donderdag, augustus 02, 2012

De cloud bij de overheid



(het volledige artikel is te lezen in het Handboek Informatiemanagement)

Wat cloud computing voor een efficiëntere overheid kan betekenen, heeft de federale overheid in de Verenigde staten reeds goed begrepen. Daar is de overheid massaal aan het overschakelen naar *aaS-diensten. Het primaire doel van deze overschakeling is om op grote schaal de operationele efficiëntie en effectiviteit van de overheid te verbeteren.

Om te voldoen aan steeds complexere behoeften van de burgers, moeten overheidsinstanties de uitrol van nieuwe diensten sneller gaan dan voorheen. Zoals dit nu reeds het geval is met online verrichtingen (e-gov) als de aanvraag van paspoorten en rijbewijzen, belastingsaangiftes, afschriften van documenten. Voor deze vorm van interactie is een hoge kwaliteit en een veilige omgeving nodig omdat diensten zoals politie, brandweer en andere hulpdiensten tot de meest bedrijfskritische diensten behoren. Daarom zorgt de cloud niet alleen voor besparingen en efficiëntie-verhoging, ook voor een betere bescherming van de IT-infrastructuur, de data en de applicaties door een goede risicobeheersing. Men zou kunnen stellen dat introductie van de overheidsdiensten in de cloud , de druk voor de algemene veiligheid in de cloud sterk verhoogd heeft.

De federale agentschappen zijn druk bezig hun diensten te virtualiseren in een private cloud van de meer dan 2.000 federale datacenters. De risicobeheersing gebeurt een gemeenschappelijk cloud security programma : de Federal Risk and Authorization ManagementProgram (FedRAMP). Bij grote rampen en andere crisissen is de cloud immers de beste bescherming tegen verlies van data.
De implementatie van de cloud in de staat Colorado wordt sinds 2008 als een good-practice beschouwd. Colorado koos voor een zogenaamde Virtual Private cloud , die het beste biedt uit twee werelden : afgesloten en geïsoleerde netwerken met de flexibele mogelijkheden van een pay-as-you-go model. VPC diensten bieden mogelijkheden voor het hosten van grote systemen, zoals ERP, het verbeteren van ramp recovery-mogelijkheden en het verstrekken van goedkope opslag en archivering. De keuze was ingegeven onder druk van nakende besparingen, maar zorgt tevens voor een grotere efficiëntie.


Toch weten we uit ervaring dat vooral overheden nog steeds een allergie hebben om hun gegevens “ergens” in de cloud te deponeren. In België is er wettelijk weinig specifieks uitgewerkt, maar uiteraard gelden hieromtrent dezelfde wettelijke verplichtingen als voor plaatselijke servers.
De regelgeving over het gebruik van intern of extern gehoste servers is wettelijk niet expliciet geregeld. Het centrale artikel terzake is ons inziens artikel 6 uit “Decreet betreffende het elektronische bestuurlijke gegevensverkeer” van 18.07.2008.

ART. 6.
§ 1. De instanties zijn in ieder geval verplicht :
1° persoonsgegevens te verwerken overeenkomstig de Privacy wet;
2° bij iedere nieuwe toepassing van het elektronische bestuurlijke gegevensverkeer vooraf adequate technische en organisatorische maatregelen in te bouwen voor de naleving van de Privacy wet;
3° op elk moment te waken over de kwaliteit en de veiligheid van gegevens en alle maatregelen te treffen om een perfecte bewaring van persoonsgegevens te garanderen;
4° de toezichtcommissie te ondersteunen bij de vervulling van haar opdrachten;
5° de toezichtcommissie informatie te verstrekken en inzage in alle dossiers en informatieverwerkende systemen te verschaffen telkens als ze daarom vraagt.


Er wordt dus niet expliciet vermeld dat gemeenten hun servers intern moeten huisvesten, integendeel de eisen naar beveiliging, authenticatie en Privacy liggen zo hoog dat een kleine gemeente dit niet op eigen kracht kan en beter de kaart trekt om dit buitenshuis te laten doen.

Verschillende Vlaamse gemeenten hebben intussen wel gekozen voor het zogenaamde externe SaaS -model en het concept van cloud computing. Sinds mei 2011 is het gemeentebestuur van Houthalen-Helchteren operationeel met een oplossing Google Apps for Business Suite. Daarmee was het de gemeente een van de eerste openbare besturen in Vlaanderen die bewust koos voor de cloud . Hiermee kunnen alle medewerkers vanaf elke plek en eender wanneer zijn mail of kalender raadplegen, zowel via pc, laptop en smartphone. Dit project leverde bovendien een ernstige kostenbesparing op en een service-surplus dat de basisvereisten uit het lastenboek overtrof. Dit was trouwens een eerste stap uit het Strategisch Informatieplan van de gemeente dat gebaseerd is op vier assen: Informatie, Intelligentie, Integratie en Innovatie. Later zouden Zedelgem en andere gemeenten volgen.

Google biedt sinds enige jaren een aangepaste oplossing vooroverheden. Speciaal voor de overheid kregen Gmail en Google Calendar een aangepaste beveiliging en een specifiek Amerikaans beveiligingscertificaat.

Toch is het voor niet voor alle Europese landen een uitgemaakte zaak om in te stappen in Google-apps. Zo is overheidsgebruik van Google-apps in Noorwegen in strijd wet de wet. De Noorse Privacy -commissie is immers van oordeel dat de overheidsorganisaties, die hun data op Google bewaren, in overtreding zijn met de Privacy -wetgeving.

Intussen kiezen Belgische overheden duidelijk voor diverse cloud oplossingen. Zo wenst de Vlaamse Overheid het open source (en oorspronkelijke Vlaamse) cms Drupal te kunnen aanbieden als een SaaS voor al haar diensten, 'Drupal-as-a-service' dus. Daarvoor heeft ze in mei 2012 een aanbesteding uitgeschreven. Dit zou de Vlaamse overheid een grote efficiëntieverhoging tewerkstelligen en ruim 600 000 euro per jaar laten besparen. Momenteel werken de websites van de Vlaamse overheid met een 30-tal systemen en worden op 20 diverse plaatsen gehost.

Dit is echter niet zo nieuw. De lokale politiediensten werken reeds verschillende jaren met een Joomla-website die gehost wordt in een private-cloud .





1 opmerking:

  1. Wat nog altijd een groot probleem is voor één nationale cloud is de talloze IT bedrijven die hierin zijn verwikkeld.

    Met één cloud oplossing zijn er talloze beveiligingsmaatregelen die genomen moet worden en dat moet ook nog eens allemaal geprogrammeerd & geïmplementeerd worden.

    BeantwoordenVerwijderen