AP: Nederlandse overheid weet niet wat te doen als cloudleverancier stopt

De Nederlandse overheid doet weinig tegen het risico dat een cloudleverancier stopt of failliet gaat. Dat zegt de Autorititeit Persoonsgegevens. Er zou voor de hele overheid een plan moeten komen om dat risico te vermijden.

Veel overheden zijn voor hun systemen en hun data afhankelijk van één leverancier, constateert AP in het Sectorbeeld Overheid 2024. "Als die ene dienstverlener, waar alle gegevens bijvoorbeeld bij in de cloud staan, omvalt, dan komt de dienstverlening aan burgers direct in de problemen", schrijft de toezichthouder.

Het is een van de vele zaken die fout gaan rondom data en dataverwerking bij de overheid, schrijft AP. Zo ontdekken ministeries soms dat de manier waarop ze data verwerken niet mag en creëren ze vervolgens wetgeving waardoor dat wel mag. "Deze omgekeerde volgorde ondermijnt ook het vertrouwen dat mensen moeten kunnen hebben dat de overheid hun gegevens zorgvuldig verwerkt. Is er voor een nieuwe verwerking geen grondslag? Dan kan de verwerking ofwel niet plaatsvinden, ofwel moet worden gewacht met de verwerking tot er wel een grondslag is."

Ook doen veel overheidsdiensten geen DPIA's, analyses om privacyrisico's vooraf in kaart te brengen, of als ze DPIA's doen zijn ze niet goed genoeg. Ook vinden gemeenten, provincies en ministeries vaak AVG geen doorslaggevend argument om iets niet te doen. "Denk aan gemeenten die bij het bestrijden van ondermijnende criminaliteit of bijstandsfraude de AVG van ondergeschikt belang vinden." Ook de Belastingdienst blijft dat doen. Daarom houdt AP vijf jaar toezicht bij die dienst.

Ondanks het stoppen met Syri vier jaar geleden, zijn er ook nog steeds gemeenten die fraude proberen op te sporen met hulp van algoritmes. Die algoritmes combineren data om te kijken wie de gemeente aan meer controles moet onderwerpen. Het probleem is dat die algoritmes vaak discrimineren: soms gebeurt dat indirect door de wijk of woonvorm mee te nemen in de afweging.

De naleving van de AVG gaat in zijn algemeenheid wel iets beter dan voorheen, concludeert AP. Toch is het bij lange na nog niet goed genoeg. Als het fout gaat, is dat soms een gebrek aan kennis en soms een bewuste overtreding van de AVG. Dat schaadt volgens AP het vertrouwen van burgers dat overheden zorgvuldig omgaan met hun privégegevens.

IT-banen

Reacties (138)

coolkil 9 oktober 2024 19:57

Ik snap eigenlijk niet waarom een overheid als Nederland niet een ministerie opricht als IT dienstverlener. Deze zou voor alle andere ministeries een cloud dienst kunnen hosten.

LinuxMan @coolkil • 9 oktober 2024 22:50

Heel simpel: vanwege de grondwet, wat ook wel "het huis van Thorbecke" wordt genoemd. Elke minister is verantwoordelijk voor alles wat er op het eigen ministerie gebeurt (de ministeriële verantwoordelijkheid). Stel dat de belastingdienst zijn uitvoering niet kan doen omdat de IT omvalt, moet dan de minister van IT of the minister van financiën zich verantwoorden naar de kamer? Volgens de ministeriële verantwoordelijkheid moet de minister van financiën naar de kamer als de belastingdienst zijn werk niet kan doen doordat de IT uitvalt. Want die minister is verantwoordelijk voor alle keuzes die de belastingdienst maakt.

Dus een IT dienstverlener kan wel (die zijn er ook, SSC-ICT doet bijvoorbeeld de kantoorwerkplek voor 7 ministeries, Defensie doet het glasvezelnetwerk voor alle ministeries, etc.), maar geen IT ministerie, want elke minister blijft wel verantwoordelijk voor de keuzes die in de uitvoering van zijn/haar ministerie zijn gemaakt.

MSalters

Nederland

@LinuxMan • 10 oktober 2024 12:16

Dit is onzin. De Grondwet stelt dat de ministers gezamelijk verantwoordelijk zijn. (Art 42). Een minister van IT is dus ook onderdeel van dat team.

Het parlement beslist zelf of ze nog vertrouwen hebben in individuele ministers en het hele team. Ze kunnen prima twee ministers wegsturen als die niet samen kunnen werken.

(En ook onzing: het "Huis van Thorbecke" is niet de Grondwet, of de ministers, maar de verdeling van overheid in rijksoverheid, provincies en gemeentes)

coolkil @LinuxMan • 9 oktober 2024 23:08

Gezien het een cloud is. Als de cloud infra kapot is, is de minister van it verantwoordelijk. Als bijvoorbeeld het ministerie van buitenlandse zaken de cloud gebruikt en hun eigen tenant vernacheld is de minister van buitenlandse zaken verantwoordelijk. Lijkt me niet gek kwa verdeling. Zelfde was laatst toen dat defensie netwerk plat lag

CH4OS @coolkil • 10 oktober 2024 09:00

Dus omdat een minister van Justitie of Financiën bijvoorbeeld kiest om iets te doen, en daardoor de IT omgeving kapot gaat, moet de minister van IT op het matje komen om zich te verantwoorden voor de keuze van de minister van Financiën? Dat klinkt niet geheel logisch, toch?

EDIT:
Met jouw derde zin spreek je wat je ervoor schreef zelf al tegen. Die scheiding is er niet en kan dus ook niet gemaakt worden. Het is aan het ministerie wat het ministerie doet, eindverantwoordelijke daarvan is de minister, zo simpel is het. De overheid is al complex genoeg. Niet overal moet een ministerie voor zijn.

[Reactie gewijzigd door CH4OS op 10 oktober 2024 09:02]

coolkil @CH4OS • 10 oktober 2024 17:09

Azure als voorbeeld: je hebt 2 klanten spotify en videoland. Als Microsoft een fout maakt en azure gaat offline is Microsoft verantwoordelijk (daar staat vast wat over in algemene voorwaarden maar laten we dat even buiten beschouwing laten) in dit geval zijn beide klanten down

Als spotify in zijn eigen cloud tenant een fout maakt is spotify down en is spotify zelf verantwoordelijk. Videoland heeft hier geen last van. Als videoland een fout maakt exact hetzelfde maar andersom

Cloud bestaat op basis van multi tenant… shared resources zodat je als eigen bedrijf niet alles zelf aan hoeft te schaffen en 90% van de tijd idle compute hebt staan…

Zo zou een overheid cloud toch ook moeten werken dan?

[Reactie gewijzigd door coolkil op 10 oktober 2024 17:09]

CH4OS @coolkil • 10 oktober 2024 17:34

Ik zou juist van een overheid niet alles zomaar in een cloud stallen, ongeacht welke cloudhoster, overigens. Je hebt te maken met gevoeligheid van informatie, je kunt (en soms zelfs mag) niet alles zomaar in de cloud opslaan. Voor zaken als email zie je een overheid wel steeds vaker de cloud gebruiken, dat is verder op zich geen probleem, maar een overheid kan niet alles in de cloud opslaan, omdat de informatie te gevoelig is bijvoorbeeld.

coolkil @CH4OS • 10 oktober 2024 18:31

Dus als een overheid z’n eigen cloud host mag de overheid er zelf geen gebruik van maken?

CH4OS @coolkil • 11 oktober 2024 08:44

Je weet ook wel dat ik 3rd party clouds bedoel.

StCreed @CH4OS • 10 oktober 2024 19:20

Je kan niet alles opslaan, maar tot BBN2 kun je gewoon naar de Cloud.

BBN3 kan niet in public Cloud maar wel in private.

Eskimo0O0o @LinuxMan • 10 oktober 2024 12:19

Dat is allemaal leuk en aardig zoals je het stelt, maar er zijn natuurlijk wel meer situaties denkbaar waardoor een onderdeel van het ene ministerie niet kan functioneren omdat zij geraakt worden door een storing wat onder de verantwoordelijkheid van een ander ministerie valt.

