Organisaties staan intern voor de nodige uitdagingen als zij naar de cloud bewegen. Denk aan het inrichten van de regie-organisatie, het op de juiste manier vertalen van de businesswensen naar cloud-oplossingen en de inrichting van een cloud-gebaseerde werkplek. In deze adviestrajecten zie je regelmatig ook uitdagingen aan de kant van de leveranciers, wat dan leidt tot een kip-en-ei-probleem.
Gemeenten maken, als het goed is, een cloudstrategie met een businesscase. Het starten met migreren van één of meer kernapplicaties (burgerzaken-, het werk, inkomen en zorg-applicatie) naar de cloud is voor gemeentelijke organisaties het meest rendabel. Maar juist deze kernapplicaties zitten sterk verankerd in het applicatielandschap én zijn niet klaar voor een gang naar de cloud. Ziehier het kip-en-ei-probleem.
Als we dit probleem uiteenrafelen, identificeren we voor diverse thema’s uitdagingen: organisatie (regie), financieel, inkoop, architectuur en informatiebeveiliging.
Organisatie (regie)
Het gebruik van cloud-omgevingen betekent dat de rol van it verandert. De technisch beheerder van nu is overbodig. Deze verantwoordelijkheid ligt immers bij de leverancier. Tegelijkertijd moet de functioneel beheerder op een nieuwe manier de verbinding tussen de business en de leverancier invullen. Kortom, de organisatie moet bewegen van uitvoering naar regievoering. Deze verandering is niet eenvoudig en vraagt andere kennis, vaardigheden en competenties. Daar komt bij dat gemeenten moeite hebben de juiste expertise te werven, de arbeidsmarkt voor ict’ers is flink overspannen.
Juist de genoemde rollen hebben veelal een negatieve blik op clouddiensten en leveranciers. Dit is terug te voeren op negatieve ervaringen, waarbij de transitie van applicatie(s) naar de cloud suboptimaal is uitgevoerd en de organisatie de benefits niet kon plukken. Ook willen gemeenten zich niet binden aan één leverancier (de vendor lock-in).
Financieel
De financiële, ofwel business driver, is binnen gemeentelijke organisaties vaak moeilijk aan te tonen. Het verhuizen naar een saas-oplossing zien organisaties als de duurdere optie. In de businesscases, waarin zij een vergelijking maken tussen saas en on-premise, zijn alleen de huidige direct aanwijsbare kosten opgenomen. Deze kosten bevatten dan reeds aangekochte, afgeschreven en niet ondersteunde hardware en zeer beperkte licentiekosten. Deze appels-met-peren-vergelijking gebruiken organisaties vervolgens om een besluit uit te stellen óf om opnieuw op de klassieke leest aan te besteden.
Tegelijkertijd zit hier een kans. Gemeentelijke it-organisaties krijgen van de gemeenteraad een budget voor investeringen toegewezen. Wanneer gemeenten kosten richting opex brengen ontstaat een vaste cashflow, waar gemeenteraden niet aan tornen en daarmee vastigheid richting de toekomst geven. Dit zou een gang naar de cloud ondersteunen.
Partijen zoals Centric en Pink voeren de (door)ontwikkeling van applicaties voor eigen rekening en risico uit. Aan de hand van trends en nieuwe wetgeving voegen leveranciers functionaliteiten toe óf zijn applicaties opgenomen in complexe applicatielandschappen. Hierdoor zetten leveranciers niet zomaar de door hen, in jaren, ontwikkelde lokale applicatie om naar saas. Dit vergt een flinke investering van de leverancier die zich moet uitbetalen.
Inkoop
Op het gebied van inkoop zijn overheidsorganisaties niet ingericht op pay-as-you-go-concepten. Door de overstap van on-premise datacentra naar de cloud, verandert het inkooptraject van het aanschaffen van licenties en apparatuur, naar het afsluiten van een gebruiksovereenkomst of abonnement. Dit zorgt voor onbekendheid, waardoor gemeentelijke organisaties tóch kiezen voor een traditionele Europese Aanbesteding.
