Ronald Otto (Tuxis) hamert op formuleren ICT-strategie bij bedrijven: ‘Zoek het binnen Europa’
Privacy first, cloud first, open source first. Minstens één van die doelstellingen zou moeten terugkeren in de ICT-strategie van organisaties, liefst in combinatie met de twee andere. “Je wilt niet weten welke bedrijfsrisico’s je loopt als je zulke zaken niet goed op orde hebt, waarschuwt Ronald Otto van Tuxis. “Zo staat niemand stil bij de kwetsbaarheid richting de Amerikaanse overheid.”
Tekst: Aart van der Haagen Fotografie: Tuxis
Otto windt er geen doekjes om. “Organisaties zijn knettergek dat ze hun data toevertrouwen aan cloudservers in de Verenigde Staten, een land waar nog niet zo lang geleden een tamelijk verknipt persoon de touwtjes in handen had. Rusland weet er nu alles van: als je in de clinch ligt met de Amerikanen, heeft dat grote gevolgen voor individuele bedrijven, in de zin van sancties. Ze gaan gewoon naar de knoppen doordat ze niet meer bij hun gegevens kunnen komen. Ook al zijn er misschien wel back-ups gedraaid, het levert altijd uitval, onnodig veel ongemak en dus extra werk op, zeker wanneer het een bijzonder bestandsformaat betreft dat zich alleen laat openen met behulp van bepaalde applicaties die nu buiten je macht liggen. Ondenkbeeldig? Wie geeft de zekerheid dat de Verenigde Staten en Europa altijd op goede voet met elkaar zullen blijven leven? Kijk maar even naar de kwestie met de Russische gasleiding. Trouwens, waarom wordt iedere passagier die het vliegtuig naar Amerika neemt naar zijn of haar activiteiten in de sociale media gevraagd? Wij zouden het raar vinden wanneer onze regering zoiets eist, maar daar zien ze het als een logische vorm van criminaliteitsbestrijding. Dat zegt iets.”
Opeisbaar
“Organisaties moeten er eens kritisch bij stilstaan wie er bij hun data kan komen", adviseert Otto met klem. “Allereerst natuurlijk de Nederlandse overheid. Over het algemeen niet in eerste instantie, maar wel als er een juridische kwestie speelt, want dan zijn de gegevens opeisbaar. Geloof het of niet, maar de Amerikaanse overheid heeft dezelfde macht, zónder tussenkomst van een Europese rechter. Zij kan zich namelijk beroepen op een speciaal daarvoor ingerichte wet: de Cloud Act. Weliswaar beperkt dit zich tot Amerikaanse bedrijven, maar ja, die beheren wel op grote schaal onze data. Ik noem maar even instituten als Microsoft, Google, AWS en alles wat daaraan vasthangt. Dan kan een cloudserver of een softwareleverancier wel als een zelfstandige BV opereren in Nederland, maar je maakt mij niet wijs dat er geen enkel product van een Amerikaanse moedermaatschappij gebruikt wordt. Zo’n strikte technische scheiding is er gewoonweg niet. Ik vind het zorgwekkend dat de Nederlandse overheid op grote schaal gebruik maakt van clouddiensten uit de Verenigde Staten. Kijk, dat een bedrijf een Office-pakket aanschaft kan ik nog begrijpen, maar in dit geval gaat het wel om persoonsgegevens die zo de oceaan over vliegen.”
Fatsoenlijke alternatieven
Volgens Otto mogen organisaties de risico’s niet onderschatten. “Kwetsbaarheid en eventueel zelfs aansprakelijkheid als bepaalde data in de verkeerde handen vallen, maar sta ook eens stil bij de vraag: ‘Wat als ik morgen niet meer bij mijn ICT kan?’ Welke oplossing is er dan voor handen? Zoek het om te beginnen binnen Europa en misschien wel het liefst binnen Nederland. Ga in zee met een leverancier bij wie je bij wijze van spreken op de koffie kunt. Die gewoon telefonisch te benaderen valt, zonder dat je moet chatten met een robot. Heus, er bestaan fatsoenlijke alternatieven voor de bekende Amerikaanse software op het gebied van klantrelatiebeheer, CRM, facturatie, boekhouding enzovoorts. Iedereen klampt zich vast aan Microsoft 365, maar in de praktijk weten een heleboel mensen niet hoe ze ermee moeten werken en het blijkt niet zo intuïtief te functioneren als beloofd. Een puur Europees programma als FilesOnline schotelt je dezelfde faciliteiten op een eenvoudiger wijze voor: samenwerken in documenten, videochatten, noem maar op.”