Zo zullen er meerdere ministeries niet kunnen functioneren wanneer het electriciteitsnetwerk, het telefoonnetwerk of de internetverbindingen (allemaal Economische Zaken), in een grote storing raken. Ook dan hoeft de minister van Financiën zich niet te verantwoorden als de belastingdienst hun werk niet kan doen omdat de stroom eruit ligt.

Zodra je een specifiek deel (clouddienstverlening voor de gehele overheid) aanwijst als de verantwoordelijkheid van een ministerie, dan is het direct duidelijk wie de sigaar is als het niet goed loopt. Het is absoluut niet nodig dat elk ministerie opnieuw het eigen wiel uitvindt (ze hebben toch ook niet allemaal hun eigen stroomvoorziening?).

Dat gezegd hebbende, het is natuurlijk volstrekt logisch om het wel te centraliseren en ik zou dit eerlijk gezegd onderbrengen bij het ministerie wat zich nu ook al een groot deel van de andere belangrijke infrastructuur bezig houdt: Economische Zaken.

(edit: een apart ministerie oprichten om zich met de ene ding bezig te houden lijkt mij totale overkill)

[Reactie gewijzigd door Eskimo0O0o op 10 oktober 2024 12:21]

fastedje @LinuxMan • 10 oktober 2024 17:15

Onder deze beredenering is de minister van Rijkswaterstaat ook verantwoordelijk voor de volksgezondheid: stel er.is een probleem met alle.verkeerslichten waardoor er geen ambulances op tijd naar patiënten ziekenhuizen kunnen geraken, dan moet de minister van Volksgezondheid zijn eigen wegennet aanleggen?

Keypunchie

Nederland

@coolkil • 9 oktober 2024 20:47

Dat is Logius.

Wikipedia: Logius

fantafriday @Keypunchie • 9 oktober 2024 20:55

Of SSC-ICT, of Rijks ICT Gilde.

rbr320 @fantafriday • 9 oktober 2024 22:23

Er is ook nog DICTU.

Saint2Saint @fantafriday • 9 oktober 2024 22:41

Rijks ict gilde is geen leverancier maar levert personeel van de overheid voor de overheid.

Ssc ict is werkplekleverancier en beheert ODC Rijswijk

Logius is verantwoordelijk voor de GDI met o.a. diginetwerk maar ook digid en enkele (bijna alle) basisregistraties.

coolkil @Keypunchie • 9 oktober 2024 21:59

OK die was ik vergeten.. maar die leveren een SAAS oplossing. Ze leveren geen generieke cloud oplossingen PAAS of IAAS

Aurora @coolkil • 9 oktober 2024 22:54

DICTU levert die wel.

Haribo112 @coolkil • 10 oktober 2024 09:02

Ik heb ooit stage gelopen bij ODC-Noord (ODC staat voor Overheids DataCenter) en die doen weldegelijk PaaS en IaaS voor de overheid leveren. Ik snap niet helemaal waarom er niet meer ODCs zijn, want het was echt een tof product dat ze daar hadden neergezet, op basis van OpenStack en Ceph.

StCreed @Haribo112 • 10 oktober 2024 19:44

PaaS en IaaS sure. Alleen is dat nu net niet wat je naar de Cloud wil brengen. De echte waarde zit in de SaaS.

Tenzij je denkt dat de Cobolboys juichend overstappen. Dat heb je dan mis.

TommieW @Keypunchie • 9 oktober 2024 20:55

Ja, maar nee. Logius heeft niet echt eigen infra draaien. Die nemen ze af van onder andere Solvinity en ODC Noord. Logius levert echter wel een dienst op basis van hetgeen dat ODC Noord levert.
Binnen de overheidswereld zit dit om verschillende redenen aanzienlijk complexer in elkaar.

Martinspire @coolkil • 9 oktober 2024 20:16

Dat heb ik ook nooit begrepen. Ja het is wat duurder maar zal op het geheel ook weer niet enorm schelen. Maar de garanties die je dan kunt geven zijn ongeëvenaard. Nu zitten we vast aan Amazon, Google en Microsoft. Wil je de VS straffen omdat ze WW3 lanceren, dan hebben wij gewoon geen IT meer. Ook alle code staat in de cloud dus je hebt ook weinig om mee verder te gaan

supersnathan94 @Martinspire • 9 oktober 2024 21:11

Het is echt enorm veel duurder om het zelf te doen. Schaalvoordelen op inkoop alleen al.

Daarnaast is expertise duur en goede inrichting best lastig.

Daarnaast is de overheid absoluut niet zo belangrijk dat, dat het eerste is waar mensen over gaan zeiken als de pleuris uitbreekt en Azure niet meer werkt.

Ik ben met ze eens dat de afhankelijkheid van MS echt te groot is, maar dat komt niet door het cloud gebruik van applicaties die zelf worden gemaakt. Dat komt door Office365 en AzureAD.

coolkil @supersnathan94 • 9 oktober 2024 22:01

Schaalvoordelen op inkoop? De schaal waarop je hardware moet kopen voor een project als dit levert waarschijnlijk genoeg op om een aanzienlijke hoeveelheid korting te krijgen. Pak het Europees aan en je kan nog groter

[Reactie gewijzigd door coolkil op 9 oktober 2024 22:01]

WillySis

Autoriteit Persoonsgegevens
Privacy

@coolkil • 9 oktober 2024 22:38

Het gaat niet om zomaar wat hardware maar een compleet datacenter, liefst met een back-up op een tweede locatie.
Zelf een datacenter opzetten maakt de staat weer extra kwetsbaar voor (cyber)aanvallen van buitenaf. Het zou beter zijn om gezamenlijk een Europees "bedrijf" op te richten met een aantal datacentra. Die datacentra kunnen dan eventueel gedeeld worden met een commercieel bedrijf.

coolkil @WillySis • 9 oktober 2024 23:15

3 a 4 datacenters lijkt me. Iedere hoek van Nederland 1. Dan nog gaat het schaal grote idee prima op. Uiteraard snap ik dat alles wat we hier delen kwa opties een oversimplificatie is. Ding is alleen wel dat een boel van die datacenters eigenlijk al beschikbaar zijn binnen bestaande ministeries

DefaultError @WillySis • 10 oktober 2024 10:04

En eentje die ook ´bullitproof´ is op het EU-continent. Zal vast over gedacht worden ergens in-een-ivorentoren.

supersnathan94 @coolkil • 9 oktober 2024 22:50

De schaal waarop je hardware moet kopen voor een project als dit levert waarschijnlijk genoeg op om een aanzienlijke hoeveelheid korting te krijgen. Pak het Europees aan en je kan nog groter

Het probleem wordt dan dat je mee moet gaan dingen in aanbestedingen, net zoals Amazon, Google en Microsoft dat moeten doen. Je zult alleen in het begin nooit zo mee kunnen draaien als die grote jongens.

De enige optie die we dan hebben is Europese wetgeving waarbij het EU alternatief gunstiger wordt vanwege bepaalde functionele eisen. Op prijs en geolocatie ga je het voorlopig namelijk niet winnen.

Het grote issue is niet de cloud, maar de onderliggende zaken. Alles, met uitzondering van de kennis, komt namelijk alsnog uit de VS.

Denk aan:
- Software (Linux, Redhat, IBM)
- Netwerk (Cisco, Fortinet, F5)
- CPU (Intel, AMD, AWS ARM)
- Storage (HPE, IBM, Dell, NetApp)
- Rack chassis (Dell, HPE, superMicro)
- Services als AD, Kubernetes, S3 (MS, Google, amazon)

Men noemt hier nu Faillissement als reden, maar dat is het probleem niet (alsof MS en Amazon ff failliet gaan

). Het gaat bijvoorbeeld om ontzegging van data toegang door een overheid die het wel welletjes vindt.

Er loopt een project voor een Europese cloud, wat ik op zich wel een heel goed idee vind. Alleen is het dan wel weer zo dat deze drie grootmachten daar weer een vinger in de pap hebben en dus ook alles een beetje kunnen vertragen en/of zo laten maken dat het weer een vendor lock-in achtige constructie gaat geven.

Ik ben wel voor een Europese tegenhanger, maar dan moet men eerst even laten zien dat men het ook kan. Een groep overheidsdiensten hierop laten werken als schaduw lijkt mij dan echt wel interessant. Soort hybride opstelling. Data in de EU cloud, processing lekker in de public clouds ofzo, Edge computing achtig idee. Dan heb je wel de data toegangsgarantie, maar ook de geolocaties van de grote jongens.

