Het lijkt er sterk op dat er een “Rijkscloud” gaat komen. Althans, de Tweede Kamer wil het en de regering lijkt er ook oren naar te hebben. Daarnaast is er duidelijke maatschappelijke steun en internationaal beseft men dat we niet te lang moeten wachten om stappen te zetten richting digitale soevereiniteit. De wereld is onrustig en de relatie met onze traditionele bondgenoot in Amerika is in korte tijd sterk veranderd.
Het is nog een lange weg en belangrijke vragen moeten nog worden gesteld en beantwoord. Er zijn talloze valkuilen: verkeerde keuzes, bureaucratische vertragingen en structuren die zo langzaam werken dat ze de snelle technologische ontwikkelingen niet kunnen bijhouden.
Dit betekent echter niet dat het onmogelijk is, dat het project tot mislukken gedoemd is of dat we er niet aan moeten beginnen. We moeten dit doen, het is haalbaar en we hebben de kennis en kunde in huis. Maar laten we wel goed nadenken over wat voor project we precies opzetten en wat we uiteindelijk willen bereiken.
Dutch Cloud Community juicht het initiatief toe. Samen met onze leden willen we graag, in overleg met de overheid en andere stakeholders, bijdragen aan een soevereine en onafhankelijke cloud infrastructuur voor Nederland. De onderstaande vragen stellen we dan ook niet om het idee te torpederen maar om een eerste voorzet te geven over de cruciale punten waar we de komende maanden gezamenlijk over moeten nadenken.
Wat willen we? Wat bedoelen we met een Rijkscloud?
Een goed startpunt is de vraag wat we precies bedoelen met een Rijkscloud?
Hebben we het over één centrale overheidscloud, gehost in (meerdere) overheidsdatacenters (ODC’s)? In zekere zin bestaat dit al. Bepaalde IT-diensten van de overheid draaien momenteel in ODC’s, volledig afgesloten van inmenging van buitenaf. Dit geldt met name voor gevoelige diensten zoals die van Defensie en de AIVD.
Kunnen we deze infrastructuur verder uitbreiden? Kunnen hier eenvoudig nieuwe functionaliteiten aan worden toegevoegd? (voor zover wij begrijpen is het op dit moment grotendeels een IaaS-platform.) Wat is hiervoor nodig op het gebied van personeel, capaciteit, energievoorziening, ruimte en apparatuur?
Of moet de Rijkscloud een bundel worden van clouddiensten van verschillende aanbieders? Moet deze worden ondergebracht in overheidsdatacenters of juist in meerdere commerciële datacenters? Dit laatste lijkt voor de hand te liggen als we snel willen beginnen. Maar onderschat de complexiteit van de orkestratie van zo’n multi-Rijkscloud niet.
Welke data en workloads moeten ernaartoe?
Om deze vraag te beantwoorden moeten we eerst duidelijkheid krijgen over een andere fundamentele kwestie: wat doet de overheid vandaag in de clouds van de hyperscalers?
Op dit moment heeft niemand een volledig overzicht van welke diensten door welke overheidsinstanties in welke clouds draaien. Er is niet eens bekend hoeveel er wordt uitgegeven aan bijvoorbeeld Microsoft en waarvoor.
Dus is het ook onduidelijk welke van deze diensten in de toekomst kunnen worden gemigreerd naar een Rijkscloud.
Daarnaast gaat het niet alleen over de landelijke overheid. Ook provincies, gemeenten en waterschappen maken gebruik van diverse clouddiensten. Zonder een compleet beeld van deze versnipperde infrastructuur is het onmogelijk om te bepalen hoe groot en hoe robuust de Rijkscloud moet worden.
Welke diensten moeten we bouwen?
Daarnaast is onbekend van welke specifieke cloud functionaliteiten overheidsdiensten afhankelijk zijn. Dit betekent dat we (nog) niet kunnen vaststellen welke functionaliteiten een soevereine Rijkscloud moet bevatten om deze diensten draaiende te houden. Er is simpelweg geen centrale registratie van deze afhankelijkheden.
We weten dat Azure, AWS en Google functionaliteiten aanbieden die in Nederland en Europa nog niet beschikbaar zijn. Maar welke van deze functies zijn écht noodzakelijk voor de overheid? Zolang we dat niet weten, kunnen we ook geen mensen aan het werk zetten om alternatieven te ontwikkelen. Investeren in een oplossing zonder te weten waarin je investeert is zinloos.