In de Europese Aanbesteding werken gemeenten vaak met een vastgestelde set functionaliteiten. Binnen deze set zijn onvoldoende eisen opgenomen om een saas-applicatie af te dwingen. Anders gesteld: een leverancier die een honderd procent saas-oplossing levert kan zich op punten niet onderscheiden. Daarnaast zijn de prijsmodellen gericht op de klassieke delivery vorm en daarmee minder gunstig voor een honderd procent saas-leverancier.
Andersom moet de leverancier een duidelijke saas-propositie aanbieden. Gemeenten zullen niet naar saas migreren als niet duidelijk is wat het voor ze betekent en welke voordelen dit geeft. Leveranciers zullen hun klanten volledige en transparante inzage moeten geven in de inhoud van de saas-propositie (zowel functioneel als niet functioneel). Hierbij is het belangrijk dat leveranciers regelmatig hun visie, innovaties en roadmap presenteren en bespreken, waarbij aandacht is voor landelijke ontwikkelingen (denk aan Common Groud). Om de transitie en de daarbij horende kosten inzichtelijk te maken, moet de leverancier de klant meenemen in de businesscase. Deze case beschrijft met welke kosten de klant te maken krijgt, de verhouding tot de bestaande kosten én welke stuurmogelijkheden de klant heeft.
Architectuur
De markt voor overheidssoftware heeft nog een been bij te trekken als het gaat om de levering van saas-applicaties. Applicatieleverancier bieden oplossingen nog te vaak aan als een zogeheten ‘Hosted solution’ en niet als saas-dienst, waardoor de gemeente zeer beperkt de voordelen van de cloud ervaart.
Ook zijn gemeentelijke applicatielandschappen niet ‘loosely coupled’. Als gemeentes één applicatie uit het landschap halen en die naar de cloud brengen is het de vraag wat dit met koppelingen én andere applicaties doet. Daar komt bij dat koppelingen veelal niet gedocumenteerd zijn. Het volledig naar de cloud brengen van een applicatielandschap is daarmee een (te) grote opgave. Een goede it-architectuur met servicebussen en ontkoppelingen helpen om meer inzicht te geven aan zowel gemeentes als leveranciers.
Informatiebeveiliging
Bij overheidsorganisaties leeft het beeld dat alles wat niet binnen de eigen muren staat onveilig is. Dit schrikbeeld moeten leveranciers en gemeenten gezamenlijk doorbreken. Als we objectief naar certificeringen kijken, halen gemeenten (bijna) nooit de certificaten die een ervaren leverancier wél heeft. Een ervaren leverancier heeft een ISO27001-certificaat maar liever een ISAE3402-verklaring. Als de leverancier beschikt over deze laatste verklaring is de informatiebeveiliging bij de leverancier beter op orde dan bij de meeste gemeentelijke organisaties. Daar komt bij dat leveranciers, zeker de grotere, plannen hebben om een soc in te richten met een siem-oplossing. Hiermee zijn leveranciers in staat om sneller, adequater en effectiever in te spelen op dreigingen dan individuele organisaties.
We moeten erkennen dat de geleverde cloud-oplossingen in veel gevallen veiliger zijn dan de on-premise gemeentelijke datacenters. Zeker aan de hand van de recente voorvallen (Hof van Twente, Universiteit van Maastricht, VDL) moeten we dit gesprek opnieuw en beter vorm geven.
Conclusie
Kortom, wij blijven benadrukken dat voor gemeenten de overstap naar de cloud op dit moment de meest logische is. Door de krapte op de arbeidsmarkt en de snelheid van ontwikkelen is dit de logische stap. Leveranciers zien wel dat zij deze stap moeten zetten, maar wachten om economische redenen af. Wij adviseren leveranciers én gemeenten om met elkaar in gesprek te gaan en realistische tijdspaden schetsen om on-premise of hosted applicaties om te bouwen naar saas. Daarmee kan een gemeente écht de vruchten plukken van de gang naar de cloud. En als dat geldt voor de gemeente, geldt dat ook voor de leverancier.
(Auteur Joost van Lier is senior-adviseur bij Verdonck, Klooster & Associates)