Position paper: Soevereine cloud

Recent is er maatschappelijk meer aandacht voor Soevereiniteit in Europa, waarbij de Soevereine cloud ook een belangrijk thema is. Aanleidingen hiervoor zijn zowel het tarievenbeleid van de regering Trump als ook hun gerichte sancties om bijvoorbeeld een ICC aanklager toegang tot zijn mailbox te ontzeggen.

Ook speelde er tijdens de Coronavirus periode al het vraagstuk of Google en Apple beperkingen konden opleggen aan het uitrollen van de Corona Melder app en welke gegevens wel en niet verzameld mochten worden. De crux daar was dat een commerciële buitenlandse organisatie daarmee te veel macht heeft over zaken omtrent de volksgezondheid.

Verder is er nog het risico dat Amerikaanse organisaties gedwongen kunnen worden om toegang te verlenen tot data aan de Amerikaanse overheid: https://www.bnnvara.nl/kassa/artikelen/nederland-te-afhankelijk-van-amerikaanse-clouddiensten.

En dan nog de hekkensluiter, een man als Elon Musk laat goed zien dat hij, maar ook organisaties als Apple, Microsoft en AWS zowel kunnen dreigen met het ontnemen van diensten om hun zin te krijgen of wetgeving te beïnvloeden. Dat doet hij niet alleen door af en toe flink te keer te gaan op zijn eigen X, hij heeft ook al eens Starlink uitgezet terwijl Oekraïne dit aan het gebruiken was tijdens een counter offensief. 

Deze set aan redenen vinden wij motivering genoeg om eens te gaan nadenken over hoe je een meer soevereine cloud kan krijgen. Het grootste probleem waar wij daar tegenaan lopen is om vast te stellen waar je zou moeten beginnen. Wij, en de meeste organisaties, zijn op erg veel niveaus afhankelijk van non-Europese tech. Daarbij is het daadwerkelijk probleem ook niet dat er een afhankelijkheid is, het is dat iedere organisatie niet weet hoe afhankelijk ze zijn en dat ze in potentie te afhankelijk is.  

De oplossing die we dan ook in dit artikel bieden is een methode om binnen één werkdag dit vast te stellen en aan de slag te gaan met soeverein worden.

Aangemaakt op . Laatst bijgewerkt op .

Je moet weten wat je doet.

Er is een goede kans dat je al redelijk weet wat je als organisatie doet. En mocht er maar één productieproces zijn in je organisatie dan hoef je bij deze stap niet echt iets te documenteren (Wij bouwen cloudapplicaties bijvoorbeeld).

Echter voor een gemeente geldt dat je het beste voor elk productieproces of afdeling het onderstaande proces kan doorlopen. We gaan straks namelijk inschalen wat het meest urgent is. Het beste kan je dan eerst beoordelen wat urgente productieprocessen zijn, en daarbinnen de meest kwetsbare software vinden, in plaats van de oneigenlijke vergelijking of de software ingezet voor aktes en verklaringen urgenter is dan die voor paspoort uitgifte. 

Je moet weten wat je hebt.

Om makkelijk te starten, als je een security of een IT inkoop collega hebt, vraag deze dan of ze al een overzicht hebben van de applicaties, zodat je al met een mooie lijst start.

Is die collega er niet, of is er geen lijst dan kan je de categorieënlijst van European Alternatives er bij pakken en onder elke categorie die relevant is voor jouw organisatie noteren welke software je gebruikt. In de lijst staan waarschijnlijk categorieën die je niks zeggen, daarvan mag je aannemen dat je ze niet gebruikt in je organisatie. 

Mocht je nog verder willen kijken, of ook geprikkeld worden om aan hardware te denken, bekijk dan de categorieën van dit Tweakers topic of ga nog verder de diepte via het overkoepelende artikel wat Tweakers hier aan wijden.

In een eerste iteratie kom ik voor onze organisatie op de volgende lijst: 

Overzicht van alle gebruikte software binnen ons bedrijf

Zelf had ik nog wat software die ik niet kon plaatsen in de categorieën. Daarom hebben we de volgende categorieën toegevoegd waar ook aan gedacht kan worden om over te stappen. 