Pas als we dit in kaart hebben gebracht, kunnen we vragen beantwoorden zoals:
- Hoe complex is het om deze functionaliteiten zelf te bouwen?
- Hoelang gaat het duren?
- Hoeveel gaat het kosten en wie betaalt de rekening?
Een extra uitdaging is dat er geen centraal orgaan is dat alle CIO’s van overheidsinstanties kan verplichten om deze informatie te verzamelen en aan te leveren. Zelfs de minister heeft dat gezag niet over alle inkopers. Veel beslissingen uit het verleden zijn bovendien genomen op basis van functionele behoeften van opdrachtgevers ( en die willen vooral geen gedoe). De opdrachtgever specificeert primair wat men wil hebben en niet zozeer HOE dit geleverd moet worden. Een goed voorbeeld hiervan is de veelvoud aan SaaS applicaties. De softwareproducent/SaaS aanbieder heeft een eigen IaaS/PaaS keuze/afweging gemaakt. Die keuze heeft de opdrachtgever in dat geval helemaal niet gemaakt.
Hoe krijgen we overheden in een nieuwe Rijkscloud?
Zelfs als er een Rijkscloud komt betekent dat nog niet dat overheden deze automatisch gaan gebruiken. Er is geen centrale autoriteit die CIO’s kan dwingen om diensten te migreren. Om dit te regelen zou mogelijk wetgeving (of zelfs de grondwet) aangepast moeten worden; een discussie die we graag aan experts overlaten.
En als er eenmaal beleid is waar alle instanties bereid zijn om mee te gaan, komt het moment van executie: prioriteiten stellen, een volgorde bepalen, spelregels opstellen, migraties uittekenen en foutloos uitvoeren. Dit wordt een project van faraonische proporties dat wij alleen voor elkaar gaan krijgen door hele strakke samenwerking met een groot aantal spelers.
Waar moeten Europese aanbieders aan voldoen?
Het ligt echt voor de hand om de Nederlandse en waarschijnlijk ook de Europese sector bij de plannen te betrekken. Daar is al capaciteit en expertise; daar staat en draait al van alles. Dat is sneller en efficiënter dan te proberen om alles in een gesloten overheidsomgeving te bouwen.
En ook hier zal een aantal vragen gesteld en beantwoord moeten worden.
Zoals: aan welke criteria moeten de private partijen voldoen om te kunnen leveren? Welke eisen gaan wij aan ze stellen? Welke certificaten? Kunnen wij met de (steeds weer uitgestelde) EUCS, of EUCS+ (met soevereiniteit eisen) werken? Moeten wij ons laten inspireren door het Franse SecNumCloud? Iets anders? Voldoen de bestaande standaarden? Moet er iets nieuws ontwikkeld worden?
Welke technische standaarden willen wij adopteren? De concrete ingrediënten zijn aanwezig zoals: Haven en Opensourcewerken. Wij zullen daar een besluit over moeten nemen en er vervolgens voor moeten zorgen dat iedereen op dezelfde manier kan leveren. Kunnen wij gebruik maken van de gedistribueerde, federatieve oplossingen zoals die van Ecofed en zo ja, wat moet daar allemaal voor gebeuren?
Hoe coördineren wij dit alles met andere Europese landen die voor dezelfde uitdagingen staan om te voorkomen dat wij een gebalkaniseerd Europees cloud landschap krijgen waarmee wij straks nog verder van huis zijn.
Welk type contractuele afspraken moeten wij met elkaar maken?
Wij zullen aan de slag moeten met raamovereenkomsten waar Nederlandse en Europese marktpartijen op kunnen intekenen om mee te kunnen doen. Dit zal ook in overleg met de rest van de EU-landen moeten gebeuren.
Conclusie
Dutch Cloud Community steunt het initiatief en is ervan overtuigd dat het haalbaar is. Dit vraagstuk is niet te complex om op te lossen maar het vereist wél zorgvuldige planning, samenwerking en realistische verwachtingen.
Met deze analyse hopen we een constructieve bijdrage te leveren aan de discussie. De overheid kan en moet dit project niet alleen uitvoeren. De komende maanden hebben we elkaar hard nodig!
Dutch Cloud Community blijft niet afwachten, maar onderzoekt samen met haar leden en partners wat mogelijk is en hoe dit vormgegeven kan worden. Wil je meedenken en meedoen? Sluit je dan aan!
