Privacy & de cloud in de praktijk: beleid

Show Notes

Hoe combineer je werken met én in de cloud met de bescherming van persoonsgegevens en de beveiliging van informatie? In de tweede aflevering van de podcastserie ‘Privacy & de cloud in de praktijk’ hebben we het met Ferjan Ormeling (Strategisch Beleidsadviseur Cloud, CIO Rijk) onder andere over cloudbeleid, geopolitiek en samenwerken binnen de Nederlandse overheid.

​De podcastserie is mede mogelijk gemaakt door CIO Rijk. 

Transcript

Ferjan Ormeling: Aan de ene kant denk ik dat we op dit moment in de fase bewust-onbekwaam zitten. We zijn ons bewust van het feit dat we een risico zijn gaan lopen, maar we zijn ons nog niet helemaal bewust van de grootte van dat risico.

Walter van Wijk: Dit is een aflevering in de podcastserie Privacy en de Cloud in de praktijk, geproduceerd door het Centrum Informatiebeveiliging en Privacybescherming, het CIP. De invalshoek in deze serie is: hoe combineer je werken met en in de cloud met bescherming van privacy?

Ferjan Ormeling: Ik denk dat de CTO zijn huiswerk moet doen. Zorg ervoor dat je een goed beeld hebt van welke cloud-applicaties je op dit moment gebruikt.

Walter van Wijk: Mijn naam is Walter van Wijk en ik heb vandaag te gast: Ferjan Ormeling, strategisch beleidsadviseur Cloud bij CIO Rijk. We hebben het vandaag over de cloud en het CTO perspectief op die cloud. Ferjan, je bent pas sinds kort ambtenaar en daarvoor werkte je jarenlang bij Microsoft. Sommigen zouden het omschrijven als: je hebt een overstap gemaakt vanuit de Darkside. Hoe bevalt dat?

Ferjan Ormeling: Tot nu toe goed. Ik moet zeggen, ik heb met veel plezier bijna 20 jaar bij Microsoft gewerkt, maar ik heb nog geen moment spijt van de overstap.

Walter van Wijk: Vlak na jouw aantreden bij BZK publiceerde de Volkskrant, op de voorpagina nota bene, een artikel over de vermeende Microsoftverslaving van de overheid. Was dat ongemakkelijk voor jou?

Ferjan Ormeling: Dat was ongemakkelijk. Op zich is aandacht in de pers voor je onderwerp prettig, maar de suggestie die gewekt werd, dat ik door mijn overstap, als een soort vooruitgeschoven pion van die Dark Empire bij de overheid aan de slag was gegaan, vond ik niet prettig. Ik ben hier gekomen om leuke en goede dingen te doen.

Walter van Wijk: Dus for the record, het is niet jouw verborgen intentie om zoveel mogelijk Microsoft oplossingen binnen te halen bij de overheid?

Ferjan Ormeling: Absoluut niet. Een uur na deze opname moet ik de eed afleggen, dus dan moet ik formeel beloven dat dat echt zonder last, ruggespraak of anderszins is.

Walter van Wijk: Ook jouw ondersteuning voor Bits of Freedom is waarschijnlijk bewijslast genoeg om die opmerking te logenstraffen?

Ferjan Ormeling: Ja. In mijn Microsoft-tijd was ik daar al donateur van, maar ik vind dat we absoluut een verplichting hebben, als je op dit niveau met IT bezig bent, om het juiste te doen.

Walter van Wijk: We gaan praten over de cloud. De cloud is al een paar jaar bezig met een opmars. Er ligt beleid en er is nieuw beleid in de maak over het werken met de cloud. Kan je al iets schetsen over wat dat nieuwe beleid inhoudt?

Walter van Wijk: Ja, ik kan wel iets van richting geven. Daarbij wil ik wel meteen zeggen dat het nieuwe beleid nog niet vastgesteld is. Dus alles wat ik zeg is met de nodige voorbehouden. We zagen drie, vier jaar geleden, toen het cloudbeleid opgesteld was, vertrouwelijkheid als grootste risico. Kon Amerika of een andere buitenlandse staat meekijken met onze data? Dat was het grootste gepercipieerde risico. We hebben het afgelopen jaar gezien, door het aantreden van de nieuwe regering in Amerika, maar ook door andere ontwikkelingen, bijvoorbeeld het Internationaal Strafhof, dat de leveringszekerheid een groot thema is geworden. We zijn allemaal gebruik gaan maken van de cloud, vanwege het Martini Model: everywhere, anytime.

