In juni 2023 heeft de Nederlandse overheid een overeenkomst gesloten met Amazon Web Services (AWS) waardoor Nederlandse overheidsinstanties de (cloud)diensten van deze leverancier kunnen gebruiken in overeenstemming met de AVG-privacywetgeving, indien zij de aanbevolen maatregelen opvolgen. Eerder maakte SLM rijk, de centrale onderhandelaar in het rijksbrede strategisch leveranciersmanagement (SLM), al afspraken met Microsoft voor de overheid.
Organisaties binnen de rijksoverheid die zich aansluiten bij de ‘framework agreements’ weten zeker dat de diensten die zij afnemen van Microsoft, en nu ook AWS, voldoen aan tal van voorwaarden, onder meer qua privacybescherming en gegevensbeveiliging. Daardoor kunnen ministeries en andere overheids-departementen overstappen op cloudcomputing.
Met de overeenkomst met Microsoft werd de public cloud een volwaardig alternatief voor werken met een private cloud binnen de overheid. Echter, doordat er alleen met Microsoft een overeenkomst werd gesloten, ontstond het risico van vendor lock-in. Dit betekent dat een klant afhankelijk is van één leverancier voor producten en diensten. Dat is voor veel overheidsinstellingen niet wenselijk. Nu hebben zij de keuze, aangezien zij ook op een veilige manier kunnen werken met AWS.
De overeenkomst met AWS kwam tot stand nadat de overheid verschillende Data Protection Impact Assessments (DPIA’s) liet uitvoeren op de producten en diensten van deze cloudprovider. De resultaten daarvan hebben geleid tot een aantal technische en organisatorische maatregelen, en tot aanpassingen van de standaard contractbepalingen. De framework agreements bieden zodoende meer transparantie over het verzamelen en verwerken van persoonsgegevens door de cloudproviders. AWS en Microsoft hebben bovendien ook commerciële frameworks afgesloten met SLM Rijk. Organisaties die zich hierbij aansluiten kunnen profiteren van kortingen die verschillen per cloudprovider, om het gebruik van de producten en diensten aantrekkelijk te maken.
Voor overheidsdepartementen heeft het lang geduurd voordat zij mochten werken met verschillende cloudproviders. Nu dit kan, met inachtneming van de eisen en voorwaarden die Rijksbreed gesteld zijn in de cloudbrief uit 2022, moeten zij in vergelijking met het bedrijfsleven nog een flinke inhaalstap maken in de digitale transformatie. Het gebruik van producten en diensten van cloudproviders werd lang ontmoedigd door overheidsbeleid. Nu dit wel mogelijk is ontbreekt het vaak aan de benodigde kennis en ervaring om de ICT-omgeving technisch in te richten conform de richtlijnen. Uit gesprekken die SoftwareOne voert met relaties binnen de overheid blijkt dan ook dat er nog veel vragen zijn. Deze gaan vooral over het opzetten en beheren van multicloudomgevingen, die zij als complex en ingewikkeld zien. De vraag naar dit soort vernieuwende infrastructuren neemt binnen overheden weliswaar toe, maar er is ook nog veel onduidelijkheid over hoe en waar men de transitie naar de cloud moet beginnen.
SoftwareOne is volgens Bert Stam, Federation Lead Benelux, een grote speler op het gebied van cloudcomputing in het overheidssegment.
“Bijna de helft van de omzet wordt bij de overheid gerealiseerd. De cloudproviders zien daarom in SoftwareOne de uitgelezen partner om clouddiensten bij overheden te stimuleren en te ondersteunen.”
Doordat het gebruik van clouddiensten lang werd ontmoedigd, gebruiken uitermate veel overheidsinstellingen nog altijd een on premise datacenter. De laatste jaren werden echter ook al kleine stappen gezet richting de cloud, bijvoorbeeld door de opslag en verwerking van gegevens te migreren naar een gehoste private cloudomgeving in overheidsdatacenters.
Met de recente framework agreements kunnen overheidsinstellingen kiezen voor een combinatie van meer cloudproviders. Dat brengt voordelen met zich mee voor kosten, keuzevrijheid en het verkrijgen van de beste functionaliteit voor specifieke toepassingen. “De framework agreement is echter geen inkoopcontract.” vertelt Stam. “Om gebruik te maken van de gestandaardiseerde voorwaarden kan een klant die toepassen op een bestaand contract of raamwerk, of in een nieuwe aanbestedingsprocedure.”
