Overheidsorganisaties maken steeds meer gebruik van cloudapplicaties. Dat heeft veel voordelen, zoals het feit dat de applicaties vanuit elke locatie te gebruiken zijn. Toch zijn er ook belangrijke nadelen waar gemeenten en andere overheidsorganisaties te weinig focus op hebben. Jarno Smit en Daniëlle Valk, (senior) managers IT Risk Assurance bij BDO, geven hun visie op het onderwerp.
Waar vroeger vooral lokaal op on-premise basis gewerkt werd, maken overheden nu gebruik van applicaties die in de cloud draaien. Jarno legt uit dat leveranciers deze organisaties min of meer dwingen om naar de cloud over te stappen. “Het is geen keuze meer, omdat de voordelen op het gebied van ontwikkeling en ondersteuning voor hen aanzienlijk zijn. Dit heeft gevolgen voor de eigen organisatie, de kennis en vaardigheden van medewerkers en de technische infrastructuur.” Het is een complete transformatie waarbij IT-beheerders niet langer zelf aan de knoppen zitten, maar voor in overleg moeten treden met leveranciers. Dat raakt alle aspecten van de organisatie.
Daniëlle benadrukt het belang van een duidelijke visie. “Als je deze visie niet zelf bepaalt, laat je je leiden door de leveranciers. Het is essentieel om de regie in handen te houden en niet afhankelijk te zijn van externe partijen.” Jarno wijst erop dat klanten soms blindelings de cloud zijn ingegaan, zonder stil te staan bij privacy- en compliancekwesties.”
Daniëlle legt uit dat overheden vaak weinig oog hebben voor risico’s op het gebied van de cloud. “Aan de voorkant is het cruciaal om goed te weten welke randvoorwaarden je wil hanteren voordat je met een leverancier in zee gaat. Vaak zijn deze voorwaarden al in aanbestedingsprocedures vastgelegd, maar het is belangrijk om kritisch te blijven en de leveranciers te challengen om aan de voorwaarden te (blijven) voldoen.”
Het maken van afspraken en het rapporteren over de prestaties van leveranciers is essentieel. We moeten ervoor zorgen dat ze deze afspraken ook daadwerkelijk nakomen. “Vroeger waren de IT-beheerders verantwoordelijk voor het uitrollen van updates, nu is het is belangrijk dat ze de regie pakken en ervoor zorgen dat leveranciers hun beloftes nakomen”, vertelt Daniëlle.
Daniëlle wijst op een veelvoorkomende vraag: als gegevens zich in de cloud bevinden, waar staan ze dan eigenlijk? “Veel overheden willen dat hun gegevens binnen de EU worden opgeslagen, maar als er beperkte keuzemogelijkheden zijn, dwingen ze dit niet altijd af”. Jarno legt uit dat er zowel public als private cloudoplossingen zijn. Vanuit een juridisch oogpunt zou je eigenlijk niet voor een public cloud moeten kiezen, maar wat dan wel?