Vendor locking
Otto weet wel wat er in de praktijk gebeurt. “We laten ons insluiten door onder andere de vendor locking van Microsoft. Zodra je je pc opstart, kun je al niet meer om het aanbod heen. Je ziet leuke features, klikt er vanzelf op om ze te installeren en bekijkt geen andere producten meer. Al sinds begin jaren negentig probeert onze overheid zich los te weken van die club, maar ja, dat houdt wel wat in: je moet software kopen die op alle besturingssystemen draait en webapplicaties gebruiken of laten bouwen die in alle browsers werken. Een partij als Microsoft veert graag mee met zulke opdrachtgevers, die door de omvang van hun afname een aardige macht hebben. Dat kan simpelweg een eis zijn bij de aanschaf. Zo krijg je het verhaal van de kip en het ei. Mijn boodschap aan organisaties luidt daarom: neem strakke beslissingen op het gebied van je ICT, bepaal je strategie en leg jezelf daarmee heldere richtlijnen op. De meest gangbare en logische doelstellingen zijn privacy first, cloud first, open source first. Je hoeft ze niet allemaal op nummer één te plaatsen of überhaupt in je koers vast te leggen, als je maar tot een doordachte afweging komt. Vraag eventueel goede raad aan je ICT-afdeling of een solide ICT-adviseur. Wel eentje zonder belangen bij bepaalde leveranciers, natuurlijk.”
Vraag omdraaien
“Kijk naar functionaliteit om een probleem op te lossen en zoek daar vervolgens een product bij, dat je aan je strategie toetst”, vervolgt Otto. “Kom je in het bestaande aanbod niks geschikts tegen, dan kun je het altijd laten bouwen. Zo moeilijk is dat over het algemeen niet. Durf bij een leverancier de vraag eens om te draaien: ‘Hoe goed voldoet jouw product aan mijn strategie?’ Waak dan alleen wel voor wollige antwoorden, zoals ‘wij vinden jouw privacy heel belangrijk.’ Dat zegt nog helemaal niets concreets. Vergeet ook niet om over de schutting te kijken wanneer je binnen de kaders van je strategie niet de juiste oplossing vindt. Prima als je je focust op open source, zodat de applicaties blijven werken wanneer een leverancier het roer omgooit, maar staar je er niet blind op. Misschien levert de wereld van closed source je voor hetzelfde geld wel een beter product. Wat je in ieder geval niet moet doen is wat ik laatst binnen een school hoorde: Microsoft first. Dat staat zo’n beetje gelijk aan een airconditioner op een terras plaatsen. Volstrekt stom.”
Fysieke scheiding
Graag wil Otto nog iets kwijt over clouddiensten. “Organisaties oriënteren zich heel makkelijk op de grote aanbieders in de Verenigde Staten. Public cloud lijkt voordelig en kan voor een start-up die snel aan de slag wil in eerste instantie inderdaad gunstig uitpakken, maar zodra je gaat opschalen begint de teller te lopen. Extra capaciteit aanvragen kost meteen flink geld. Zoek liever naar een partij, binnen Nederland of tenminste Europa, die private cloud aanbiedt. Dat geeft je een betere controle, want je hebt geen ‘last’ van andere klanten. Wanneer de public cloud volstroomt, wordt hij traag en krijg je dus niet meer waarvoor je betaalt. Tenzij je ineens extra capaciteit bijkoopt: dan werkt het ineens weer wel naar behoren. Heel raar. Daarnaast garandeert private cloud je niet alleen een digitale, maar ook een fysieke scheiding. Voorbeelden te over van datalekken, ontstaan doordat de software die de klanten uit elkaar houdt niet juist geconfigureerd is. Toch vervelend als anderen dan ineens bij jouw gegevens kunnen. Breng alles hoe dan ook bij minstens twee en liefst drie datacenters onder en informeer bij elke aanbieder wat er gebeurt als het uitvalt, ook in geval van private cloud. Het maakt allemaal deel uit van een zorgvuldig uitgewerkte ICT-strategie die élke organisatie voor zichzelf zou moeten formuleren, om serieuze risico’s af te wenden.”
Meer informatie: www.linkedin.com/in/ronaldotto