Walter van Wijk: Het werkte zo mooi overal en altijd. Nu zien we ineens het risico dat iemand buiten onze macht op een knop kan drukken en wij dan geen mail meer hebben, of iets dergelijks. Je zult zien in dat nieuwe cloud beleid, dat de aandacht voor leveranciersafhankelijkheid en leverzekerheid belangrijker gaat worden.

Walter van Wijk: Klinkt bijna alsof je met die opmerking James Bond volgt met toepassing van de cloud. Het risico, de dreigementen, de dreigingen zijn toegenomen. Dat doet waarschijnlijk iets voor de aanscherping, hoe die strategie eruit gaat zien.

Ferjan Ormeling: Het dreigingsbeeld in de digitale wereld is, net als in de echte wereld, veranderd. Sommige dingen zijn niet veranderd. De invloed van ransomware en allerlei andere dingen is nog steeds even groot aanwezig. Het grote verschil nu is dat we een risico zien in de buitenwereld. Dat we door statelijk ingrijpen niet meer bij onze spullen kunnen.

Walter van Wijk: Hoe Nederlands of Europees is datgene waar jullie nu aan werken?

Ferjan Ormeling: De opgave waar we op dit moment mee bezig zijn is primair gericht op de Nederlandse overheid, niet op alleen de Rijksoverheid. Dat doen we in het kader van de Nederlandse digitaliseringsstrategie. Ik denk dat iedereen ziet dat als we een volwassen Europees cloud alternatief ontwikkelen, dat niet alleen vanuit Nederland kan komen. We hebben prachtige spelers in Nederland, maar het moet een Europese effort zijn.

Walter van Wijk: Die aangescherpte regels en die strategie, wat zou dat kunnen gaan betekenen voor de CTO's, de chief technology officers, die hiermee actief zijn, ermee willen werken, of wellicht al concreet mee werken?

Ferjan Ormeling: De afgelopen vijf jaar is de natuurlijke reactie op veel automatiseringsvraagstukken geweest: moeten we niet naar de cloud? Moeten we onszelf niet laten ontzorgen door partijen wiens corebusiness het leveren van IT is? Nu moet vaker de vraag gesteld worden: welke vereisten heb ik? Niet alleen over dataveiligheid, maar ook over beschikbaarheid van de applicatie? Als mijn applicatie stil komt te liggen, komt mijn primaire proces ook stil te liggen? Als dat zo is, zul je in de toekomst een andere afweging over het gebruik van cloud moeten maken. Het wil niet zeggen dat het helemaal niet meer kan. Je moet bewuster bezig zijn met de vraag of de applicatie die ik nu ga aanbesteden of ontwikkelen nog steeds geschikt is voor gebruik van public cloud? Of moet ik naar een Nederlandse leverancier of een interne leverancier gaan kijken?

Walter van Wijk: Dat klinkt als niet alleen betrokkenheid vanuit de CTO, maar ook vanuit business continuity.

Ferjan Ormeling: Absoluut.

Walter van Wijk: Dat is een nieuwe speler, rol in dit traject.

Ferjan Ormeling: Die rol is er altijd al geweest, zeker toen we het nog allemaal zelf deden, tien, vijftien, 20 jaar geleden. Toen we onze eigen datacentra hadden was uitwijken en al dat soort dingen zaken waar de IT-leiding van een organisatie mee bezig was. Ik denk dat we door de cloud misschien in slaap zijn gesukkeld op dat thema. Omdat de hoge beschikbaarheid in een cloudomgeving, bij Azure, Amazon en andere dienstverleners, een van de redenen was om daar naartoe te gaan. Die hoge technische beschikbaarheid, die blijft. Er komt wel een risico bij dat je om niet technische redenen toch niet meer bij je applicatie kan. Ik denk dat dat een competentie is die we moeten gaan herontwikkelen.

Walter van Wijk: Het nieuwe beleid waar nu al gewerkt wordt, is vooral een samenstelling van niet alleen de politieke draagbaarheid, draaglijkheid en draagvlak, maar ook gezond boerenverstand.

Ferjan Ormeling: Absoluut.

Walter van Wijk: Dus wat er gaat komen kan je zelf nu ook al bedenken. Je hoeft niet te zitten wachten op het beleid voor het geformaliseerd is.

