Voor de Nederlandse gemeenten doen we dat stap voor stap en in nauwe samenwerking met de marktpartijen’, aldus Jacco Brouwer, beleidscoördinator Cloud & Digitalisering bij de Vereniging van Nederlandse Gemeenten (VNG). Om eraan toe te voegen dat de partijen elkaar ‘keihard nodig hebben’. Hij vervolgt: ‘We zijn het verplicht aan de democratie en de maatschappij om digitalisering in het publieke domein zoveel mogelijk onafhankelijk te organiseren.’

Gemeenten als Venlo, Haarlem en Nijmegen zijn drukdoende een hybride-cloudstrategie in de praktijk uit te voeren. Maar er zijn veel meer organisaties die hier al aan werken via de Havenstandaard (2021) van de VNG. Volgens hem gaat deze standaard over platform- en leveranciersonafhankelijke cloud en de inrichting daarvan. Binnen de Nederlandse Digitaliseringsstrategie is de Havenstandaard een van de vijf versnellers binnen de prioriteit Cloud. Haven is daarmee een overheidsbrede standaard aan het worden. Haven biedt de portabiliteit en de wendbaarheid die je nodig hebt om weg te kunnen bewegen van leveranciers als een situatie daarom vraagt. ‘Met Haven zijn we in staat om een volledige technische constellatie van bijvoorbeeld Microsoft Azure binnen een uur te verplaatsen naar een Nederlandse of Europese aanbieder’, aldus Brouwer.

Alle sectoren

Ruud Alaerds, managing director van de Dutch Cloud Community (DCC), ziet drie redenen waarom organisaties overstappen op een hybride-cloudstrategie. Dit speelt volgens hem in alle sectoren, groot en klein, maar kritische sectoren zoals overheid, gezondheidszorg, onderwijs en infrastructuur lopen enigszins voorop. Ze zijn op zoek naar cloud-, hosting- of softwarediensten die wél onder Europees recht vallen, privacy respecteren én bijdragen aan de Nederlandse economie.

Alaerds stelt dat er veel onrust is over de mogelijkheid dat de Amerikaanse overheid data kan opeisen bij cloud-aanbieders die hun hoofdkantoor in de VS hebben of zelfs een bepaalde dienst kan stopzetten. Een tweede overweging die daarmee samenhangt, is de zorg om de continuïteit van de dienstverlening. En ten derde: spreid je risico. ‘Dus niet al je eitjes in één mand leggen bij grote, allesvermogende leveranciers’, aldus Alaerds.

VNG en de DCC hebben regelmatig contact. ‘DCC heeft her en der nog wel wat zendingswerk te verrichten’, zegt Brouwer. Hij doelt op het algemene onderbuikgevoel dat Nederlandse (of Europese) cloud-aanbieders niet zouden kunnen voldoen aan de verwachtingen.

De DCC heeft de website digitale-autonomie.nl in het leven geroepen. Alaerds: ‘Daar presenteren wij de Nederlandse alternatieven op het gebied van infrastructurele diensten, security, platform, storage en compute. Maar het is een versnipperd landschap. Je wilt natuurlijk het liefst met één loket te maken hebben, ook als je een hybride platform gebruikt. Daar speelt de Open Cloud Alliantie op in, een Nederlandse coalitie van cloud- en it-bedrijven die samen een soeverein, open en Nederlands cloud-alternatief aanbieden voor overheid en vitale sectoren. De alliantie wil de afhankelijkheid van Amerikaanse hyperscalers verminderen en een veilig, Europees juridisch geborgd cloudecosysteem bieden. Veel van onze leden zitten in die alliantie.’

Helpende hand

Bij het maken van de risicoanalyse kunnen it-dienstverleners als Accenture, Capgemini en EY, maar ook éénpitters, de helpende hand bieden. Zowel Brouwer als Alaerds stellen dat je ervoor moet waken dat je niet doorschiet.

‘Je hoeft niet alles in een soevereine cloud te zetten’, zegt Alaerds. ‘Dan schiet je door. Niet alle data hoeven de hoogste mate van bescherming te hebben, want daar hangt natuurlijk een prijskaartje aan. Zo ga je ook niet meer alles on-premises plaatsen; dat is inefficiënt. Wij zullen ook nooit zeggen: iedereen moet van de Amerikaanse hyperscalers af. Waar je in elk geval op moet letten, is of de gekozen oplossing past binnen de Nederlandse wet- en regelgeving.’

Het vergroten van digitale autonomie vergt altijd een initiële investering voordat de voordelen zichtbaar worden. Het is wat dit betreft goed te vergelijken met de aankoop van een nieuwbouwwoning: je betaalt een periode dubbele hypotheek. Brouwer komt met een voorbeeld: gemeenten hebben gemiddeld vier- tot vijfhonderd applicaties in gebruik — met uitschieters naar boven — waarvan zeventig procent als saas door de markt wordt geleverd. Een van de stappen die gemeenten zetten in het vergroten van hun digitale autonomie is het stellen van de eis dat verwerking en opslag van gevoelige gegevens uit bedrijfskritische saas-systemen voortaan uitsluitend plaatsvinden op platformen waarvan de statutaire zetel onder Nederlands of Europees recht valt.

Brouwer: ‘Uit onze gesprekken met de markt is gebleken dat saas-aanbieders absoluut bereid zijn om deze ambitie gezamenlijk te realiseren, met kostenstructuren die over tijd en bij voldoende volume minimaal competitief — of zelfs goedkoper — zullen zijn dan wat we vandaag gewend zijn.’

Verantwoord

Uit de gesprekken met de markt blijkt ook dat de kernwaarden van maatschappelijk verantwoord digitaliseren worden omarmd, maar dat marktpartijen twee belangrijke aandachtspunten zien. Ten eerste worstelen zij zelf met een diepgewortelde afhankelijkheid van Big Tech; hun medewerkers zijn jarenlang opgeleid en gevormd op die platformen, en een omslag naar NL/EU-aanbod is voor hen ook een meerjaren-aanpak. Ten tweede vragen zij de overheid om consistentie: een soevereiniteitsagenda die morgen minder urgent wordt bij een andere politieke wind ondermijnt het vertrouwen en maakt langetermijninvesteringen voor de markt onmogelijk.

Brouwer: ‘De VNG laat daarover geen misverstand bestaan: de verplichting om digitalisering in het publieke domein altijd onafhankelijk te organiseren, staat los van geopolitieke en technologische ontwikkelingen. Wat beide kanten van de tafel verbindt, is de overtuiging dat de transitie naar meer digitale autonomie alleen slaagt als markt en overheid die weg samen bewandelen, waarbij het maatschappelijk belang leidend is en een gezond verdienmodel randvoorwaardelijk.’