Cloudstrategie – onmisbaar onderdeel van het informatiebeleid

Waar is de cloud?

Informatiebeleidsplannen van gemeenten besteden traditioneel veel aandacht aan Basisregistraties, DigiKoppelingen, MijnOverheid en andere zaken die helpen bij de informatievoorziening aan medewerkers, partners, burgers en bedrijven. Zaken als kantoorautomatisering of opslag van data krijgen minder aandacht. Ook de cloud krijgt vaak weinig aandacht. De cloud wordt vooral gezien als iets waardoor de infrastructuur iets mooier, sneller en beter beschikbaar wordt, maar waardoor er verder niet veel verandert. Beslissingen in informatiebeheerplannen over de cloud gaan vaak niet verder dan het toestaan van SaaS-oplossingen voor secundaire applicaties. Zo’n benadering van de cloud is een gemiste kans en op termijn zelfs een gevaarlijke denkfout.

Kansen in de cloud

Cloudoplossingen verbeteren de gemeentelijke dienstverlening. Ze vergroten de mogelijkheden om gerichter, sneller en specifieker informatie vanuit verschillende bronnen met burgers en bedrijven te delen. Alleen daarom al zou hiervoor in informatiebeheerplannen veel meer aandacht moeten zijn. Bovendien gaan medewerkers steeds meer samenwerken, binnen en buiten de eigen organisatie. De noodzaak informatie te delen neemt daardoor toe. Als I&A dit niet faciliteert, doen medewerkers dat zelf via publieke oplossingen als Dropbox of OneDrive. Verder gaan ontwikkelingen op software- en device-gebied zo snel, dat kleinere ICT-afdelingen dit nauwelijks kunnen bijbenen. Binnen het Sociaal Domein bijvoorbeeld ontstaan momenteel veel cloud apps die in een traditionele infrastructuur moeilijk zijn te implementeren wat betreft authenticatie en autorisatie, maar via een clouddirectory gemakkelijk onder beheer zijn te brengen.

Liever niet ad-hoc

Kent een organisatie geen duidelijke cloudstrategie? Dan is de praktijk vaak dat ad-hoc wordt bekeken of een cloudoplossing zinvol is. Bijvoorbeeld als applicaties of functionaliteiten lastig in de eigen ICT-infrastructuur zijn te implementeren. Of omdat maar een beperkte groep medewerkers ervan gebruik maakt. Of omdat de grenzen van de eigen opslag zijn bereikt. Dat zijn echter niet de juiste afwegingen. Want je wilt dat voor iedere applicatie binnen je organisatie het gebruik ervan past bij de afspraken over authenticatie, autorisatie en opslag, bijvoorbeeld omdat de data die wordt gebruikt privacygevoelige informatie bevat.

Een cloudstrategie

De volgende drie vragen vormen een goede basis van een cloudstrategie:

• Wat zijn de mogelijkheden van de cloud?
• Wat is de wettelijke situatie?
• Wat is mijn classificatie van data en informatiesystemen

De classificatie van de data en informatiesystemen wordt bepaald door te kijken naar de eisen voor beschikbaarheid, integriteit en vertrouwelijkheid. Gecombineerd levert dit voor ieder proces of databron een voorkeur op voor een SaaS (Software as a Service), Paas (Platform as a Service), IaaS (Infrastructure as an Service) of On-Premise (lokaal of co-locatie) oplossing.

Bij DUO+ hebben we een ‘public cloud first-strategie geformuleerd. SaaS-oplossingen bij voorkeur, PaaS/IaaS als het kan, On-premise (co-locatie) als wetgeving het afdwingt. Deze architectuur stelt ons in staat snel te reageren op wensen van de vakafdelingen.

Ronald Morssink

Teamleider I&A DUO+

Niet te zwaar

De Informatiebeveiligingsdienst voor gemeenten (IBD) adviseert de classificatie niet onnodig zwaar te maken (Denk aan de transparante overheid). Echte puristen zullen bijvoorbeeld roepen dat e-mail niet naar Office365 gemigreerd mag worden, omdat je nooit zeker weet of er privacygevoelige informatie in staat. De praktijk is echter dat steeds meer gemeenten er wel mee bezig zijn. Zo’n discussie laat zien hoe belangrijk het is als organisatie je keuzes expliciet te maken. Je bepaalt dan in een informatiebeleidsplan vanuit een strategische visie, inclusief wettelijke vooruitzichten, hoe je ontwikkelingen op ICT-gebied tegemoet treedt. Dat is beter dan achter de door gebruikers in gang gezette ontwikkelingen aan te lopen.