Ferjan Ormeling: Nee, helemaal niet. Voor de duidelijkheid, we houden rekening met het feit dat er veel gebeurd is in de afgelopen jaren. Als het nieuwe beleid er is, hoef je niet de dag erna weg te zijn uit de cloud. We zijn ons er terdege van bewust dat veel partijen daar investeringen in hebben gedaan. Het gaat tijd kosten om goed na te denken over wat het alternatief zou moeten zijn.

Walter van Wijk: Dat vind ik een mooi bruggetje naar mijn volgende vraag. Zie je echt alternatieven? Serieus?

Spreker 1: We moeten ons realiseren dat we in Nederland of in Europa achter lopen. Iedereen van de Amerikaanse aanbieders weet dat. Daar zit een gat. Dat gat zal blijven bestaan als we niet bewuster met elkaar proberen om in Nederland en Europa daar een alternatief voor te ontwikkelen. Dat gezegd hebbende, denk ik dat we vaak het gat overschatten. Er zijn goede alternatieven voor bijvoorbeeld containerplatformen in Europa. Met NextCloud of andere oplossingen is daar alternatief voor, in elk geval delen van wat Microsoft ons nu als kantoorautomatisering biedt. Het is meer huiver voor oplossingen die in Nederland nog niet zoveel gebruikt zijn, maar buiten Nederland wel. De beschikbaarheid is beter dan we nu denken.

Walter van Wijk: Het begint bij mij te dagen dat een belangrijk aspect daarvan - dat zegt misschien iets over mijn algemene ontwikkeling - is dat het niet gaat over de cloud. Je hebt één stekker in je computer en dan heb je alles. Er wordt per applicatie bekeken, of het een cloud-applicatie - is die daar de voorkeur voor heeft - of dat je het op een andere manier kan doen.

Ferjan Ormeling: Ja, heb ik een zelfgebouwde applicatie die ik host op de cloud? Dat noemen we vaak Infrastructure as a service, of platform as a service versus software-applicaties zoals Office 365, Salesforce, of veel andere aanbieders, Exact, om maar een dwarsstraat te noemen. Daar zit een groot verschil in. Als je zelf applicaties bouwt en die op een cloudplatform wil hosten, zijn er vaak dat goede Europese alternatieven. Als je het hebt over SaaS aanbieders, hebben we daar echt nog wel wat stappen te maken.

Speaker 2: Software as a service. Per applicatie kiezen, kijken naar de belangen, de risico's, de alternatieven. Werken in de cloud roept altijd vragen op over soevereiniteit, autonomie. Dat zijn grote hete thema's, ook in Europa en Nederland. Hoe kan je dat borgen? Hoe kan je zorgen dat je toch autonoom en soeverein blijft als land, als Nederlandse overheid?

Ferjan Ormeling: Dat is de uitdaging van het moment. Het grappige is dat we bijna wekelijks met de neus op de feiten worden gedrukt. Of het nu de Solvinity-case is, of een paar weken geleden Zivver. Het belangrijkste is dat je begint met in kaart brengen wat je allemaal gebruikt. Eén van de grootste uitdagingen binnen de overheid is dat we niet goed weten waar we allemaal in de cloud zitten. Daarmee weten we ook niet goed welk risico we lopen. We moeten als eerst ons huiswerk nog een keer doen en in kaart brengen voor welke primaire processen we clouddiensten gebruiken en welke clouddiensten dat zijn. Welk risico loop ik bij het gebruik van die clouddiensten?

Ferjan Ormeling: Je kunt op basis daarvan nadenken over waar je moet beginnen als je het risicoprofiel wilt verlagen. Wat zou het laaghangend fruit zijn? Welke dingen moet ik met enige urgentie aan gaan pakken?

Walter van Wijk: Als je deze onderwerpen autonomie en soevereiniteit op je netvlies houdt, hoe moet een CTO dan beoordelen of je juist wel of niet in een cloud moet werken? Heb je een soort belangrijkste punten-lijstje waar hij of zij mee zou kunnen werken?

Ferjan Ormeling: We hebben als onderdeel van het vorige cloudbeleid een afwegingskader gehad. Er ligt wel een opdracht voor CIO Rijk, om - waar het over de Rijksoverheid gaat - dat afwegingskader te updaten.

Walter van Wijk: Die is gepubliceerd, maar nog steeds in grote mate bruikbaar?

