De juiste cloud voor overheidsinstellingen: een gids voor de toekomst

Tegenwoordig zijn digitale transformatie, efficiëntie en databeveiliging superbelangrijk voor overheidsinstellingen. Daarom moet je de juiste cloudtechnologie kiezen die past bij wat je organisatie nodig heeft en die voldoet aan de regels. En er zijn nogal wat cloudvormen. Welke zijn er ondertussen? En hoe ontdek je welk vorm het beste bij jouw organisatie past? Consultant Jan Geraets geeft de antwoorden in dit artikel.

We evalueren in deze blog de volgende cloudvormen:

• Public cloud
• Private cloud
• Hybrid cloud
• Souvereign cloud
• Industry cloud

Public cloud voor overheidsinstellingen: flexibiliteit en schaalbaarheid

Bij de public cloud kiezen de meeste overheidsinstellingen voor Microsoft. Dit komt omdat ze al bekend zijn met producten zoals Word, PowerPoint en SharePoint.

De public cloud biedt veel voordelen, maar volgens Jan zijn flexibiliteit en schaalbaarheid de belangrijkste. “Overheidsinstellingen hebben te maken met piekbelasting, bijvoorbeeld wanneer subsidieaanvragen of belastingaangiften in een bepaalde periode gebeuren. Public cloudplatforms bieden een infrastructuur waarbij je binnen enkele minuten geautomatiseerd kan op- en afschalen. Een platform zoals Azure kan meeschalen, wat een praktische en kostenefficiënte oplossing is voor de dynamiek van overheidsinstellingen.”

Cyberveiligheid en compliance-regels

De public cloud is een goede keuze als het gaat om cyberveiligheid. Jan: “Zeker gezien het hoge aantal cyberaanvallen door de toenemende geopolitieke dreigingen.” De (public) cloud is zeer veilig, omdat cloudproviders als Microsoft of Amazon Web Services (AWS) beschikken of een hoog kennisniveau. Jan: “Dit niveau van ontwikkeling is moeilijk zelf te realiseren als je organisatie beperkte middelen heeft.”

Een voorbeeld wanneer de public cloud zeer veilig bleek, is de oorlog in Oekraïne. De Oekraïeners hadden hun data in de cloud van AWS hadden opgeslagen. Hierdoor konden de Russen deze data niet aantasten, wat de impact van de cyberaanval – die vooraf ging aan de daadwerkelijke invasie begin 2022 - aanzienlijk verminderde.

De public cloud van Microsoft kan ook helpen bij compliance-processen door geautomatiseerde tools zoals Microsoft Purview aan te bieden. “Dit helpt bij het naleven van wet- en regelgeving door data automatisch te analyseren en te beschermen.”

Ook zijn er geavanceerde technologieën zoals AI en data-analyse beschikbaar bij de public cloud. Ondanks de voordelen, is er bezorgdheid over dataprivacy. “Hoewel je data in de EU kunt opslaan, blijft het feit dat de cloudprovider een Amerikaans bedrijf is een punt van zorg. Soms mogen overheidsinstellingen hun data simpelweg niet bij een public cloudprovider opslaan.”

Besparen op kosten van hardware

Een ander voordeel van de public cloud is het besparen op hardware- en onderhoudskosten. Jan legt uit: “Fysieke servers en infrastructuur zijn niet meer nodig. Dit verlaagt de investering en vermindert de uitgaven voor onderhoud, omdat de cloudprovider deze taken op zich neemt. Bovendien betaal je bij de public cloud alleen voor de daadwerkelijk gebruikte resources, wat extra kostenbesparingen oplevert.”

De verschuiving naar de public cloud is niet per se goedkoper dan on premises of andere vormen van cloud, maar biedt meer ict-mogelijkheden en moderne beveiligingsmethoden. Volgens Jan hangt de keuze tussen private en public cloud af van de mate van controle die een organisatie wil behouden. “Bij een private cloud heb je meer in beheer, terwijl je bij een public cloud volledig ontzorgd wordt.”

Blog: Wat is het verschil tussen de private en public cloud?