WillySis

Autoriteit Persoonsgegevens
Privacy

@supersnathan94 • 10 oktober 2024 10:39

De hardware wordt gewoon geleverd en wordt daarna eigendom. Mocht een leverancier failliet gaan, dan blijft dat gewoon werken en er zijn voldoende concurrenten om naar over te stappen.
Trekt een cloud leverancier de stekker eruit, dan ligt de hele handel van het één op het andere moment stil en zijn alle gegevens weg.

Een Europese cloud is zonder meer mogelijk. De kennis en infrastructuur is eigenlijk al aanwezig. Probleem is vooral de concurrentie. Binnen Europa zijn alle cloud-bedrijven die er waren kapot geconcurreerd of opgekocht door de grote Amerikaanse jongens.

Het aanbestedings-systeem maakt dat een nieuw Europees cloud alternatief nauwelijks een kans maakt. Een hele cloud infrastructuur in staatshanden houden is relatief duur. De combinatie overheid en IT is niet optimaal, dus kan het beter via een commercieel bedrijf. Als dat in eigen land is gevestigd kan het bij een faillissement eventueel met subsidies overeind gehouden worden of zelfs geheel over worden genomen.

supersnathan94 @WillySis • 10 oktober 2024 14:50

De hardware wordt gewoon geleverd en wordt daarna eigendom. Mocht een leverancier failliet gaan, dan blijft dat gewoon werken en er zijn voldoende concurrenten om naar over te stappen.

Faillissement is dan ook niet het issue. Afgesloten worden door wetgeving of een boycot wel. We zijn te afhankelijk van Amerikaanse bedrijven die allemaal de kraan dicht kunnen draaien als dat nodig is. De meeste enterprise devices draaien namelijk gewoon op licentie basis. Wordt die licentie ingetrokken om wat voor reden dan ook, dan werkt het gewoon niet meer. Meestal zijn die licenties voor Support, maar ook vaak zat gewoon onderdeel van de hardware propositie. Je koopt een device, maar je moet ook een jaarlijks verlengbare licentie afnemen voor werking en updates. Die licentie kan dan ook gewoon worden ingetrokken en dan werkt jouw device gewoon niet meer.

Cisco is zo'n bedrijf wat notoir is als het daar op aankomt. Stabiele hardware wordt al jaren niet meer verkocht en bepaalde features zitten achter een paywall. "Smart licensing" heet dat dan.

De hardware wordt gewoon geleverd en wordt daarna eigendom

yeah... if only that was the case.

Het aanbestedings-systeem maakt dat een nieuw Europees cloud alternatief nauwelijks een kans maakt.

Nou precies dat. Gaia-X is hard op weg om een leuk alternatief te worden, maar is nog steeds afhankelijk van e 3 grote cloudpartijen. Opzich goed dat zij in de consultatie zitten hoor, giga veel ervaring hiermee natuurlijk, maar aan de andere kant wekt het wel wat vragen op over belangenverstrengeling.

StCreed @coolkil • 10 oktober 2024 19:45

Pak je het Europees aan? Kijk dan even naar het lot van de EU Cloud, GAIA genaamd.

Op die schaal gaat de politiek zich er mee bemoeien. Succes met Parijs en Berlijn.

Trucker Her @supersnathan94 • 9 oktober 2024 22:56

"Het is enorm veel duurder om het zelf te doen", op wat baseer je dat? Het bouwen van een datacenter om één rack te hosten?

Er zijn vele overheidsorganen die desondanks de beweging naar de cloud nog altijd een MER hebben met een zwik aan apparatuur waar je U tegen zegt.
Gezien de schaal van de overheidsdienstverlening denk ik dat je je daar flink op verkijkt.
Denk eens na over het maken en restoren van een backup bij een Amazon, Azure. En denk dan in de honderden-petabyte range.

In principe roept men altijd "cloud is just someone else's machine" - je kan prima zelf een cloudvoorziening bouwen voor verschillende overheidspartners. Hoewel daar een flink aandeel aan bureaucratie, regelgeving (bijvoorbeeld gegevens classificaties), security eisen, enz enz enz een belemmerende factor is.

Als overheidscloud kan je prima je eigen kostenefficiente dienstverlener zijn, in plaats van op marktpartijen te vertrouwen. En ik denk dat het véél goedkoper en betrouwbaarder kan. (Lees: geen risico's van marktwerking, vendor locks, e.d.)

Is het gemakkelijk gedaan? Nee. Is de publieke cloud dan maar de oplossing? Wat mij betreft niet. Overheidsschaal is voldoende schaalvergroting om iets kostenefficient te doen, cloud dienstverleners zijn op schaal, véél duurder dan eigen datacentra/colocatie voorzieningen. We hebben 't hier niet over een miljoentje hier of daar; maar over honderden miljoenen aan infra _per jaar_

Martinspire @supersnathan94 • 9 oktober 2024 23:44

Veel duurder is relatief. Je moet altijd die backup hebben, of je nou bij AWS zit of niet. Je moet gewoon een alternatief platform hebben, dus waarom dan niet meteen dat platform als primair gebruiken.

Schaalvoordelen voor inkoop is leuk, maar het is niet alsof je elke maand een nieuwe rack moet bouwen. Hardware gaat nog best lang mee en dat is nooit het merendeel van de kosten op termijn. Dat is nog altijd energie dan wel koeling, de locatie en het personeel. Personeel heb je nodig of je dat nou bij Amazon hebt zitten of niet. Je kunt twijfelen over hoe duur die tarieven moeten zijn, maar het is ook veelal kennis die je toch al in huis moet hebben, ook al host je niet alles zelf. Een andere kostenpost is beveiliging. Ik denk dat dit voor overheidszaken, vooral de data, toch al vrij duur is. Bovendien vergeet je nog wel iets: sommige mensen voelen een plicht om voor de overheid te werken, dus is niet alles puur op geld uit. Je gaat niet voor het salaris voor de klas staan of bij de politie.

Daarnaast is de overheid absoluut niet zo belangrijk dat, dat het eerste is waar mensen over gaan zeiken als de pleuris uitbreekt en Azure niet meer werkt.

Niet helemaal eens. Als je ineens geen toeslagen meer krijgt, hebben toch aardig wat mensen een probleem. Net als vervoer (personen of transport) en laten we de nutsvoorzieningen niet vergeten. Geen stroom heeft toch al een paar keer tot paniek geleidt.

We zijn nu allerlei zaken naar Amerikaanse diensten aan het overbrengen waarbij onze gegevens gewoon te makkelijk uit handen worden gegeven en waarbij het enorm kwetsbaar is voor geopolitiek en machtsmisbruik. Oh wil Nederland niet meewerken aan een nieuwe wet? Dan gaan de tarieven ineens omhoog. En ja, dan zit je er inmiddels helemaal vast aan. Je dacht dat het overheidsapparaat nu veel kost? Dat kan nog vele malen meer kosten. De support kan ook even een dagje vrij nemen als Nederland niet meewerkt. In eigen beheer betekent ook dat je veel meer controle hebt over wat er draait en hoe het draait. Is een applicatie traag, dan kun je daar meteen wat aan doen. Alles staat nu werkelijk in Amerikaanse handen. De data, de applicaties, de code, de projectmanagement. En daar gaan we de komende decennia echt wel wat van voelen. Sure, nu is het goedkoper, maar dat is hetzelfde als waarom China momenteel goedkoop is: zodra ze de markt in handen hebben, gaan de prijzen omhoog en de service omlaag.

StCreed @Martinspire • 10 oktober 2024 19:53

Ik heb het idee dat je niet voor de overheid werkt, want dit is een veel te optimistisch beeld.

Er zijn genoeg processen waar automatisering helemaal niet meer lukt (erfbelasting, bijvoorbeeld), of waar wachttijden van 2 jaar op capaciteit normaal zijn. Er zijn diensten met een gigantische technische schuld waardoor elke change een factor 10 meer tijd kost dan in greenfield. Dan heb ik het nog niet eens over de leeftijdsopbouw van het personeel, of de vaardigheden.

dlare @supersnathan94 • 9 oktober 2024 21:52

Het is echt enorm veel duurder om het zelf te doen. Schaalvoordelen op inkoop alleen al.