Ferjan Ormeling: Ja, ik denk het wel. De Rekenkamer zei dit jaar dat er met het beleid niet zoveel mis is. Met de uitvoering kunnen we nog wat stappen maken, daar ligt de uitdaging. Voor een groot deel is het boerenverstand. We zijn inmiddels allemaal wakker geworden, dat er een risico bestaat bij het gebruik van diensten van niet-Europese partijen. We moeten na gaan denken over het gebruik daarvan of er alternatieven voor zoeken. Zoals gezegd, bij SaaS oplossingen zal dat niet onmogelijk, maar wel wat lastiger zijn. Als je het over Kubernetes-achtige oplossingen hebt, of Haven-conforme applicaties, kun je die vrij makkelijk naar Nederlandse of Europese partijen overbrengen, als je dat wilt.

Walter van Wijk: Jij werkt voor Binnenlandse Zaken, de Rijksoverheid, maar je kijkt naar de bredere overheid. Hoe haalbaar, wenselijk of geformaliseerd gaat het clusteren worden van inkooppotentieel? SLM Rijk kijkt daarnaar vanuit het Rijk. Heb je zicht op andere ontwikkelingen daaromtrent?

Ferjan Ormeling: Ik heb het geluk dat ik onderdeel uitmaak van The Cloud Prioriteiten in de NDS, de Nederlandse digitaliseringsstrategie. Daar kijken we bewust niet alleen naar de Rijksoverheid, maar naar alle overheden in Nederland. We werken bijvoorbeeld samen met VNG. Sterker nog, we zien bij de Nederlandse gemeenten wat meer voortgang op gezamenlijk inkopen dan we bij de Rijksoverheid zien. De VNG heeft het zelfs al over collectivisatie van de inkoop en de G4 wil al dingen samen gaan doen. Ik zie daar een snellere beweging dan bij de Rijksoverheid. Dus hoedje af voor de medeoverheden.

Walter van Wijk: Decentraal jaagt centraal aan.

Ferjan Ormeling: Daar lijkt het op.

Walter van Wijk: Als je over die brede overheid heen kijkt, hoe zou je de huidige afhankelijkheid of onafhankelijkheid van de Nederlandse overheid ten aanzien van die buitenlandse partijen omschrijven? Is dat een hoog risico? Geef daar eens woorden aan.

Ferjan Ormeling: Dat vind ik lastig. Aan de ene kant denk ik dat we op dit moment in de fase bewust-onbekwaam zitten. We zijn ons bewust van het feit dat we een risico zijn gaan lopen, maar we zijn ons nog niet helemaal bewust van de grootte van dat risico.

Walter van Wijk: Veel overheden die zitten met relatief oude systemen, de legacy. Ook grote hoeveelheden data van vroeger en recenter. Cloud wordt al snel gezien als next level, daar moet je naartoe bewegen. We hebben net gehoord dat dat op allerlei facetten met een korreltje zout moet worden genomen en goed moet worden bekeken. Hoe kijk je aan tegen de omschakeling van al die oudere systemen en gegevens naar de richting van cloud en modernere toepassingen?

Ferjan Ormeling: Dat moeten we blijven doen. Het is leuk dat er, in het kader van de NDS, de opdracht ligt om een soevereine overheidscloud te ontwikkelen. Het doel is de verkenning daarvan. Ik maak deel uit van het team. Het doel is in het komende half jaar een verkenning om de soevereine overheidscloud op te leveren. Daarna moeten we, als Nederland met zijn allen over alle overheden heen, gaan kiezen hoe we dat gaan inrichten. Zodra die voorziening er is, hoef je niet alles in die soevereine cloud te laten landen. Je kan ervoor kiezen om bij een Nederlandse partij te laten landen. Misschien moet je dan in de contractuele voorwaarden iets opnemen over de verkoop van die partijen naar het buitenland, zoals we bij Solvinity gezien hebben.

Ferjan Ormeling: Het belangrijkste is dat je nu na gaat denken of de legacy die je wilt moderniseren cruciaal is voor de bedrijfsvoering van jouw organisatie. Als dat het geval is, zul je extra goed na moeten denken over de beschikbaarheid van die applicatie. De afweging die we twee jaar geleden hadden gemaakt om te gaan naar Amazon, Microsoft, of Google is wellicht niet meer de juiste.

Walter van Wijk: Wordt er concreet gekeken naar het bouwen van een eigen cloud en het kunnen ondersteunen van het faciliteren van echte, concrete alternatieven op Nederlands grondgebied?