Het beheren van multicloudomgevingen kan uitdagend zijn vanwege de technische inrichting van de verschillende producten en diensten. SoftwareOne kan dit ondersteunen met supportdiensten, managed services en professional services, vertelt Stam.
“Veel overheidsinstellingen werken al samen met SoftwareOne met als voordeel dat ze een single point of contact hebben voor alle IT-vraagstukken, inclusief cloudcomputing. Het voordeel voor de klant is dat zij daardoor meerdere cloudproviders naast elkaar kan gebruiken en daarvoor bij ons de ondersteuning kan afnemen.“
Stam zet het dienstenaanbod uiteen: Support betekent dat je ons mag bellen met vragen over de technologie en dat je tooling krijgt die meer inzicht geeft in die omgeving. De managed services gaan een stap verder. Daarbij nemen wij ook de monitoring en alerts op ons. We zien een trend of incident en informeren de klant daar proactief over. Daarnaast zijn er specifieke managed services, bijvoorbeeld voor het beheren of beveiligen van de omgeving. Dan bieden we nog professional services, zoals het ontwikkelen van een landingszone of het migreren van omgevingen. We zijn van veel markten thuis en we beschikken over de kennis en mankracht, mede dankzij een aantal overnames die we hebben gedaan. Daardoor kunnen we grote integrale projecten uitvoeren.
Gegevensbeveiliging
De overeenkomst tussen AWS en de Nederlandse overheid zorgt ervoor dat de overheid de AWS-cloud kan benutten en het hoogste niveau van beveiliging, naleving en wettelijke vereisten kunnen worden bereikt. Ook al voldoen de cloudproviders nu aan de eisen van de AVG, de naleving van gegevensbeveiliging blijft eigen verantwoordelijkheid voor de organisatie.
“Er zijn voorbeelden te over van bedrijven die hun eigen verantwoordelijkheid niet op orde hadden en daardoor te maken kregen met gegevensverlies of -diefstal, malware of ransomware. Soms hacken cybercriminelen omgevingen en zetten deze in voor cryptocurrency mining of DDoS-aanvallen.”
De grote hyperscalers, zoals Microsoft, Google Cloud en Amazon Web Services, hanteren een zogenoemd ‘shared responsibility’-model (model voor gedeelde verantwoordelijkheid) ten aanzien van privacybescherming en gegevensbeveiliging. Dit omschrijft, afhankelijk van welke diensten gebruikt worden, wie verantwoordelijk is voor welke beveiligingsmaatregelen. Elke partij moet daarbij de volledige controle kunnen behouden over dat deel van de apparaten, applicaties, processen en functies waarvoor men verantwoordelijk is. Klanten moeten de beveiliging van de applicaties en data binnen de eigen omgeving zelf regelen, anders is het gebruik van de clouddiensten nog steeds risicovol, weet Stam.
De overheid biedt organisaties met de Baseline Informatiebeveiliging Overheid (BIO) een basisnormenkader voor het nemen van hun verantwoordelijkheid ten aanzien van informatiebeveiliging. De BIO beschrijft het basisniveau voor informatiebeveiliging dat geldt voor de rijksoverheid, gemeenten, waterschappen en provincies. “Wij ondersteunen hierin door bijvoorbeeld de Microsoft 365-omgeving technisch in te richten conform BIO richtlijnen. Of door het beheren van een BIO landingzone waarin alle technische aspecten vanuit de BIO zijn verwerkt”, zegt Stam. “Zo zorgen we ervoor dat onze klanten de richtlijnen van BIO toepassen in hun cloudomgevingen. Zij kunnen zodoende hun aandacht richten op de BIO-maatregelen die zij zelf dienen te regelen”.
“Wij kunnen klanten met onze support services informeren, bijvoorbeeld over de best practices voor privacy en beveiliging. Met onze professional services kunnen we adviseren of een security assessment doen en helpen bij de eventuele benodigde implementatie. We hebben managed services om de multicloud te monitoren, te waarschuwen en in te grijpen als er iets mis gaat. We hebben ook een network operations systeem om werkplekken te beveiligen. We kunnen de hele multicloud dus voor onze klanten beheren en beveiligen en we nemen daarbij ook de verantwoordelijkheid op ons.”
2 dagen geleden
Expert bijdrage