Doe het dan in ieder geval Europees.
Het kost dan wellicht nog steeds iets meer, maar daar staat tegenover dat een deel van de centen dan in de EU blijft plakken (ipv direct naar de VS) en daarnaast houden we onze kennis op peil.

MarcMK2 @dlare • 9 oktober 2024 22:22

ik ben het er mee eens dat het een prio zou moeten worden om een eu weide(liefst nederlandse) concurent van aws, azure, gcp op te zetten zodat het geld in de eu blijft en er daardoor een sterkere eu komt die niet afhankelijk is van amerika voor geopolitiek.

vrije_vogel @dlare • 9 oktober 2024 22:42

Daarvoor loopt al een hele tijd een initiatief GAIA-X.

StCreed @vrije_vogel • 10 oktober 2024 19:54

En dat heeft al zoveel resultaten opgeleverd...

Powerblast @dlare • 9 oktober 2024 23:14

Dit zou in mijn ogen inderdaad perfect zijn om op Europees niveau in te richten. Heb je ineens ook de zekerheid dat er niks “per ongeluk” toch buiten de EU verstuurd wordt. Probleem is natuurlijk wel dat zen gehele cloud omgeving zelf gaan inrichten vermoedelijk vrij duur is. En je zit uiteindelijk nog altijd met leveranciers die je zal moeten aanspreken. Maar goed, hardware leverancier wissel is waarschijnlijk eenvoudiger in te regelen dan cloud die wegvalt omdat ze geen zin meer hebben. Geen idee hoe Europa op dat niveau er voor staat, heb het idee dat we op dat vlak nog serieus achterlopen.

Ik vrees dat de overheid ook niet alleen staat in niet goed weten als ze failliet gaan. Denk dat er veel bedrijven met hetzelfde probleem komen te zitten. We zijn de laatste jaren misschien iets teveel op een select aantal leveranciers gaan vertrouwen. Je ziet het effect ook al bij storingen. 1 storing en er ligt heel wat uit.

[Reactie gewijzigd door Powerblast op 9 oktober 2024 23:21]

Scriptkid @Martinspire • 10 oktober 2024 07:03

Dan ben je cloud toch echt verkeer aan et bouwen.

Als je cloud native bouwed als units kunnen all individuele apis geen overall draaien i. Elke cloud en onprem en interfacen. Je kunt E ook gewoon moven tussen clouds.

Helas designe. Veel bedrijven dat niet en doen ze lift en shift naar cloud en dan heb je zelfde issues als onprem maar dan in de cloud.

Martinspire @Scriptkid • 10 oktober 2024 10:36

Het idee dat je die losse blokken bouwt is leuk, maar ik weet vrij zeker dat de applicaties waar ik de afgelopen jaren aan gewerkt hebt, niet binnen een dag ergens anders kunnen draaien. Misschien niet binnen een week of langer. Allereerst was er voor de ontwikkelaars helemaal geen 2e platform beschikbaar, dus alles wat gedaan moet worden om de applicatie te laten draaien, moet allemaal opnieuw. Daarnaast werd gebruik gemaakt van diverse tools die niet buiten AWS of Azure te gebruiken zijn. Bepaalde zaken moeten dan dus opnieuw worden ingesteld.

En de code of projectmanagement was ook ergens op een buitenlandse server, dus zodra je die connectie verliest, ben je gewoon veel informatie kwijt. Ja, een deel van de code zal nog wel op de machines van ontwikkelaars staan, maar dat is ook niet alles en ik verwacht dat als men niet bij hun cloud kan, de laptops ook niet kunnen aanmelden.

JackBol @coolkil • 9 oktober 2024 21:28

Waar haal je de IT'ers vandaan die:
a) de kennis hebben om een private cloud te bouwen en te maintainen
b) dit voor een overheidssalaris willen doen?

sebati @JackBol • 10 oktober 2024 07:50

Dat is denken in problemen, niet in oplossingen...

JackBol @sebati • 10 oktober 2024 09:17

Ik hoor graag een oplossing

sebati @JackBol • 10 oktober 2024 10:02

Veranderen doe je stap voor stap... wanneer je bij voorbaat al urgumenten opwerpt waarom iets niet kan dan ga je niet meer in oplossingen denken. Je moet een doel stellen, om dat doel te bereiken moet je stappen zetten. Niemand zegt dat het "morgen" klaar moet zijn, dit zijn lange termijn visies.

Argumenten als waar de mensen zijn en het salaris dat ze ervoor zouden willen hebben zijn nou niet echt de uitgangspunten die heel relevant zijn in het bepalen van een toekomstvisie an sich; als de visie is dat je eigen DC's in Europa wilt en data en services onder eigen controle moet je daarnaar handelen. Die mensen komen er niet als er geen vraag naar is. Met name het handelen is dus niet iets wat onze overheid correct faciliteerd. Waarom zou iemand in NL op dit moment willen investeren in een DC wanneer je weet dat het overheidsbeleid is dat het niet uitmaakt waar hun data staat en wie er (in potentie) bij kan. Microsoft, Amazon DC's, etc vallen allen onder de Cloud Act en zouden voor onze overheid data een rode vlag moeten zijn. Deze DC discussie hebben wij zelf ook, zelf blijven doen of alles in bv Azure. Ik heb slechts 1 klant waari ik mee samenwerk die ( en notabene voor overheden werkt) een exitstrategie heeft en daarnaar handelt door een draaiboek en services klaar te hebben in geval Azure/MS365 services 24+ uur niet bereikbaar zijn. Overheden hebben dat geen van allen in mijn ervaring.

JackBol @sebati • 10 oktober 2024 13:08

Leuke ideeën, maar ik ben van dichtbij betrokken geweest hoe meerdere publieke en private bedrijven in de Nederlandse top 15 een private cloud probeerde te bouwen en die zijn vrijwel allemaal mislukt. En dat waren bedrijven die competitieve salarissen konden betalen en er een duidelijke strategie achter hadden zitten.

De overheid is in geen enkele positie om ook maar zoiets te trachten. Kijk naar de ODCs, kijk naar de belastingdienst, kijk naar RWS, geen enkele van deze organisaties heeft in de afgelopen 10 jaar ook maar iets significants kunnen bereiken in de context van een "private cloud transitie".

Het is goed dat je hoop hebt, maar als iemand die al ruim 15 jaar met zijn poten in de klei staat, heb ik aan de lijve ervaren dat onze overheid dergelijke visie niet kan uitvoeren.

Edit: laat staan onder het huidige kabinet. Voor deze droom moet veel tijd en geld uitgetrokken worden met een ROI van wellicht meer dan 10 jaar. Geen enkel kabinet is bereid daar de knip voor te trekken, laat staan de poppenkast die er nu zit.

[Reactie gewijzigd door JackBol op 10 oktober 2024 13:10]

sebati @JackBol • 10 oktober 2024 16:22

Leuke ideeën, maar ik ben van dichtbij betrokken geweest hoe meerdere publieke en private bedrijven in de Nederlandse top 15 een private cloud probeerde te bouwen en die zijn vrijwel allemaal mislukt. En dat waren bedrijven die competitieve salarissen konden betalen en er een duidelijke strategie achter hadden zitten.

Doe het zelfs al wat langer dan 15 jaar en heb alle varianten voorbij zien komen, begrijp wat je bedoeld en wat je ziet gebeuren. Heb wisselend succes gezien. Mijn ervaring is dat het ook staat en valt met wat je verwacht van een "public cloud". Wat het mijn inziens heel lastig maakt hier in NL dat bedrijven en overheid zich zo afhankelijk hebben gemaakt van Microsoft producten dat ze eigenlijk geen andere keus hebben dan hier volledig in te gaan. In het kielzog daarvan zie je dat ze zelfs hun backups nu naar Azure maken en, zoals dit artikel al schetst, er niet meer over wordt nagedacht wat de exit strategie is (wat de reden voor zo'n dan ook is).