Ferjan Ormeling: Ja, dat is de nadrukkelijk opdracht vanuit de NDS. Het heet voluit: het verkennen van de realisatie van een soevereine overheidscloud. Dat is een opdracht vanuit de Kamer. De Kamer heeft letterlijk gezegd: besteed er maar vast aan. Wij hebben gezegd: beste Kamer, we waarderen uw betrokkenheid, maar laat ons eerst goed nadenken of we dit zelf willen doen. Willen we dit uitbesteden aan de markt? Willen we iets van publiek-private samenwerking zoeken op dit onderwerp? Maar het is de expliciete doelstelling om zelf een cloudvoorziening voor de overheid te gaan realiseren.

Walter van Wijk: Hoe snel zou het gerealiseerd kunnen zijn? Wat is de actuele verwachting?

Ferjan Ormeling: Wat mij betreft morgen. Misschien dat daar het ongeduld van deze jonge ambtenaar in zit. We moeten eerst goed nadenken hoe we dat willen doen. We hebben een aantal overheidsdatacentra, maar die hebben, net als alle datacentra in Nederland en de wereld, te maken met een uitdaging als het gaat om stroom, capaciteit en dergelijke. We moeten goed bedenken welk deel we zelf willen doen. Voor welk deel kunnen we goede afspraken met de markt maken over het realiseren van die voorziening? Zoals ik zei, dat hele totaalplaatje hoe we dit gaan doen moeten we het komende half jaar opleveren. Daarna zal, hopelijk het nieuwe kabinet daar een besluit over moeten nemen, hoe we dat gaan realiseren. Daarna moeten we gaan bouwen.

Ferjan Ormeling: Ik hoop dat we daar nog voor het einde van kalenderjaar 2026 een start mee kunnen maken.

Walter van Wijk: Wat is de reden dat we vooral naar een Nederlandse variant kijken en niet naar een groot Europees geheel? Wordt het anders een soort lappendeken?

Ferjan Ormeling: Het één sluit het ander niet uit. De vraag is groot genoeg voor een Europese voorziening. Dit zal uiteindelijk groter zijn dan alleen maar de overheid. Ik weet vrij zeker dat we hier ook vanuit het bedrijfsleven vragen gaan krijgen om voorzieningen te realiseren. Een partij in Nederland, die nu op Azure of ergens anders gehost is, kan zich afvragen of dit voor de toekomst nog de juiste plek om te zitten. Een partij als ASML, die nogal eens onderdeel is van allerlei aandachtsgebieden, of dat soort organisaties, denkt nu al na of ze dit naar Europa moeten brengen. Uiteindelijk zal er zowel een Nederlandse als een Europese cloudmarkt moeten gaan ontstaan, die deze nieuwe vraag invult.

Walter van Wijk: Het wordt vanuit NDS aangejaagd. Het heet officieel aanjaagteams. Zij kijken daarbij naar de overheid maar ook naar de private sector.

Ferjan Ormeling: We hebben net in twee rondes gesprekken gehad met een groot aantal partijen uit de Nederlandse cloudmarkt.

Walter van Wijk: Kijken zij, aan de gebruikende kant, naar grote organisaties zoals ministeries, de G4 gemeenten, enzovoorts, maar ook naar kleinere? Want die hebben vaak wel heel andere behoeften.

Ferjan Ormeling: Nee. Er wordt expliciet naar de overheid in de volle breedte gekeken. We hebben niet alleen de usual suspects uitgenodigd, maar juist ook via de Dutch Cloudcommunity, kleinere organisaties die in de gemeentemarkt actief zijn. We willen juist in de volle breedte proberen de markt aan te jagen. Het risico blijft een beetje kip-ei situatie. Wie neemt de eerste stap? Welke overheidsorganisatie wil hier echt mee aan de slag gaan? Wie durft als eerste aanbod te genereren?

Walter van Wijk: Wie wil en kan investeren?

Ferjan Ormeling: Zeker. Het is wel belangrijk om te weten dat er een risico in zit. De cloud is altijd een aanbodgedreven markt geweest. Niemand heeft Amazon gevraagd om te beginnen met AWS. Ze hadden kennis en kunde in huis en konden er een bedrijfsmodel op ontwikkelen. We vragen wel iets van de markt om, analoog aan wat daar ooit aan de andere kant van de oceaan gebeurd is, daar zelf stappen in te nemen. Je ziet bijvoorbeeld in Duitsland de Lidl Cloud van STACKIT, je ziet daar al dingen gebeuren. OVH-cloud is een fatsoenlijk grote partij. Je ziet KPN in Nederland nu ook met Nextcloud aan de slag gaan, dus je ziet die beweging wel ontstaan. Ik hoop dat die beweging aan de aanbodkant ook snel tot beweging aan de vraagkant leidt.