Extra software pakketten die wij gebruiken en niet in eerder genoemde categorieën vallen

Je hebt nu een lijst waarmee je aan de slag kan. Deze kan je gerust met collega’s delen om verder aan te laten vullen terwijl je zelf al verder werkt aan de volgende stappen. 

Filteren

Het is nu handig om je lijst in een excel te gaan klaarzetten, we hebben daarvoor ook een template online beschikbaar gemaakt waar je mee verder kan. Dit kun je natuurlijk doen in een Microsoft Office of Google Spreadsheet omgeving, of in een van de Europese alternatieven zoals OnlyOffice, Proton Sheets of SeaTable. Dan kun je alvast goed beginnen aan de lijst.

We starten daarbij eerst met het toevoegen van een aantal filters op de data zodat we straks alleen het analyse- en onderzoekswerk wijden aan wat potentieel relevant is.

In het template dat wij beschikbaar hebben gesteld, vul je in de eerste kolom de software in die uit je analyse uit de vorige stap is gekomen. In de tweede kolom ga je filters toekennen op basis van de opties uit de dropdown. Hiervoor hebben we 6 niveaus ingesteld.

Filter 1: “Jammer de bammer” software

Dit label geef je aan de software die je niet nodig hebt voor de kerntaken van de procedure. Als deze er niet meer zijn, heeft dat geen invloed op het proces. Het is niet erg als je volledig wordt afgesloten van het gebruik. Je zal hiervoor over tijd waarschijnlijk wel een vervanger zoeken maar voor je organisatie heeft het geen directe significante impact.

Zo gebruiken wij als organisatie LinkedIn, worden wij graag gevonden op Google en optimaliseren wij daarvoor met Ahrefs en zetten wij weleens een vacature open op Indeed.
Als wij echter niet meer op LinkedIn mochten komen van Trump en niet meer getoond kunnen worden in Google Search results dan zijn dit gevalletjes “Jammer de bammer”, het is niet iets wat onze organisatie lam legt. 

Deze type software geef je de ‘jammer de bammer’ filter. Voor deze software doe je geen verder onderzoek of analyse werk, want dit gebruik je simpelweg niet meer zonder dat het invloed heeft op het functioneren van je organisatie wanneer het stopt. 

Filter 2: “Already European” software

Van software waarvan je zonder onderzoek nu al zeker weet dat ze Europees zijn zonder dat je dat verder hoeft uit te zoeken, geef je het label “Already European”, want die geven als het goed is geen problemen. (Als ze ook zelf soeverein genoeg zijn natuurlijk). 

Already European geldt niet voor Amerikaanse organisaties die aangeven een dochteronderneming te hebben in Europa. Naast juridische kanttekeningen of deze ondernemingen wel daadwerkelijk vrij van de moederonderneming kunnen opereren, is er praktisch het grotere risico dat iemand als Mark Zuckerberg of Jeff Bezos onder politieke druk al bij draait. Dat hebben ze namelijk ook al eens gedaan sinds de inauguratie van Trump. 

Filter 3: Open source 

Als software gratis te gebruiken is, de broncode geheel beschikbaar is en kan worden aangepast, dan is het open source software. Deze type software is veilig genoeg voor de risico's in de introductie om niet op zoek te hoeven naar een alternatief. 

Dat zit als volgt: alle mensen die deze code gebruiken om mee door te ontwikkelen hebben een volledig kopie van de software lokaal op hun desktop en juridisch de mogelijkheid te doen met de software wat ze willen. 

Wanneer er beperkingen komen op het downloaden via een plek als GitHub (dochter onderneming van Microsoft), of wanneer Amerikaanse Devs worden beperkt in het bijdragen aan open source, dan kan deze code door andere gebruikers op andere plekken beschikbaar worden gemaakt. 

Filter 4: Self Hosted / On Premise

Dit gaat om alle “cloud” software die je zelf ergens op een server hebt geïnstalleerd en draait. Wanneer afsluiting of beperkingen in diensten een issue is, kan je deze services nog steeds bereiken en gebruiken en dus is er geen reden om te acteren op deze categorie software. 

Wel zijn daar kanttekeningen bij: wanneer de aanbieder van de software buiten Europa valt, zit je ook hier met een kans om afgesloten te raken van updates, zoals bij desktop. Wanneer de software “gebricked” kan worden door een leverancier valt het buiten deze categorie. Bricking is een principe waarbij een leverancier op afstand de software onbruikbaar kan maken. Dit kan op 2 manieren; contractueel en technisch. 