Ik geeft ook niet aan dat de overheid dit zelf allemaal moet doen, maar de overheid moet wel een klimaat scheppen voor Europese alternatieven. Jarenlang wordt er al aangegeven dat alternatieven de ruimte moeten krijgen, zoals open document formaten en andere standaarden. Maar op het moment dat aanbestedingen enkel ruimte laten voor Azure en MS365 oplossingen hoef je niet te verwachten dat partijen in Nederland hier verder in investeren. Dat gebeurd wel op kleine schaal (in vergelijk met de Amerikaanse cloudpartijen) en zeker als je naar een aantal Europese cloudspelers kijkt, maar hier in NL wordt dit steeds moeilijker denk ik. Ik denk dat het onverstandig is je van een enkele grote Amerikaanse partij afhankelijk te maken, weet ook zeker dat we hier de komende jaren vragen over gaan krijken als "hoe heeft het zover kunnen komen". Zeker het huidige kabinet gaat er gewoon lekker in mee. Ondanks onze voornemens en lessen uit oa de Corona periode en de oorlog in Ukraine hebben "we" dus niets geleerd van onze afhankelijkheid van het buitenland: Rusland, China, Amerika, etc

JackBol @sebati • 10 oktober 2024 17:16

Er zijn Europese alternatieven. Zo is er GAIA-X, wat een specificatie aan het schrijven is voor een soevereine cloud gebaseerd op EU wetgeving.

Daarnaast zie je dat landen zoals Frankrijk een soevereiniteit-clausule in hun cyber wetgeving hebben. Maar tot nu toe heeft dit voornamelijk geleidt tot stagnatie in digitale transformatie bij overheden.

sebati @JackBol • 10 oktober 2024 17:34

Er zijn Europese alternatieven. Zo is er GAIA-X, wat een specificatie aan het schrijven is voor een soevereine cloud gebaseerd op EU wetgeving.

Is een goede ontwikkeling maar gaat helaas te langzaam, dat komt imo met name dat onze overheid wel stelt dat ze soevein willen blijven, maar er niet naar handelt.

Daarnaast zie je dat landen zoals Frankrijk een soevereiniteit-clausule in hun cyber wetgeving hebben. Maar tot nu toe heeft dit voornamelijk geleidt tot stagnatie in digitale transformatie bij overheden.

Ik betwijfel een beetje wat oorzaak en gevolg is op dat vlak, zelf heb ik het idee dat bv de Franse, Duitse, Italiaanse, Spaanse, etc overheden zelf veel behoudender zijn. Tegelijkertijd zie je juist dat in deze landen veel meer alternatieven worden toegepast tov onze Nederlandse "Microsoft tenzij" mentaliteit. Daarbij helpt het natuurlijk dat de overheid duidelijke kaders schept EN ernaar handelt, zoals de Franse soevereiniteit-clausule die jij al aanhaalt. Goed voorbeeld voor mij is dat oa in Duitsland wordt gewerkt aan openDesk als alternatief voor overheden (maar in principe kan iedereen dat gebruiken) en uitgerold in de Duitse deelstaat Sleeswijk-Holstein. Ik onderschrijf de gedachte dat je je minder afhankelijk moet maken van enkel grote partijen, omdat deze vroeg of laat botsten met onze politieke belangen - zeker wanneer het overheidsdiensten betreft.

Oa beschreven in nieuws: Duitse deelstaat wil Windows en Office vervangen door Linux en LibreO...

JackBol @sebati • 10 oktober 2024 18:22

k onderschrijf de gedachte dat je je minder afhankelijk moet maken van enkel grote partijen

Hier ben ik het 100% mee eens, ik ben alleen niet zo positief gestemd

sebati @JackBol • 11 oktober 2024 08:08

De uitvoering ben ik ook niet positief over:)

StCreed @JackBol • 10 oktober 2024 19:57

Hoeveel miljard mag "souvereiniteit" (de betekenis daarvan is helemaal niet helder) kosten?

En vind je het acceptabel dat in de tussentijd af en toe de Belastingdienst, SVB of UWV en jaar of wat niet functioneren?

Want als het antwoord onder de 100 miljard ligt, of "nee" op vraag 2, dan hoef je niet te beginnen.

coolkil @JackBol • 9 oktober 2024 22:11

Nerds zijn altijd te porren voor dit soort dingen. Het zij intern of extern voor de overheid. Een paar niet extreem grote it dienstverleners kiezen ( zeg max 300 man personeel) als partners en korte management lijntjes houden.

De reden dat dit waarschijnlijk nooit iets zou kunnen worden is omdat het voor dat het start al kapot gemanaged is of een boel gezeur oplevert in de kamer zodra er 1x iets mis gaat. Of de grote jongens als Ordina of Capgemini gaan met het project aan de haal en je hebt weer een single point of failure alleen is het nu geen aws of azure

Pasteis @JackBol • 10 oktober 2024 09:08

Waar haal je de IT'ers vandaan die:
a) de kennis hebben om een private cloud te bouwen en te maintainen
b) dit voor een overheidssalaris willen doen?

De overheid betaald geen slecht salaris, alleen ik denk dat ze het wel beter moeten verdelen door bijv. ict belangrijker te maken dan met alle respect arbeidsplaatsen in stand te houden die inmiddels ook prima geautomatiseerd kunnen worden.

supersnathan94 @coolkil • 9 oktober 2024 21:09

Zit je met een nog groter probleem, namelijk een hele makkelijke attackvector. Nederland kan gewoon niet op tegen het geweld van AWS en Azure. Met alle dienstverlening en partners die er wat mee doen.

Wat Nederlandse instellingen moeten gaan doen is een disaster recovery beleid en exit strategie. En dat kan prima berusten op “we pakken de boel op en schuiven het naar AWS” als ze op Azure zitten.

Het is overigens van de zotte om te bedenken dat het een probleem zou zijn als MS of Amazon failliet zou gaan overigens, maar dat terzijde. Groter issue is een Amerikaanse president die zegt, “nope de EU kan er niet meer bij vanaf vandaag”, maar daar kun je je gewoon op voorbereiden.

En dat gaat een on-premise DC overigens ook niet vrijwaren van problemen, want dat hangt natuurlijk ook kompleet vol met Amerikaanse technologie. Als AWS en Azure geen diensten meer mogen verlenen, denk ik dat Fortinet, Cisco, HPE en Dell net zo hard de kraan dicht moeten gaan draaien.

Ik snap dat je bepaalde risico analyse moet maken, maar het is natuurlijk kompleet van de pot gerukt dat men denkt dat datgene wat de Nederlandse overheid doet zo belangrijk is dat dat het allemaal maar door moet draaien terwijl de rest van het internet letterlijk wegvalt.

Want wat denk je dat er gebeurt als Azure stopt met bestaan?

Als men dit allemaal zo’n probleem vind moet men eerst maar een stoppen met die achterlijke MS only tenders en het gebruik van MS office. Ook AzureAD is zo’n mooie.

Zelfs al heb je al je zooi on-prem in eigen beheer, dan nog kunnen gebruikers niks omdat de SSO niet meer werkt.

“Ooh excel, word en Outlook doen het niet meer”, daar gaat 90% van alle werkzaamheden.

Aetje @supersnathan94 • 10 oktober 2024 10:35

Het is overigens van de zotte om te bedenken dat het een probleem zou zijn als MS of Amazon failliet zou gaan overigens, maar dat terzijde.

Er zijn ook andere scenarios. Zoals bijvoorbeeld de overheid van de VS die door middel van wetgeving op de data inbreekt waardoor er geen vertrouwelijke data meer op die locatie opgeslagen kan worden. Of een hack van de betreffende clouddienst waardoor de dienstverlening dusdanig verstoord is dat deze dienst niet meer bruikbaar is.

"Wat doen we als de cloud om wat voor reden dan ook niet meer werkt?" is een disaster recovery scenario wat zowel bij overheid als bedrijfsleven vaak als 'gebeurt toch niet' beschouwd wordt. Totdat het wel gebeurt...

supersnathan94 @Aetje • 10 oktober 2024 14:43

Er zijn ook andere scenarios. Zoals bijvoorbeeld de overheid van de VS die door middel van wetgeving op de data inbreekt waardoor er geen vertrouwelijke data meer op die locatie opgeslagen kan worden. Of een hack van de betreffende clouddienst waardoor de dienstverlening dusdanig verstoord is dat deze dienst niet meer bruikbaar is.