Walter van Wijk: In ieder geval een sector die enorm in beweging is, technologisch, maar ook qua bestuurlijke aandacht. Dat is een goede zaak. Is alles wat rondom AI en algoritme gebeurt nog van invloed op al deze zaken?

Ferjan Ormeling: Zeker. Want AI is de grote drijfveer voor het bouwen van datacentra. Dat gebeurt vooral in Amerika, of door Amerikaanse partijen.

Walter van Wijk: Nog meer stroom nodig?

Ferjan Ormeling: Ja. We zullen met zijn allen goed na moeten denken over wie die schaarse stroom, ruimte en andere middelen krijgt. Als we in Nederland en in Europa een fatsoenlijk AI alternatief willen ontwikkelen, zullen we ook de fysieke infrastructuur - dat zijn vaak cloud datacentra - voor moeten realiseren. Dat realiseert de Europese Unie zich ook.

Walter van Wijk: Zie jij kansen in de samenwerking tussen partijen, zowel aan de aanbiedende kant als aan de afnemende kant, die er in het verleden was, maar die in de toekomst waarschijnlijk een ander licht gaat krijgen. Waar liggen de kansen en bedreigingen?

Ferjan Ormeling: De kansen liggen in het feit dat er een enorm momentum is op dit moment en zowel aan de aanbod als aan de vraagkant beweegt van alles. Mensen worden wakker en willen stappen zetten. De bedreiging is: wie zet de eerste stap? Gelukkig zien we al een aantal kleine stapjes. Bijvoorbeeld in Amsterdam worden daar wat stappen op gezet en in andere grote steden ook. Ik vind dat de Rijksoverheid de taak heeft om daar het voortouw in te nemen. Daar zie je hoopvolle punten, maar er zijn ook genoeg plekken waarvan ik denk dat er een tandje bij mag.

Walter van Wijk: Een onderwerp waar we het niet over gehad hebben, die stel ik maar in de afronding van deze podcast. Hoe zie jij gegevensbescherming, de privacykant in dit geheel?

Ferjan Ormeling: Je kan het één tot op zekere hoogte niet los zien van het andere. We lossen veel van de vraagstukken rondom privacy op. Als we van puur Europese partijen gebruik maken, of meneer Schrems wel of niet nog een keer wat voor elkaar krijgt rondom het neerhalen van allerlei privacyafspraken van Europa met de buitenwacht of niet, als we het over puur Europese partijen hebben, dan weten we dat we op privacystuk altijd binnen het Europese raamwerk opereren. Dat helpt ons wel. Aan de andere kant denk ik dat het bij echt privacy vraagstukken, als privacy by design, het niet veel uitmaakt op welke infrastructuur je dat laat landen. Dat heeft te maken met hoe je je applicatie en je organisatie inricht.

Walter van Wijk: Er zijn allerlei internationale ontwikkelingen op juridisch gebied, Data Act, Data Governance Act, allerlei verschillende soorten wetten. Welke zijn vooral relevant voor het verhaal van de cloudontwikkeling?

Ferjan Ormeling: Voor de Europese beweging om een eigen infrastructuur te ontwikkelen is die wet- en regelgeving niet de allerbelangrijkste drijfveer op dit moment. Dat zorgt er niet zo voor dat we de urgentie voelen om hier nu grote stappen te zetten. Ik denk dat uit de cloud en AI Act van de EU veel moet komen. Dat heeft vooral te maken met het proberen om barrières weg te nemen voor het ontwikkelen van die eigen industrie. Er zit ook iets aan de aanbestedingskant, omdat we in Europa aanbestedingsregels hebben die het vrij lastig maken om te zeggen: het moet Europese waar zijn. Daar zie je al een beweging om ons te helpen. Ik zie zelf vanuit de data en AI Act specifiek nog niet iets wat ervoor zorgt dat we onze Europese cloud voor de uitdaging die we nu hebben hard gaat drijven.

