SURFcumulus & Publieke waarden

Meer en meer wordt er gesproken in de politiek en in bestuurskamers over termen als eigenaarschap van data, digitale soevereiniteit, autonomie en keuzevrijheid. Dit is geen uitputtende lijst, dit zijn slechts een aantal termen. We noemen dit publieke waarden.

Publieke waarden zijn waarden waarvan we het belang als samenleving zo hoog achten dat we ze op het niveau van de samenleving organiseren.

SURF heeft samen met kennisnet en instellingen een Waardenwijzer opgesteld om het gesprek over de waarden op gang te brengen. Er zijn bijvoorbeeld al leergangen voor bestuurders rondom digitale soevereiniteit. Het is een kwestie van tijd tot instellingen hier ook in de dagelijkse praktijk mee te maken gaan krijgen.

Vanuit de dienst SURFcumulus willen we instellingen helpen zich hierop voor te bereiden. We hanteren hierbij twee uitgangspunten:

1. Publieke waarden en Big Tech kunnen prima samen gaan.
2. SURFcumulus werkt 2 kanten op:
   • We stellen eisen aan leveranciers.
   • We werken samen met instellingen om de cloud publiekwaardig in te zetten.

We willen helpen door met concrete voorbeelden te laten zien hoe de dienst kan bijdragen aan de publieke waarden doelstellingen van een instelling. We doen dit aan de hand van de Cloud Sourcing Strategie. Hierin worden negen aandachtsgebieden besproken die toepasbaar zijn. Voor ieder aandachtsgebied vind je een toepassing voor SURFcumulus, deze hebben we vertaald naar een vraag:

• Regie op de sector als geheel – Hoe blijf ik zelf aan het stuur?
• Zeggenschap over onderwijs en onderzoek - Hoe zorg ik dat ik zeggenschap hou over onderwijs en onderzoek?
• Een vitale infrastructuur - Hoe zorg ik dat mijn infrastructuur futureproof blijft?
• Data soevereiniteit- Hoe hou ik controle over de opslag en verwerking van data, en wie daar toegang toe heeft?
• Afscherming van gegevens - Hoe zorg ik dat mijn gegevens (voldoende) zijn afgeschermd?
• Ontbundeling van het landschap – Hoe voorkom ik een vendor lock in?
• Een gelijk speelveld – Hoe zorg ik dat ik de beste keuze maak voor cloud voorzieningen voor mijn instelling?
• Verwerving en beheer in een afgewogen proces - Hoe zorg ik dat ik het overzicht hou en in control blijf van het cloudgebruik binnen mijn instelling?
• Benutten van mogelijkheden - Hoe benut ik de mogelijkheden van de cloud optimaal, op een verantwoorde manier?

Wanneer we de negen thema's van de SURF cloud sourcing strategie toepassen op SURFcumulus, dan zien we dat er twee categorieën zorgen zijn die meermaals terugkomen, nl. ongewenste afhankelijkheid en verlies aan grip op cloudgebruik.

Ongewenste afhankelijkheid van je cloudleverancier

Wanneer je gegevensverwerking uitbesteedt of de infrastructuur voor gegevensverwerking uitbesteedt, dan introduceer je het risico dat je in de toekomst geen toegang meer hebt tot je eigen gegevens. De risico's nemen toe wanneer je minder grip hebt op de leverancier en als je er sterk van afhankelijk bent.

Op een leverancier die op grote afstand staat of voor wie jij een kleine klant bent, heb je minder grip. De leverancier kan zijn portfolio veranderen op een manier die niet bij jou past, of prijsaanpassingen doen die de dienstverlening voor jou duurder maken. Een leverancier die opereert vanuit een niet-EU land heeft te maken met wet- en regelgeving uit zijn thuisland die kan conflicteren met Europese wet- en regelgeving, bv. op het gebied van bescherming van persoonsgegevens of regels over content die ongeschikt wordt geacht voor studenten.

Grote afhankelijkheid van een leverancier onstaat als je er kritische gegevens verwerkt en als je meerdere soorten diensten afneemt bij dezelfde leverancier. Denk bijvoorbeeld aan het afnemen van office productivity suites (kantoortoepassingen, bestandsopslag, intranet applicaties en elektronisch vergaderen), IaaS/PaaS diensten, applicatiebouw (source code management, low code platformdiensten) en SaaS diensten bij een leverancier. Het voordeel van zo'n aanpak is dat de verschillende categorieën van diensten goed op elkaar aansluiten. Er staat tegenover dat je niet meer zonder die leverancier kunt.

Als je sterk afhankelijk bent van een leverancier, is het waarschijnlijk lastig om bij die leverancier weg te gaan. Daardoor kan zo'n leverancier proberen om de prijzen te verhogen of je dwingen op een andere manier te gaan werken.

Daarom is het belangrijk om een goede risico analyse te maken voordat je applicaties die kritische gegevens verwerken uitbesteedt. Daarnaast moet er een weloverwogen keuze gemaakt worden indien je gebruikt maakt van niet-Europese leveranciers. Het is ook belangrijk om het gemak van het gebruik van één cloudleverancier voor meerdere applicaties af te wegen tegen je afhankelijkheid van die leverancier.

Verlies aan grip op cloudgebruik

Cloudplatformen bieden vaak meer functionaliteit dan je initieel nodig hebt. En cloudplatformen stellen je vaak in staat om onderdelen van je organisatie hun eigen cloudomgeving te laten inrichten - ze kunnen hun eigen VMs, containers, databases e.d. aanmaken zonder tussenkomst van de IT afdeling.

Deze combinatie van veel functionaliteiten en self-service zorgt ervoor dat je het risico loopt om de grip op het gebruik van clouddiensten te verliezen, zelfs als je maar 1 cloudleverancier gebruikt. Het risco op verlies aan grip op cloudgebruik wordt nog groter wanneer je cloudleverancier een marktplaats heeft waar hun klanten software of diensten van derde partijen kunnen aankopen. Zonder beleid op het gebruik van cloudmarktplaatsen en controle op het gebruik ervan, kun je geconfronteerd worden met onverwacht hoge kosten, beperkende gebruiksvoorwaarden, ongewenst gebruik van jouw gegevens door de marktplaatsleverancier, etc.

Een goed ingerichte cloud landing zone helpt bij het behoud van grip op het cloudgebruik. In een cloud landing zone kun je beperkingen instellen op het gebruik van clouddiensten en controles inbouwen op het gebruik van bepaalde diensten of cloudregio's. SURFcumulus Professional Services kan gebruikt worden voor het selecteren van gekwalificeerde cloudpartners voor het inrichten van landing zones.

Een andere manier om inzicht te houden op het cloudgebruik is het afstemmen van cloudgebruik op financiële processen. Je kunt inzicht creëren in het gebruik per facultateit, opleiding, afdeling, applicatie of project. De kosten kunnen worden vergeleken met het budget en ze kunnen worden doorbelast.

Verschillende SURFcumulus leveranciers bieden cloudmarktplaatsen aan. De gebruiksvoorwaarden van marktplaatsproducten zijn niet getoetst bij de openbare aanbesteding waar SURFcumulus op is gebaseerd. We raden onze instellingen aan om zelf goede controle in te richten op het gebruik van cloudmarktplaatsen.