Data inbraak heb je encryptie voor. Ook ivm hacks zou je dat sws moeten willen doen. data toegang is onder die wetgeving wel een ding, want dan kun je er gewoon niet meer bij. Dus je moet altijd off site een back-up hebben (wat mij ook wel logisch lijkt)

"Wat doen we als de cloud om wat voor reden dan ook niet meer werkt?" is een disaster recovery scenario wat zowel bij overheid als bedrijfsleven vaak als 'gebeurt toch niet' beschouwd wordt. Totdat het wel gebeurt...

Tsja. Het is ook niet echt een realistisch scenario, maar wel een die je serieus moet nemen, zeker in het geval van data. Processing is makkelijk op te lossen, zeker als je in Kubernetes draait en IaC gebruikt. In principe kan ik al mijn deployments oppakken en apply-en op een nieuw cluster, of dat nou AWS, Azure of bare-metal K8s is, maakt niet zoveel uit. Zal wel wat moeten gebeuren aan de ontsluitingskant (dingen als DNS, ingress en loadbalancers en bijbehorende TLS certificaten), maar laat dat eens een dagje kosten.

Maar dit is dus ook precies waarom ik zei:

Wat Nederlandse instellingen moeten gaan doen is een disaster recovery beleid en exit strategie. En dat kan prima berusten op “we pakken de boel op en schuiven het naar AWS” als ze op Azure zitten.

Exit strategy is belangrijk. Die kun je op meerdere manieren inzetten, ook als disaster recovery.

StCreed @Aetje • 10 oktober 2024 20:01

Ik denk dat je even beter moet kijken naar de definitie van BBN3 en de echte risico's voor die data.

Tot nu toe aantoonbaar nul gevallen van spionage bekend. Maar wel een hele reeks gevallen van gecompromitteerde data door beroepscriminelen. Wat vind je riskanter - dat Ridouan Taghi je adres kent, of de CIA?

Mensen zijn erg slecht in risico analyse, dat blijkt maar weer in deze discussie.

Rob Coops @coolkil • 9 oktober 2024 22:34

Een aantal redenen, een overheid is een extreem logge organisatie waar heel erg veel kapiteins het schip graag willen sturen. Daar komt dan ook nog eens bij dat er naast alle normale bedrijfspolitiek ook nog eens daadwerkelijke politiek bij komt dat het er zeker niet makkelijker op maakt.

aten we zeggen dat de bestuurder van deze nieuwe organisatie gelieerd is aan politieke partij A, en zij die de beslissingen nemen bij politieke partij B zich het meest thuis voelen. Het resultaat is dat men liever niet met elkaar samen wil werken alleen al om die reden, dan is zelfs een heel klein ongemak al snel een reden om niet aan een oplossing te werken en ergens anders te willen shoppen.

Daarnaast is het heel erg de vraag of dit echt nuttig is. Het probleem is dat zelfs met de enorme schaalgrote van de overheid het nog steeds een relatief kleine partij is op de ICT markt. Ook is het gebrek aan kennis binnen de overheid een groot probleem, dit is waarom veel software sterk verouderd is waarom de noodzaak van beveiliging vaak niet wordt begrepen en waarom men niet zelden besluiten neemt op basis van (bedrijfs) politieke gronden in plaats van op basis van wat het beste is voor het project.
Natuurlijk zijn er ook succesvolle projecten maar de geen die falen falen omdat men veel te grote stappen wil nemen zonder de risico's te begrijpen, omdat men de kennis niet heeft en omdat er te veel gepolitiekt wordt.
Als je dat alles weet en je bedenkt dan dat deze nieuwe club een cloud omgeving dient te bouwen die wel veilig is die wel aan alle regels voldoet en die ook nog eens politiek kleurloos is terwijl het wel groot genoeg is om de kosten binnen de perken te houden en redelijkerwijs te kunnen concurreren met commerciele dienstverleners die een veel grotere markt kunnen bedienen dan denk ik dat je al snel de problemen aan zal zien komen.

Daar naast is er ook nog eens de drang naar privatisering in de jaren '80 en '90 heeft men zeer veel overheidsbedrijven afgestoten, KPN, NS, NUTS bedrijven, etc... als men nu een overheidsbedrijf zou beginnen dat moet gaan concurreren met de bestaande commerciele partijen dan zal dat door bijvoorbeeld de EU al heel erg snel neer geschoten worden als niet in lijn met de gedroomde toekomst.

Zelfs als er een wil was om dit te doen, en zelfs als er de kennis, de macht om overheidsdiensten te dwingen en zo voort was zelfs dan zou het simpel weg door de privatiseringsdrang onmogelijk zijn.

Er zijn genoeg semi overheids diensten die services aan de Nederlandse overheid leveren, en die allemaal naast de overheid of wel een commerciele tak hebben of simpel weg bouwen op bestaande infrastructuur van andere commerciele partijen.

Het argument dat de overheid er rekening mee moet houden dat commerciele partijen omvallen toont aan dat ook hier allerlei dingen mis gaan. Ik kan niet op een partij vertrouwen als overheid zijnde. Ook dan moet ik dus ongeveer 2.5x zo veel aan ICT uitgeven omdat ik bij twee partijen in essentie de zelfde diensten af moet nemen en er voor moet zorgen dat deze twee partijen alle twee ten alle tijden het werk van elkaar kunnen overnemen. Dan hebben we het niet eens over de kantoor slaven die deel zullen moeten nemen aan deze tests die werken echt niet gratis over een weekend bijvoorbeeld want gedurende de werkdag kun je moeilijk even een paar uur geen service leveren als overheid zijnde. Dat is naast onbetaalbaar ook erg onzinnig, want hoe groot is de kans dat een van deze partijen omvalt? En mocht dat gebeuren zou het dan niet veel verstandiger zijn voor de overheid om op dat moment te zeggen als noodmaatregel nemen wij de werkzaamheden en het personeel over tot we verhuisd zijn naar een andere dienst verlener dan wel er een oplossing is gevonden in de vorm van een doorstart bijvoorbeeld. (Dus niet de schulden etc, alleen de kritieke dienstverlening en het bijbehorende personeel niets anders, dat geeft de ruimte om een oplossing te vinden en voorkomt dat er nieuwe projecten worden uitgevoerd omdat dat personeel niet als kritiek gezien kan worden)
Het beperkt de kosten enorm en het bied meer bescherming dan pogen twee or meer partijen te vinden die allen de zelfde diensten kunnen en willen verlenen en zo goed met elkaar kunnen integreren dat je als overheid vrijwel ongemerkt de dienstverlening van de een naar de ander kunt verhuizen binnen een paar uur/dagen/weken... terwijl een van deze partijen door financiele tegenslag ten onder aan het gaan is en het zich niet kan veroorloven de inkomsten van de overheidsdiensten ook nog eens kwijt te raken op dat moment.

StCreed @Rob Coops • 10 oktober 2024 20:03

Ik heb ooit gewerkt voor een grote multinational. We hadden de gewoon te om elk jaar het contract voor IT diensten opnieuw af te sluiten. Na een paar jaar ging de overgang naar een nieuwe aanbieder elke keer vlekkeloos.

Je moet het gewoon vaak doen.

Highlands @coolkil • 9 oktober 2024 23:55

Omdat het allemaal gerommel in de marge is. Ook Gaia. Alleen de grote 3 kunnen (PaaS/ Serverless) diensten op enig niveau leveren. De rest loopt 10 jaar achter. Kiezen tussen kwaliteit of ideologie.

oks

@Highlands • 10 oktober 2024 06:49

Wat een armoe opmerking. Het is een kennis redundantie probleem. Het is een cloud hoor. Geen rocket science. Met drie partijen waar we allemaal last van hebben vanwege het monopolie wat daarmee wordt gecreëerd is er helemaal geen sprake van goedkoop. Dit kan anders.

StCreed @oks • 10 oktober 2024 20:05

Een Cloud op deze schaal is geen rocket science? Hoeveel projecten op deze schaal heb je gedaan? Zo te zien nul.