Private cloud voor overheidsinstellingen: de meeste controle

Wil je meer controle over je data, dan kun je beter voor de private cloud kiezen, omdat de organisatie meer zelf in beheer heeft. Een private cloud is een exclusieve cloudomgeving voor één organisatie, met verbeterde beveiliging en controle. Je maakt gebruik van diensten van een cloudprovider, maar je slaat je data in Nederland op; je beheert dus je eigen servers en beveiliging.

Bij een private cloud moet je organisatie vaak zelf ook andere zaken regelen, zoals de beveiliging van de dataopslag. “Hoewel data in private clouds goed beveiligd is, moet je organisatie zelf aanvullende beveiligingsmaatregelen nemen”, legt Jan uit. “De cloudprovider verzorgt de basisbeveiliging, maar jouw organisatie blijft verantwoordelijk voor het implementeren van extra beveiligingslagen.”

Private clouds helpen bij het voldoen aan compliance en regelgeving. Jan: “Data in een private cloud wordt vaak opgeslagen bij een specifieke cloudprovider in Nederland, waarbij deze rekening houdt met lokale regelgeving zoals de AVG. De data blijft binnen de landsgrenzen, waardoor je organisatie goed voldoet aan de regelgeving.”

Hybride cloud: een combinatie van de publieke en private cloud

De hybride cloud is een combinatie van zowel de public als de private cloud. Waar dat dan precies op neerkomt? “De typen infrastructuren van de private en public clouds blijven los van elkaar functioneren, maar wisselen waar nodig data en applicaties met elkaar uit. Daardoor heb je als organisatie veel verschillende mogelijkheden.”

Veel organisaties kiezen voor deze vorm van de cloud omdat het organisaties de flexibiliteit biedt om gevoelige data in een private cloud te houden, terwijl minder kritieke data en applicaties dan in de public cloud staat.

Jan: “De hybride cloud biedt een hoge mate van beveiliging, vergelijkbaar met die van een private cloud, terwijl het tegelijkertijd de schaalbaarheid en flexibiliteit van een public cloud combineert. Het beheer van een hybride cloud is wel complex. Het vereist een goed doordachte strategie en expertise om deze effectief te beheren. Bovendien zijn de initiële kosten voor het opzetten van een hybride cloud hoog, het vergt een flinke investering.”

Een hybride cloud is vooral nuttig voor afdelingen of processen die niet geschikt zijn voor de public cloud vanwege strikte beveiligings- of compliance-eisen. Jan noemt dat dit een manier is om ervoor te zorgen dat data altijd in Nederland blijft, zowel wanneer de data niet wordt gebruikt (at rest) als wanneer de data wordt verzonden of verwerkt (in transit).

Hij geeft een voorbeeld van een provincie, waar een hybride cloud wordt gebruikt voor specifieke database-oplossingen en Internet of Things (IoT) toepassingen, zoals waterbeheersystemen. De provincie kan de data de in private cloud opslaan en uitlezen en vervolgens in de public cloud met tools zoals Excel bewerken.

Multicloud: flexibiliteit maar ook complex beheer

Een multicloud houdt in dat een organisatie meerdere cloudservices van verschillende aanbieders gebruikt om zo de beste diensten en functionaliteiten te combineren.

Multicloud biedt overheden aanzienlijke voordelen, zoals flexibiliteit, kostenoptimalisatie en risicospreiding. Jan: “Door gebruik te maken van meerdere cloudproviders kunnen overheden de beste diensten selecteren voor verschillende toepassingen, wat hen helpt te voldoen aan regelgeving regelgeving zoals de AVG. Dit vermindert ook de kans op downtime en beveiligingsincidenten.”

Maar de implementatie van de multicloud brengt ook uitdagingen met zich mee. Jan: “Het beheer van verschillende platforms kan complex zijn, vooral voor overheden met beperkte ict-resources. Beveiligingsuitdagingen kunnen ontstaan door inconsistenties tussen providers, en integratieproblemen kunnen naadloze datastromen belemmeren.

Daarom is het cruciaal dat overheden duidelijke contracten en SLA's hebben om verantwoordelijkheden vast te stellen. Als overheden beschikken over de juiste middelen en governance, kan multicloud een krachtige strategie zijn om de efficiëntie en innovatie te verbeteren.”