Walter van Wijk: We gaan terug naar het begin van deze podcast. Wat betekenen al deze ontwikkelingen, plannen, alle visie die jij hebt en allerlei mensen om jou heen in dit verband en op andere plekken, voor de Chief Technology Officers binnen de overheid?

Ferjan Ormeling: Ik zei het al eerder: de CTO, voor zover hij dat niet al gedaan heeft, moet zijn huiswerk doen. Zorg ervoor dat je een goed beeld hebt van welke cloud applicaties je op dit moment gebruikt. Het blijkt vrij vaak dat we dat beeld op dit moment niet hebben, en dat is risicovol. Het hoort bij het huiswerk van de CTO, om te zorgen dat je, als je daar op bevraagd wordt, kan uitleggen waar onze afhankelijkheden zitten, dat moeten we als eerste doen. Het tweede is dat je, als je een applicatie buiten de deur gaat zetten, op wat voor vorm dan ook, nadenkt over waar je dat doet. Vroeger was het gezegde: je wordt niet ontslagen als je voor IBM kiest. Ik denk dat dat nu geldt voor Microsoft, Amazon en Google. Maar bevraag jezelf daarop.

Ferjan Ormeling: We zien dat we veel applicaties naar de cloud doen, vanuit gemak en niet zozeer vanuit noodzaak. Als de noodzaak er niet is om naar Amazon te gaan, bijvoorbeeld omdat je alleen maar containers afneemt op dat platform, dan kun je ook goed naar een Nederlandse of Europese partij gaan. Dan maak je het jezelf in de toekomst makkelijker. Dat is een goede tweede. Denk na of je echt gebruik maakt van het platformspecifieke kenmerken van de cloud, die je op dit moment op het netvlies hebt. Als dat niet zo is, dan kun je op dit moment al goed aan de slag gaan met Nederlandse of Europese partijen. Dan maak je jezelf minder kwetsbaar voor wat er in de buitenwereld gebeurt.

Walter van Wijk: Noem eens een paar van die kenmerken bij naam?

Ferjan Ormeling: Je ziet vaak dat er allerlei security features uit het platform gebruikt worden. Maar we zien ook vaak dat dat bijvoorbeeld wel in een uitvraag gedaan wordt. Het moet aan de eisen x, y, z kunnen voldoen, maar als je kijkt naar de applicatie zelf wordt daar helemaal geen gebruik van gemaakt. Dus, als CTO, zou ik de applicatie ontwikkelaars in mijn organisatie actief bevragen op: wat gebruik je echt uit dat platform? Wat is de must have en wat is de nice to have? Bedenk op basis daarvan wat een goed platform zou kunnen zijn. Doe niet altijd maar de gemakkelijke keuze voor Azure of ABS.

Walter van Wijk: Wat zou jij bestuurders adviseren? Want informatiebeveiliging, ook in cloud context en privacybescherming is een chefsache. Wat zou je hen adviseren behalve 'huur een goede CTO in'?

Ferjan Ormeling: Maak jezelf onderdeel van deze discussie. Je noemt het chefsache en ik denk dat het dat inmiddels wel zou moeten zijn. Of dat ook echt is bij alle bestuurders binnen de inhoud van de Nederlandse overheid, dat weet ik nog zo net niet. Daarbij gezegd dat ik ze nog niet allemaal gesproken heb.

Walter van Wijk: Misschien is dat een deel van de ambitie van de NDS om toch wat meer spotlights op die etalage te richten, van de bestuurders.

Ferjan Ormeling: We zitten hier allemaal in onze eigen bubbel en vinden we onszelf altijd belangrijk. Maar je ziet wel dat er in de algemene pers veel aandacht voor dit onderwerp is. Ik hoop dat het feit dat het elke keer zo prominent in de pers komt, ook de bestuurders wakker maakt voor de uitdaging die we hebben.

Walter van Wijk: Zoals je al eerder noemde is momentum op het onderwerp, hoe kostbaar is het om dat te gebruiken?

Ferjan Ormeling: Ja. Never waste a good crisis.

Walter van Wijk: Precies. Ferjan Ormeling, dank je wel voor je inzichten. Interessant om te luisteren en te volgen. Deze podcast werd mede mogelijk gemaakt door het privacyteam van CIO Rijk en werd geproduceerd door CIP. Luister ook de andere afleveringen van deze miniserie. Meer informatie daarover kun je vinden op onze website cip-overheid.nl. Tot de volgende keer.