Highlands @oks • 10 oktober 2024 23:01

Nee joh, kijk eens verder dan je IaaS neus lang is. Anders dan de grotere 3 is het gerommel in de marge.

latka @coolkil • 9 oktober 2024 20:53

Omdat MS iedereen naar Office365 duwt en dat kun je niet zelf hosten zal wellicht meespelen.

coolkil @latka • 9 oktober 2024 22:03

Office 365 is een cloud dienst die lastiger te vervangen is maar is zeker niet onmogelijk

sebati @latka • 10 oktober 2024 16:56

Dat is precies waarom MS iedereen naar MS365 duwt: vendor lockin (natuurlijk goed voor MS). De jarenlange "Microsoft tenzij" strategie van overheden (maar niet beperkt tot) gaat nu ontzettend tegen ze werken.

roberttttt @coolkil • 10 oktober 2024 08:08

Ja, zo zou het moeten zijn.
Er zijn wel wat initiatieven, maar die zijn allemaal relatief kleinschalig en vallen onder verschillende departementen en zijn daardoor niet krachtig genoeg.

In de, in mijn ogen, ideale situatie zou er een ministerie voor ICT-zaken moeten komen waar al dit soort activiteiten onder zouden moeten vallen (en verder uitbreiden) en een intern uitzendbureau voor allerlei soorten ICT-activiteiten voor alle onderdelen van de overheid, zodat er geen inhuur meer nodig is.
Dat zou de eigen expertise behoorlijk verhogen, de slagvaardigheid van de overheid verhogen, en de beveiliging verbeteren en waarschijnlijk goedkoper uitvallen dan nu met al die dure inhuur.

Maar ja, zolang we ministers en fractieleiders als digibeten hebben zal dit nooit gebeuren.

Luchtbakker 9 oktober 2024 19:57

Het lijkt mij sterk als je voor een partij als AWS of AZURE kiest dat de kans bestaat dat ze omvallen of stoppen met hun diensten.

Ik zou mij eerder afvragen waarom je sowieso geen eigen omgeving wilt, ipv alles bij een externe partij. Zo enorm complex hoeft het toch niet te wezen? Eigen DC, gespecialiseerd personeel, leger programmeurs en hackers, en je hebt je eigen cloud.

Ja, het kost wat, maar altijd beter dan afhankelijk te zijn van externe partijen.

ibmpc @Luchtbakker • 9 oktober 2024 20:02

Voor dit soort situaties wil je een hybride oplossing. Maar het is gewoon extreem duur om dezelfde mate van beveiliging te krijgen, eigenlijk disproportioneel duur of misschien zelfs ongerechtvaardigd duur waarmee het risico op omvallen van een externe partij als acceptabel risico kan worden gedocumenteerd voor bepaalde diensten (met de nadruk dus op "bepaalde diensten").

[Reactie gewijzigd door ibmpc op 9 oktober 2024 20:03]

Robbierut4 @ibmpc • 9 oktober 2024 20:04

Voor dit soort situaties wil je een hybride oplossing. Maar het is gewoon extreem duur om dezelfde mate van beveiliging te krijgen, eigenlijk disproportioneel duur of misschien zelfs ongerechtvaardigd duur waarmee het risico op omvallen van een externe partij als acceptabel risico kan worden gedocumenteerd voor bepaalde diensten (met de nadruk dus op "bepaalde diensten").

Moet het perse zo duur zijn dan? Voor zover ik weet doet de belastingdienst bijv alles met eigen servers en eigen datacentrum. Kun je niet op een hoop van die infrastructuur en kennis meeliften als andere overheidsprojecten?

Ed Vertijsment @Robbierut4 • 9 oktober 2024 20:14

Er bestaat zoiets: https://www.logius.nl/dom...uctuur/standaard-platform

bertje @Robbierut4 • 9 oktober 2024 20:52

De belastingdienst is ook een ODC (overheidsdatacenter) waar je als overheidspartij dienstverlening (housing etc.) kan afnemen.

Saint2Saint @bertje • 9 oktober 2024 22:53

En dat is beperkt in wat je erop kan en mag draaien. Digid zal je bijvoorbeeld niet zomaar bij de belastingdienst mogen draaien.

Saint2Saint @Robbierut4 • 9 oktober 2024 22:52

Nee, dat gaat niet zo makkelijk als we hier denken. Dat heeft onder andere te maken met eigenaarschap en verantwoordelijkheden.
Volgens de grondwet is een ministerie onafhankelijk en is de minister verantwoordelijk voor een ministerie. Daarom zal bijvoorbeeld de minister van financiën niet snel geneigd zijn om kritieke infra of een applicatie met zeer hoge beschikbaarheidseisen te laten hosten in het datacenter van de belastingdienst. Als er iets gebeurd gaat er of teveel capaciteit naar de kritieke infra of is het de minister die in de kamer verantwoording moet afleggen.

Neemt niet weg dat er wel samenwerking is tussen de vier odc’s

Mellow Jack @ibmpc • 9 oktober 2024 20:09

Het is vaak ook een stappenplan. Stap 1 is iets inrichten bij een provider, migratie project en daarna de nazorg. Praat je al gauw over meerdere jaren. Na al die tijd is het maar de vraag of stap 1 goed is gegaan waardoor stap 2 (uitwijk) überhaupt mogelijk is. Daarnaast is het maar de hoop of de politiek hiervoor wilt betalen

Martinspire @ibmpc • 9 oktober 2024 20:18

Maar je ziet nu ook dat de politie, ministeries als sociale zaken en belastingdienst dingen in de cloud gaan zetten die vrij kritisch zijn. Hoezeer is dat dan nog acceptabel? En het is niet alsof je de kennis voor security volledig kunt uitbesteden. Die mensen zijn toch nog wel in dienst.

oks

@Martinspire • 10 oktober 2024 06:58

Zoals gebruikelijk: men gaat spreadsheet businessmodel jockey spelen. Dat is een heel mooi model voor managers om aan verantwoordelijkheid compartimentalisering te doen en de eigen kosten voor productie middelen weg te managen. Clayton christensen beschrijft dit mechanisme perfect in verschillende lezingen. Terug te vinden op YouTube. Maar dit soort kennis is niet algemeen bekend bij techneuten.

oks

@ibmpc • 10 oktober 2024 06:50

Bij de belastingdienst gebeurt dit al lang. Hoe denk je dat toeslagen draait?

zjeeraar84 @Luchtbakker • 9 oktober 2024 20:04

Er kunnen andere redenen zijn waarom je een exitstrategie bij een cloud provider nodig hebt. Grote hack of storing, of een geschil over de factuur. Als de cloudprovider je afsluit ben je de sjaak en ben je aan de goden overgeleverd om je tenant weer in de lucht te krijgen. Het kan een bewuste keuze zijn dat de kosten van een exitstrategie niet opweegt t.o.v. de impact en het risico, maar sleutelwoord is hierbij bewust. Je hebt er over nagedacht en gedocumenteerd waarom je geen exitstrategie hebt.

fuzzyIon @zjeeraar84 • 9 oktober 2024 20:29

Zou BKR ook alleen in de cloud zitten?

Sandert98

@Luchtbakker • 9 oktober 2024 20:50

Er zijn meerdere overheidsdatacenters die zulke diensten leveren. Een voorbeeld hiervan is OverheidsDataCenter Noord te Groningen: https://www.odc-noord.nl/

latka @Luchtbakker • 9 oktober 2024 20:55

Wellicht niet stoppen of omvallen, maar als Trump morgen aan de macht komt en besluit dat we, omdat we te weinig Navo geld betalen, geen gebruik mogen maken van die diensten heb je ook een probleem. Het komt er op neer dat je dienstverlening in handen is van een partij waar je verdomd weinig controle over hebt. Als je een projectleider bent en er zit zo'n element in je project zal je alles op alles stellen om dat risico eruit te krijgen. Maar als het gaat om het project "hou nederland in de lucht" dan accepteren we dit soort zaken ineens wel. Raar.

StCreed @latka • 10 oktober 2024 20:08

Enig idee hoeveel jouw nogal hypothetische scenario zou kosten qua preventie? Over de 100 miljard is een voorzichtige schatting voor de initiële opzet. Dat is los van de run. Microsoft en co konden dit alleen doen door enorme investeringen over meer dan 10 jaar, terwijl ze al een enorme goed geschoolde groep medewerkers hadden, aan de top van hun vakgebied.

Sterkte bij de overheid met dat scenario.

latka @StCreed • 10 oktober 2024 20:31

Alternatief: niet in de cloud draaien, maar gewoon LibreOffice op de desktop. Mensen op cursus sturen en infra optuigen moet wel lukken voor dat geld.