Sovereign cloud: data binnen landsgrenzen

De sovereign cloud biedt overheidsinstellingen de mogelijkheid om data binnen hun eigen landsgrenzen te houden, wat belangrijk is voor compliance en regelgeving. Net als de private cloud, biedt de sovereign cloud een hoge mate van beveiliging.

Jan: “Een belangrijk voordeel is dat data uitsluitend binnen nationale grenzen wordt opgeslagen, wat betekent dat deze gegevens onder de Nederlandse wetgeving vallen en niet toegankelijk zijn voor buitenlandse overheden, zoals de Amerikaanse Cloud Act. Dit maakt het eenvoudiger voor overheden om te voldoen aan strikte Europese en Nederlandse privacy- en compliance-regels, zoals de AVG.”

Daarnaast hebben organisaties in de sovereign cloud volledige controle over wie er toegang heeft tot hun gegevens. De sovereign cloud biedt ook voordelen zoals versleutelde gegevens en maatwerkoplossingen, geleverd door lokale partners, wat zorgt voor extra veiligheid.

Overheidsinstellingen moeten echter rekening houden met enkele nadelen. Jan: “Zo kan een overstap naar de sovereign cloud gepaard gaan met hogere kosten en minder snelle toegang tot technologische updates in vergelijking met de public cloud. Ook kan de migratie naar de sovereign cloud complex zijn, wat leidt tot extra werk bij de implementatie en nieuwe contractafspraken.” Ondanks deze uitdagingen is de sovereign cloud een aantrekkelijke oplossing voor overheidsinstellingen die maximale controle en veiligheid over hun data willen.

Blog: De 5 belangrijkste vragen over de souvereign cloud

Industry cloud

De industry cloud biedt oplossingen die specifiek zijn afgestemd op de behoeften van een bepaalde sector, zoals de overheid. Deze oplossing wordt steeds populairder. Uit onderzoek van Gartner blijkt dat veertig procent van alle Noord-Amerikaanse en Europese bedrijven gebruikmaken van een industry cloud. Vijftien procent gaf aan bezig te zijn met pilots, en nog eens vijftien procent heeft een implementatie voor 2026 gepland. Je kunt dus stellen dat industry clouds mainstream worden.

Jan: “Industry clouds zijn vaak ontworpen om te voldoen aan de specifieke wensen en eisen van een sector, zoals compliance en regelgeving. De oplossingen stappen af van een generieke aanpak.”

Industry clouds creëren een basis die bedrijven eenvoudig en zonder hoge kosten aan hun behoeften kunnen aanpassen. Industry clouds dichten de kloof tussen een dergelijke gepersonaliseerde ervaring en het goedkopere alternatief. Toch biedt de industry cloud minder flexibiliteit dan de public cloud en het kan duur uitpakken.”

Welke cloudoplossing is het beste?

Ik vroeg dit aan Jan. Jan maakt er geen geheim van fan te zijn van de public cloud. Zijn grootste argument? “Zij hebben alle expertise in huis, dat ga je als kleinere organisatie met beperkte budgetten en personeelstekort nooit kunnen bijbenen.” Maar uiteindelijk is het antwoord: het verschilt per organisatie welke oplossing het beste bij je past.

Bij het kiezen van de juiste cloudoplossing is het belangrijk dat je organisatie de volgende punten meeneemt:

• Data privacy en beveiliging: Als overheidsinstelling moet je voldoen aan regelgeving als NIS2 en de BIO, en daarnaast zijn er compliance-regelgevingen. Houd hiermee rekening in de cloudkeuze.
• Kosten: Het is belangrijk dat de kosten van de cloudoplossing in lijn zijn met het budget van de organisatie.
• Schaalbaarheid en flexibiliteit: De cloudoplossing moet flexibel en schaalbaar zijn om aan de veranderende behoeften van je organisatie te voldoen.
• Expertise: Het is noodzakelijk dat je organisatie de juiste expertise in huis heeft om de de cloudoplossing effectief te beheren.

Of het nu gaat om de public cloud, private cloud, hybrid cloud, sovereign cloud of industry cloud, elke optie heeft zijn eigen voordelen en nadelen. Door de juiste overwegingen te maken en de juiste expertise in huis te halen, kunnen overheidsinstellingen profiteren van de voordelen van de cloud en tegelijkertijd de risico's minimaliseren.