Cloudmigratie Stichting BKR: “Een goed moment om te breken met oude gewoonten”

Stichting BKR houdt sinds jaar en dag kredietverplichtingen in Nederland bij in het Kredietregister. Minder bekend zijn de andere taken die BKR doet, zoals op het gebied van fraudebestrijding en schuldhulpverlening. De afgelopen jaren moderniseerde de organisatie de IT-systemen: de mainframe-omgeving is ingeruild voor Azure, systeembeheerders werden developers en de manier van werken binnen productteams is inmiddels nagenoeg test-driven.

Waarom we eigenlijk een Kredietregister nodig hebben? “In 1965 reed boer Harmsen op zijn fiets naar de plaatselijke bank om geld te lenen. Vervolgens reed hij door naar een ander filiaal voor nog meer krediet, en dit herhaalde hij nog een paar keer. De banken wisten dit niet van elkaar en ondertussen had Harmsen te veel hooi op zijn vork genomen.” Aan het woord is Dirkjan van Zoelen, devops-expert bij Stichting BKR, een organisatie die al bijna zestig jaar geleden in het leven werd geroepen om verantwoorde kredietverstrekking mogelijk te maken, op basis van het Kredietregister. Nog altijd is dit een van de strategische domeinen van de stichting, naast het voorkomen van identiteits- en financiële fraude. Daar is vroegsignalering van financiële problemen bijgekomen, en het schuldhulpregister. BKR trekt daarbij op met gemeenten en schuldeisers om problematische schuldontwikkelingen bij huishoudens vroegtijdig te signaleren, aan de hand van signalen van zorgverzekeraars en gas-, water- en elektriciteitsbedrijven.

Bijna de helft van alle medewerkers is IT’er

Stichting BKR is voor Nederlandse kredietinstellingen onmisbaar, en in het functioneren van BKR is IT onmisbaar. “In Nederland kan niet op een verantwoorde manier krediet worden verstrekt als wij uit de lucht zijn. Kredietverstrekkers moeten kunnen controleren welke financiële verplichtingen een klant al heeft, om hem goed te kunnen beoordelen. Wij zijn een soort nutsinstelling. Naast het Kredietregister voeren we echter ook andere systemen, waarmee banken onder andere kunnen toetsen op fraude, oplichting en witwaspraktijken.” Inmiddels is ongeveer de helft van de 135 medewerkers tellende organisatie in het Gelderse Tiel IT’er. Deze IT’ers zijn met name verdeeld over een aantal zogeheten ‘BizDevOps’-teams en teams voor Enterprise Data Warehousing en Business Intelligence.

“Data-analytics vinden wij heel interessant, maar we houden er wel een duidelijke visie op na. We zijn wars van big data; data verzamelen omdat je toevallig informatie tegenkomt, gebeurt hier niet. We werken met Society Trusted Data, zoals wij dat noemen binnen BKR; door BKR verwerkte data is feitelijk, objectief en altijd herleidbaar naar de bron. Vanwege strenge richtlijnen, waaronder de AVG, maar ook omdat we hier zelf van overtuigd zijn. We verzamelen alleen de data die echt nodig is, en niet omdat we toevallig eens een Twitter-feed hebben gescraped om er de kredietwaardigheid van mensen van af te kunnen leiden. Andere bedrijven doen dat misschien wel, maar laat ik het zo zeggen: daar vinden we iets van.”

Veel zelfgebouwde systemen

De BizDevOps-teams ontwikkelen producten binnen de vier strategische domeinen (kredietregistratie, identiteitsfraude, financiële fraude en schuldhulpverlening) en zijn daarmee steeds meer scrum- en agile-minded. Dirkjan: “Dit groeit binnen onze organisatie, dus we werken met backlogs, user stories en sprints, en leveren ook producten op met automatische release pipelines en bij voorkeur zonder onderbreking van de dienstverlening. Denk daarbij aan databasesystemen, webservices en api’s, maar ook aan frontend-functionaliteiten en -portalen. We zijn vooral een Microsoft-huis. Eén van onze principes is ‘Microsoft, tenzij’ en daar houden we ons zoveel mogelijk aan. Daarom kiezen we nu bijvoorbeeld ook voor Azure als cloudoplossing. Het merendeel van onze backend, maar ook middleware- en frontend-systemen, bouwen we zelf. We hebben een buy before make-beleid, maar een systeem zoals het Centraal Krediet Informatiesysteem (CKI) koop je niet zomaar op de markt, dat moet je zelf bouwen.”

“Doordat Microsoft zijn strategie wijzigde naar cloud-first wisten we: daar moeten wij ook naartoe.”

Van on-premises naar de cloud is de laatste jaren de belangrijkste IT-ontwikkeling bij BKR. Sinds kort draaien het Kredietregister en alle bijbehorende applicaties in Azure. “We zijn in 2017 echt begonnen met het loslaten van onze mainframe-architectuur”, zegt Dirkjan. "Wij wilden hier geen lift & shift-scenario, maar direct de moderne Microsoft Azure-bouwstenen benutten. De architectuur is dus meteen vernieuwd." Dirkjan werkt inmiddels dertien jaar bij BKR; aanvankelijk als tester, inmiddels als chapter lead van de testafdeling, devops-expert en change manager. “We werkten op een verouderd platform waarvan de leverancier al had aangegeven dat hij uit de hardwaremarkt wilde stappen. Nu was het niet zo dat het platform niet functioneerde - een mainframe krijg je niet zomaar onderuit - maar het kostte ons wel heel veel moeite om er moderne interfaces op te ontwikkelen.” In eerste instantie werd gedacht aan het zelf bouwen van een platform in .NET en was de cloud nog niet de doelomgeving. Nadat verschillende IT-medewerkers van BKR een leerpad in continuous delivery aan de Universiteit Utrecht hadden gevolgd, veranderde deze visie. “We zagen dat deze wereld zich keihard ontwikkelde. Daarbij kwam dat ook Microsoft zijn strategie heeft gewijzigd naar cloud-first. Dat betekende voor ons dat wij daar ook naartoe moesten, als we wilden profiteren van nieuwe ontwikkelingen.”

Verkennen van nieuwe trends

Na enkele pilots verdween langzaam de ‘cloudwatervrees’ die aanvankelijk bestond als het ging om de cloud. “De vragen zoals ‘wat is het, waar staan onze systemen dan en is het wel veilig genoeg?’ zijn we inmiddels wel voorbij. Inmiddels zijn we met ons kernsysteem overgestapt naar een hypermoderne architectuur in de Azure-cloud. Onze oude omgeving hebben we in november uitgefaseerd. Dat was op dat moment al geen echt fysiek mainframe meer, maar een virtueel mainframe in een VM op een hyper-V-host. Enkele andere systemen volgen nog. Daarvoor kijken we nu of we ze op dezelfde manier willen onderbrengen, of daar nog nieuwe dingen voor willen proberen. Containers vinden we bijvoorbeeld een interessante ontwikkeling. Daar hebben we nu nog niks mee gedaan, omdat de overstap van ‘old-school’ Microsoft en mainframe naar Azure al groot genoeg was. Maar de ontwikkelingen staan niet stil en die willen we natuurlijk wel verkennen. Ik denk dat we wat dat betreft leuke jaren tegemoet gaan.”

“We dagen onszelf uit om alles met pipelines te doen en met infrastructure-as-code te werken”

De vraag is of er nog nadelen aan de cloudmigratie kleven. “Sinds november is onze terminalkennis aan het wegzakken”, lacht Dirkjan. Wat serieuzer vertelt hij: “Het is ons duidelijk geworden hoeveel moderner de nieuwe omgeving is. Vergelijk het met een proefrit met een nieuwe auto. Tot het moment dat je erin stapt, denk je misschien dat je al die jaren in een leuke auto reed, maar dan zie je ineens hoeveel beter uitgerust een moderner type is. Bij Azure gebruiken we bijvoorbeeld Application Insights om te zien wat er met onze software gebeurt. De migratie is ook een goede manier geweest om te breken met oude gewoonten. We dagen onszelf uit om alles met pipelines te doen en met infrastructure-as-code en desired state configuration te werken. Dat is anders dan we gewend waren, en je ziet dat de systeembeheerdersrol in de cloud meer naar die van een developer beweegt. Dat vind ik ook leuk om te zien bij mijn collega’s, die op zoek gaan naar manieren om slimmer te automatiseren en daar ook heel enthousiast over zijn. Het zorgt echt voor een frisse wind in de organisatie.”

Geen AI als black box

Containerization, automated testing en analytics zijn enkele gebieden waar BKR de komende jaren vol mee aan de slag gaat. Door de nieuwe manier van werken is dat goed mogelijk. “Sinds vorig jaar hebben we componenten in ons Kredietregister draaien om datamatching mogelijk te maken, waardoor gegevens aan de juiste personen worden gekoppeld. Dit moet heel zorgvuldig gebeuren, met een matchingbrein waarvan we weten hoe het werkt, dus geen AI als ‘black box’. Vanwege onze maatschappelijke relevantie hebben we verschillende analytics-toepassingen gebouwd, waaronder de Hypotheekbarometer en de Schuldenmonitor. Daarbij kijken we verder naar mogelijkheden met onder meer Microsoft Synapse en datalakes, waarbij we rekening moeten houden met principes zoals grondslag en doelbinding die in de AVG zijn beschreven. Daarnaast is er nog de manier waarop we ontwikkelen in onze teams, die inmiddels al dicht tegen test-driven aanzit. Op sommige gebieden zetten we SpecFlow in, een automation framework voor .NET, en we gebruiken Tosca als tool om testen te automatiseren voor UI-componenten en api’s. Dat is belangrijk, want kwaliteit staat hoog in het vaandel voor BKR. We moeten immers een betrouwbare partner zijn voor onze klanten.”

Meer weten over Stichting BKR, of benieuwd of er vacatures openstaan die passen bij jouw profiel? Check het hier.