Contractueel betekent dat er in de licentieovereenkomst van de leverancier een clausule is opgenomen waarin ze de mogelijkheid hebben opgenomen om software uit te schakelen. Technisch kan zijn doordat bepaalde processen binnen een geïsoleerde omgeving (je eigen server) afhankelijk zijn van processen van buiten de server. Dit kun je (/je IT beheerder) bijvoorbeeld testen door alle uitgaande poorten van je omgeving te sluiten en te controleren of je software blijft werken.

Wanneer je de software draait op een server die van een amerikaanse organisatie is, maakt het eigenlijk ook niet uit of je het zelf host. De software die op deze server draait valt in principe onder filter 6.

Filter 5: Desktop 

Alle software die je lokaal installeert en draait, tot en met Windows zelf, is minder kwetsbaar voor de risico's. Natuurlijk, stel dat Microsoft geen diensten meer kan leveren in Europa dan krijg je geen (veiligheids)updates meer op Windows, wat redelijk snel een probleem kan vormen.

Echter, op het moment dat die situatie speelt kan je dan op zoek naar een alternatief en daarmee is de categorie minder urgent. 

Filter 6: SaaS/PaaS/IaaS

Soms is het Software, soms een Platform of soms Infrastructuur As A Service. In alle drie die gevallen gaat het erom dat je via een internetverbinding gebruik maakt van software of hardware op abonnementsvorm. 

Omdat in alle gevallen waar de software of hardware ergens anders draait een blokkade van de verbinding mogelijk is, vormen al deze opties de meest urgente categorie om op te gaan acteren. Het kan je namelijk per direct beschikking over de software of hardware ontnemen waarmee de mogelijkheid tot productiviteit weg kan vallen. Met de blokkade kan potentieel jou ook direct toegang tot bedrijfsinformatie worden ontnomen. 

Software gecategoriseerd

Nu de software is ingedeeld in de juiste urgentie categorie is de volgende stap om te gaan kijken wat de alternatieven zijn en of het van belang is om een alternatief te zoeken. Hiervoor gaan we door 3 fases. De eerste fase filter op de meest urgente categorie, de tweede fase bepaalt binnen deze categorie of actie benodigd is en in fase 3 bepalen we de impact van een alternatief. 

Uiteindelijk heb je dan een grafiek en een strategie die je kunt gebruiken om naar een soevereine cloud te migreren.

Fase 1: Filter op SaaS

Nu filter je het Excel bestand op de SaaS/PaaS/IaaS categorie. Dit is de meest urgente categorie om mee te beginnen. Daarmee willen we niet zeggen dat de andere opties veilig zijn, sterker nog, het is aan te raden dat je sowieso de desktop categorie ook uitwerkt, maar na die twee opties kom je veel meer in een case by case evaluatie van de software.

Dat wil zeggen, je kan al snel alleen in de context van je eigen organisatie voor een stuk specifieke software gaan beoordelen of een Europese SaaS oplossing een verbetering gaat vormen op een On Premise oplossing uit Amerika.  

Fase 2 Productiviteit, Informatie en Alternatieven

Met onze huidige gefilterde set gaan we aan de slag om te beoordelen in hoeverre onze informatievoorziening en productiviteit wordt aangetast. 

Voor de productiviteit vullen we in hoeveel langzamer we worden tussen helemaal stil staan tot bijna geen effect. In het excel bestand hebben we hier een aantal stappen voor gemaakt die je kunt gebruiken om het effect op de productiviteit in te schalen. De meest risicovolle optie hier is: "Wordt ongemerkt aangetast”. Software die archiveert of die inbraak of uitvalmeldingen geeft zijn voorbeelden waarvan je een tijd niet door kan hebben dat het is weggevallen, en deze lopen een verhoogde kans om te worden vergeten wanneer bijvoorbeeld al je Amerikaanse SaaS oplossingen beperkt bereikbaar worden. 

Voor de informatievoorziening schalen we in of de software belangrijke informatie bevat voor je organisatie en of deze nog te reproduceren is. Wij houden bijvoorbeeld in wat software informatie over onze servers bij. Dat overzicht is handig, maar als het wegvalt kunnen we het opnieuw samenstellen zo lang we toegang tot onze servers houden. 