D43m0n @Luchtbakker • 9 oktober 2024 21:09

Een partij als AWS of Microsoft (Azure) zal niet snel omvallen of uit vrije wil stoppen met diensten. Maar geopolitieke ontwikkelen kunnen hen of ons wel dwingen tot stoppen van (delen) van dienstverlening. Er lopen bijvoorbeeld presidentsverkiezingen in het land waar beide aanbieders een kantoor hebben. Een presidentskandidaat heeft bij z'n eerste termijn afwijkende dingen geroepen en gedaan die wenkbrauwen hebben doen fronsen. De kans is klein, maar niet nul.

Zoals je de voordelen van een eigen omgeving beschrijft lijkt het verbazend dat niet iedereen dat even doet. Alleen hebben we tegenwoordig al een tijdje een (behoorlijk) personeelstekort. Dus al zou je de financiële middelen hebben voor een DC in eigen pand, hoeveel van die financiële ruimte heb je nodig om (vaak duur) gespecialiseerd personeel in dienst te krijgen en te houden? Aangevuld met wel een heel leger aan programmeurs? Gaat het de overheid lukken om zo aantrekkelijk te zijn als werkgever om al dit personeel aan te trekken, laat staan in dienst te houden? Vele CAO's en functie-indelingen geven vaak weinig ruimte om dergelijke specialisten te belonen naar marktwaarde zodat ze überhaupt op gesprek willen komen.

En afhankelijk van de wijze waarop de financiën in de organisatie verdeelt worden; zo'n DC in een pand kost de nodige investering vooraf waarop je over minimaal 4 tot 12 jaar bijvoorbeeld uitsmeert. Bij een cloud-leverancier kun je achteraf betalen naar gebruik, daar staan als het goed is voldoende opbrengsten/inkomsten/begrotingen tegenover.

Je kunt er als overheid ook voor kiezen om een multi-cloud strategie op toe te passen, maar het hangt van de dienst en doelgroep af en de risico's die er mee gemoeid gaan.

WernerL

@Luchtbakker • 9 oktober 2024 20:08

Als bedrijven gewoon stoppen met onnodige micro-services dan kunnen applicaties weer gewoon op een simpele VM gehost worden. Cloud kosten bij veel bedrijven zijn echt achterlijk hoog voor relatief simpele web applicaties.

En ironisch genoeg heb je nog steeds personeel nodig. De Linux / systeem beheerder is vervangen door cloud engineers en devOps specialisten die allemaal net zoveel kosten.

K0L3N @WernerL • 9 oktober 2024 22:06

Maar wat is dan je alternatief voor microservices? Dat is toch de manier om iets nog enigszins modulair/onderhoudbaar op te bouwen?

PD2JK

9 oktober 2024 19:55

Toch maar weer on-prem dan maar? Oh wacht, 99% van de software leveranciers zijn SaaS-only binnen nu en +/- 2 jaar.

coolkil @PD2JK • 9 oktober 2024 20:02

Als genoeg bedrijven weer onprem draaien komen daar vanzelf ook wel weer software pakketten voor. Voor zover die niet gewoon al bestaan

StCreed @coolkil • 10 oktober 2024 20:09

Succes daarmee. Binnen de NL overheid spelen meerdere casussen waarbij leveranciers gewoon domweg geen on prem meer maken en het contract opzeggen. NL overheid is te klein om grote partijen iets op te leggen.

BCC @PD2JK • 9 oktober 2024 20:05

Veel saas software heeft een enterprise on-prem versie middels een docker-container tegenwoordig.

StCreed @BCC • 10 oktober 2024 20:10

Veel? Ik zie het zelden. Het lijkt mij vooral incidenteel en alleen toepasbaar op relatief eenvoudige software.

Bockelaar 9 oktober 2024 19:59

het Rijks Cloud Beleid stelt een exit strategie als voorwaardelijk. Dus als die er niet is heb je je werk niet gedaan. Overigens heb je on-prem ook niet veel kans als je groto monoliet draait op een gesloten database soort/type die ermee stopt. "effe" transformeren en migreren naar een new tech van die monoliet is ook een project van jaren.

[Reactie gewijzigd door Bockelaar op 9 oktober 2024 20:00]

majoh @Bockelaar • 9 oktober 2024 20:00

Exit strategie betekend niet dat je morgen de dienstverlening ergens anders hebt draaien...

Bockelaar @majoh • 9 oktober 2024 20:04

dat hoeft ook niet. Er staat "Nederlandse overheid weet niet wat het moet doen als cloudleverancier stopt". Precies dat schrijf je op in een exit strategie. Die zou je overigens ook voor je datacenter en je hele landschap moeten hebben.

Martinspire @Bockelaar • 9 oktober 2024 20:21

Ik denk dat je dit eerder moet zien als dat de strategieën die er liggen heel mager zijn en men de problemen en tijdsduur onderschat om ergens anders verder te gaan

majoh 9 oktober 2024 20:00

Probleem zijn toch gewoon de kosten. Multi cloud / zelf hosten / etc. Alles kost meer geld dan dat ze het bij eentje hosten.

Meer belasting heffen dan maar?

dev-random @majoh • 9 oktober 2024 20:28

Zelf hosten is afhankelijk van de schaal zeker niet altijd duurder dan b.v. alles in Azure proppen.

moonlander 9 oktober 2024 20:00

Ik zou als ik die cloud leverancier was de prijzen gigantisch verhogen na deze berichtgeving!

PD2JK

@moonlander • 9 oktober 2024 20:07

Dat gebeurt al. Alternatieven zijn er vaak niet, of de kosten van de migratie er naartoe zijn even hoog.
Vendor lock-in speelt dan ook nog mee...

Ik noem maar een Broadcom (VMware, Symentec). Prijsverhogingen die buiten proporties zijn. Microsoft heeft hun prijzen ook pas nog flink verhoogt op Windows Server licenties.

FireStarter 9 oktober 2024 20:21

Geef het nog een jaar of 3-5 en dan gaat alles weer decentraal. Met AI in een private cloud is het weer interessant.

Zo gingen we van het mainframe naar kleine datacenters. Toen weer naar hele grote datacenters. En toen weer naar kleine.

Zo blijven we aan het werk. Zolang het duurt met AI.

NLxAROSA 9 oktober 2024 20:35

Je moet sowieso meer dan 1 leverancier hebben als overheid. Niet alleen vanwege beschikbaarheid, maar ook vanwege kosten. Als de cloud provider weet dat je weg kan, is het makkelijker onderhandelen.

En volgens mij is cloud-native (of liever: cloud-agnostic) al meer dan 10 jaar een ding. Het is niet meer zo moeilijk als vroeger. De meeste services vind je op iedere cloud wel en als je je apps netjes opzet dan draaien ze overal. Technologie als Kubernetes kan daar ook bij helpen (maar heb je niet altijd nodig).

FreezeXJ @NLxAROSA • 9 oktober 2024 21:21

Probleem zit em ook niet in containers opspinnen maar in de infra, directe verbindingen naar beveiligde netwerken, gegarandeerd secure locaties, bereikbaarheid voor andere partijen die ook al niet op 'internet' zitten. Dat kan natuurlijk ook op clouds, maar is vaak wel meer regelwerk, en certificering.

jmmk 9 oktober 2024 20:16

Voor zover ik weet heeft Apple zowat de helft van z'n icloud bij AWS ondergebracht terwijl Google (eerst Azure) zowat de andere helft host. Het restje doen ze op eigen servers.
Daar zal echt wel redundantie en een exit in zitten, al was het alleen maar om de leveranciers tegen elkaar uit te spelen.
Het kán dus wel...

sebati @jmmk • 10 oktober 2024 17:20

Natuurlijk kan het, als je het maar op schaal doet.

dasiro 9 oktober 2024 20:34

dus een overheidsdienst zegt dat de andere overheidsdiensten te complex zijn en regels maken omdat ze niet aan de regels voldoen, waardoor er nog meer regels zijn. Ik heb flashbacks naar Asterix en het vrijgeleide A38 en dan vooral het stuk van vrijgeleide A39

Op dit item kan niet meer gereageerd worden.

AP: Nederlandse overheid weet niet wat te doen als cloudleverancier stopt

Lees meer

IT-banen

Reacties (138)

Sorteer op:

Weergave: