid bijvoorbeeld korting bieden op een educatiefilm specifiek voor een bepaalde doelgroep.

De mogelijkheden van de cloud en open data binnen de overheid accelereert de innovatie rondom overheidsdiensten. Veel zaken waarvoor je voorheen langs de gemeente moest, zullen op termijn worden overgenomen door clouddiensten.