Is er nou echt zoveel mis met het Rijksbreed cloudbeleid?
Half oktober stuurde de staatssecretaris voor digitalisering, Zsolt Szabó, een brief1 naar de kamer waarin hij aangeeft dat begin volgend jaar (2025) de rijksoverheid het Rijksbreed cloudbeleid gaat herzien. De belangrijkste reden hiervoor is de invloed van Amerikaanse leveranciers van clouddiensten (Amazon, Microsoft, Google, etc.) binnen de gehele rijksoverheid, het belang van (of gebrek aan) data-soevereiniteit én de angst voor een vendor lock-in. Maar is een herziening van het Rijksbreed cloudbeleid wel nodig? Kunnen we niet bij het begin beginnen met het überhaupt correct uitvoeren van het cloudbeleid zoals dat is vastgesteld?
Het gebrek aan strategie... en het belang ervan
Zoals ik in het artikel “Hoezo een cloudstrategie, we hebben toch een Rijksbreed cloudbeleid?” heb beschreven, hebben overheidsorganisaties met het nieuwe cloudbeleid een vangrail in de vorm van beleidskaders voor de snelweg ‘cloud’ gekregen. Maar in dit artikel constateerde ik ook dat organisaties geen borden met routeaanduidingen voor de bestemming hebben gekregen én al helemaal niet meegekregen hebben wat de (eind-)bestemming zou moeten zijn. En dit laatste is exact waar een cloudstrategie in zou moeten voorzien.
Uit de brief van de staatssecretaris1 blijkt dat niet alle departementen ten tijde van de door de Auditdienst Rijk (ADR) uitgevoerde evaluatie2 een eigen cloudsbeleid (oftewel cloudstrategie) hebben opgesteld. Departementen die wel een cloudbeleid hebben, gebruiken vaak aangepaste versies van hun al bestaande beleid, opgesteld volgens de richtlijnen van het Rijksbrede cloudbeleid of adopteren het Rijksbreed cloudbeleid en maken deze organisatie specifiek. De staatssecretaris vermeldt hierbij dat: “Hierdoor is het mogelijk dat niet alle voorwaarden uit het rijksbrede cloudbeleid zijn vertaald of overgenomen in uitvoering bij die organisaties”. Dat is een belangrijke constatering, want ligt het probleem nu bij het Rijksbreed cloudbeleid zelf? Óf vooral bij het gebrek aan een goede (cloud)strategie? In mijn beleving is het vooral het laatste en dat is ook waar ik in mijn vorige artikel voor waarschuwde.
Overigens zijn de departementen niet bevraagd op hun cloudstrategie. Dit is in mijn ogen een grote omissie van het onderzoek en de evaluatie van de ADR, immers alles begint met een strategie. We moeten richting geven (aan de hand van een strategie) voordat we überhaupt kunnen gaan inrichten en verrichten.
Bij de opdrachten die ik uitvoer ervaar ik dat opdrachtgevers vaak al de stap naar de cloud hebben gemaakt. Waarbij zij dan oplossingen gebruiken zoals: Azure Virtual Desktops, cloud-gebaseerde data platforms, Exchange Online of het organisatie breed gebruik van Microsoft 365. Schrijnend is het dan om te constateren dat er vaak geen cloudstrategie bestaat bij deze organisaties. Daarmee is de vraag gerechtvaardigd: is het Rijksbreed cloudbeleid de boosdoener óf ligt dit aan het feit dat (overheid-)organisaties geen heldere strategie hebben op het gebruik en de inzet van de cloud?
Niet alleen de weg naar de cloud, maar ook de ‘exit’
Naarmate meer (overheids-)organisaties gebruik gaan maken van publieke cloudiensten neemt ook het belang van goede exit-afspraken toe. Dat deze afspraken in de praktijk relevanter worden blijkt ook uit de zorgen over exitdrempels en de getroffen maatregelen die tijdens de evaluatie van de ADR naar voren zijn gekomen. De crux in dit geval is: in het Rijksbreed cloudbeleid, zoals die in 2022 is vastgesteld, staat dat departementen naast een eigen cloudbeleid en -strategie, ook altijd een ‘exitstrategie’ moeten hebben. Ook het verplichte ‘Implementatiekader risicoafweging cloudgebruik’, wat onderdeel is van het Rijksbreed cloudbeleid, vereist dat (overheids-)organisaties een exitstrategie moeten opstellen met een aantal verplichte onderdelen. Aandachtspunten daarbij zijn: interoperabiliteit, dataportabiliteit, het stellen van voorwaarden aan leveranciers, alternatieven, budget in een situatie van regulier vertrek en onvoorzien (spoed) vertrek.
Wat we in de praktijk zien is dat de exitstrategie is opgenomen in de overeenkomst met de cloudleverancier. Maar het opnemen van deze ‘exitstrategie’ in de overeenkomst is een stap te ver, dan is het een exitplan en géén exitstrategie. Een exitstrategie is namelijk een cruciaal onderdeel van de cloudstrategie en moet leveranciersonafhankelijk zijn. In de overeenkomst met een cloudleverancier dus een, uit de exitstrategie afgeleid, exitplan zijn opgenomen.
Waar het mis gaat is dat het Rijksbreed cloudbeleid en implementatiekader geen handvatten bieden over de verdere inhoud van de exitstrategie. Daarnaast legt het cloudbeleid geen verband met de door organisaties op te stellen cloudstrategie. Dit laatste is relevant omdat, zoals eerder gezegd, strategiekeuzes aan de voorkant (het richten) van invloed zijn op de opties/keuzes bij een exitplan.
Kortom, bij het uitwerken van de cloudstrategie moeten organisaties direct de exitstrategie voor het betreffende deelgebied uitwerken en meewegen bij de te maken strategiekeuzes. Hierbij is het van belang onderscheid te maken tussen een exitstrategie en een exitplan.
Is het Rijksbreed cloudbeleid perfect?
Mijn conclusie: Nee, het Rijksbreed cloudbeleid is niet perfect, maar is de aangekondigde herziening écht nodig? In mijn ogen niet. Laten we starten met het correct uitvoeren van het huidige cloudbeleid en ons daarbij meer focussen op strategie (zowel cloud als exit) om te zien hoe dat ons eens vergaat.
Heeft u hierbij hulp nodig of wilt u hier met ons over sparren? Wij bij Highberg helpen u graag vrijblijvend verder. Neem gerust contact op met Daan van Horssen of Joost van Lier.
Gerelateerde Insights