Als laatste van deze fase vul je een ja/nee vraag in, je moet uitzoeken of er een Europees alternatief is, hiervoor kan je het makkelijkste kijken op de Alternatieven pagina van European Alternatives, waar je op basis van de naam van je gebruikte software meteen kan zoeken. 

Wanneer je geen alternatief kan vinden en Nee moet invullen hoef je niet echt door naar de volgende fase voor deze software. Wel moet je de voorgaande waarden bekijken, vertraagd je productie nauwelijks en kun je zonder de informatie verder dan is er niet echt een risico voor je, staat je productieproces echter stil of verlies je hiermee informatie die je niet meer kan reproduceren dan hebben wij maar een advies: 

“Bel ons om een Europees alternatief te bouwen voor de applicatie." 

Fase 3: Migratie impact

De Fase 2 gaan we straks combineren met deze fase om een grafiek te maken die laat zien welke software de meeste prioriteit heeft. 

Je gaat namelijk invullen: 

  1. Hoeveel kost het om de software te vervangen? Als er prijzen inzichtelijk zijn van een Europees alternatief kan je die hier invullen, anders kan je de prijs van je huidige leverancier noteren voor nu. Noteer hierbij ook eventuele kosten die je hebt wanneer collega’s met een cursus moeten worden ingewerkt (vraag 3).

  2. Hoeveel uur kost de migratie? Geef maar eens een eerste schatting over hoeveel uur werk jij of een collega zal hebben aan het vinden, aankopen, installeren, inrichten van de nieuwe oplossing en hoeveel tijd er komt kijken bij het overzetten van gegevens uit de oude omgeving. 

    1. En vraag ons gerust of wij kunnen helpen bij het overzetten van data, mocht dat nodig zijn. 

  3. Wat wordt de inwerktijd voor jou en collega’s om weer net zo goed te kunnen werken in de software als nu. Houdt hier dus rekening met je huidige vaardigheid met een systeem. Als iedereen alleen maar hoeft te kunnen typen in Word is de inwerktijd korter in LibreOffice dan wanneer er macro’s en kruisreferenties worden gebruikt.

  4. Hoeveel productiviteitsverlies heb je tot de migratie gelukt is? Hierbij werken wij zelf met uren, maar alles wat je kan tellen, binnen een productieproces, mag je ook gebruiken. Afgehandelde cases of uitgegeven documenten kan je bijvoorbeeld ook tellen. Dit is de laatste vraag in de rij omdat je vaak de doorlooptijd van de migratie (vraag 2) samen met het inwerken (vraag 3) wil gebruiken om te schatten hoe lang je dit resultaat niet kan leveren. 

Conclusie

We weten niet wat ons te wachten staat, wat we wel weten is dat er mensen aan de macht zijn die er niet voor schromen om systemen uit te zetten. Nu kun je wachten tot dat gebeurt en tot de conclusie komen dat je een probleem hebt (of niet), maar je kunt er ook voor zorgen dat je een alternatief hebt. 

Door te inventariseren welke applicaties je gebruikt tijdens je dagelijkse processen, hier een waarde aan te hangen en vervolgens te filteren op de meest belangrijke processen, heb je een startpunt. Met deze lijst kun je gaan zoeken naar Europese alternatieven. 

Om je op weg te helpen hebben we deze spreadsheet voor je klaargezet. Hiermee zou het enkel een invuloefening moeten worden.

Het belangrijkste is wellicht de bewustwording van welke applicaties je afhankelijk bent geworden en wie er binnen die applicaties aan de touwtjes trekt. Zelfs als het een applicatie is die in Europa gehost wordt, kan het zijn dat deze afhankelijk is van stukken code uit de VS. Het is daarom soms lastig om te beoordelen of je echt een goed alternatief hebt gevonden, maar voor de meeste processen kun je met de stappen in dit artikel goed vaststellen of je stil komt te staan of door kunt werken als iemand de stekker uit jouw applicatie trekt voor Europa.

Wij horen graag van je!

Heb jij een fantastisch idee voor een applicatie, zoek je advies of heb je een opmerking? Diede en Bertus gaan graag met je in gesprek!

Portretfoto Portretfoto
Bedankt voor je bericht! We komen zo snel mogelijk bij je terug.