Uniserver: ‘Zorg dat in ieder geval de data veilig is’

“Nu blijkt dat hyperscalers niet altijd werken zoals gedacht voor de overheid, komen ze steeds vaker bij ons terecht, als grote Nederlandse aanbieder,” zegt Jeroen Wouda, Technical Cloud Specialist bij Uniserver. “In die gesprekken leggen we uit wat wij voor de overheid kunnen betekenen. Je ziet dat ze zich aanvankelijk veel zorgen maken over de gedachte dat een lokale partij per definitie duurder is, Maar dat blijkt in de praktijk eigenlijk helemaal geen probleem te zijn. Wij zijn niet duurder dan de hyperscalers, we hebben alleen een ander model.”

De vraag die hij concreet krijgt is vaak in eerste instantie het één op één overzetten van de systemen, volgens de bestaande standaarden en gebruiken. Bij voorkeur in hun eigen datacenters, terwijl dat vaak helemaal niet nodig is en het nodeloos duur maakt. “Een uitdaging voor de overheid is dat ze zelf vaak niet gestandaardiseerd hebben. De systemen zijn vaak per project tot stand gekomen, op basis van een bepaald budget, zonder er rekening mee te houden dat het na vijf of zeven jaar vervangen moet worden.”

Strategische blik

Hij pleit er dan ook voor om met een meer strategische blik naar overheidstechnologie te kijken. “Wij hebben alles gestandaardiseerd, waardoor we onze dienstverlening automatisch kunnen beheren over de hele lifecycle. Omdat we vanuit die standaarden werken, kunnen we makkelijker automatiseren en is het eenvoudiger om een hoge kwaliteitsstandaard te behalen.”

Dit vraagt van de overheid we de bereidheid wat breder te kijken naar technologie. “Wat we veel zien in aanbestedingen is dat het gaat om losse kavels voor bijvoorbeeld hardware, een platform, of beheer. Maar als MSP leveren wij een dienst. Wij – en veel van onze collega-organisaties– gaan geen omgeving beheren die we niet zelf hebben gebouwd. Daar is onze software niet op ingericht. En we staan ook niet altijd achter de keuzes die daarin gemaakt zijn. Het hoeven geen verkeerde keuzes te zijn, maar het zijn wel andere keuzes dan wij zouden maken. Wij willen dus graag een compleet pakket aanbieden.”

Legacy

De moderne IT-landschappen die bij hyperscalers staan zijn daar in veel gevallen wel voor ingericht. Maar de grote uitdaging bij de overheid is de grote hoeveelheid legacy-systemen die in diverse eigen datacenters draaien. Het moderniseren van die bestaande systemen is voor overheids-CIO’s een flinke uitdaging, zeker gezien de schaarste van geschoold IT-personeel en het gebrek aan standaarden.”

Daar kan ook het bestaande partnermodel van Uniserver bij helpen. “Wij zijn een MSP voor MSP’s en ISP’s. We leveren dus maar zeer beperkt aan eindklanten. Wij hebben een indirect model en ons portfolio is daar ook op ingericht. Dat sluit aan bij de manier waarop de overheid is georganiseerd. Daar zijn aparte afdelingen verantwoordelijk voor IT. Zo’n afdeling zou prima klant bij ons kunnen zijn, net als een MSP, om de onderlaag van het platform dat ze zelf beheren bij ons in te kopen. Dan zijn ze verlost van veel zaken die nu als een molensteen om hun nek hangen.”

Soevereine cloud

Uniserver maakt al enige tijd serieus werk van de momenteel veelbesproken soevereine cloud. “Wij zijn daar zo’n drie jaar geleden mee begonnen, toen bekend werd dat er naast de NIS2-regelgeving ook EU-wetgeving aankwam. In die regelgeving – die nog steeds niet definitief is – zit een geopolitieke component: data met een bepaalde kwalificatie mag niet buiten Europa terechtkomen. En ‘buiten Europa’ betekent ook geen data in Amerikaanse handen, ook niet als het datacenter van de hyperscaler fysiek in Europa staat.”

“Uniserver is volledig in Nederlands eigendom. We zijn ons daarin dus gaan verdiepen, en zijn gaan investeren om onze organisatie geschikt te maken voor de hoogste classificatie onder de verwachte EU-wetgeving. Dat gaat onder andere over cryptografie van verbindingen, maar er zijn ook andere aspecten. Die wetgeving is dus nog niet definitief, maar wij hebben hem goed doorgenomen en er bewust op voorgesorteerd.”

Controle

Los van die wetgeving is het verstandig om je als Europa af te vragen of het verstandig is dat persoonsgegevens of intellectueel eigendom ergens staan waar een buitenlandse mogendheid daar controle over kan uitoefenen als onderhandelingsmiddel. Ik denk dat we dat niet moeten willen, zeker als overheid. Natuurlijk zijn er nog steeds uitdagingen, maar je kunt in elk geval beginnen met wat wél mogelijk is.”

“Want er zijn alternatieven. Een partij als Uniserver kan voor vrijwel elke on-demand dienst die je nu bij een hyperscaler afneemt zo’n alternatief bieden. Soms gebaseerd op open source, soms op closed source. Alleen zijn die dan meestal niet met één klik beschikbaar via een API of met je creditcard. Je moet daar dan gewoon een gesprek over voeren. Met wat communicatie kunnen wij dat prima neerzetten, en vaak nog goedkoper ook.

Security

Maar zelfs waar voor bepaalde data nog geen alternatief is door de complexiteit van de huidige oplossing, is het in ieder geval zaak de security goed in te richten. “Zorg dat de securitycomponent wordt ingericht of beheerd door een partij die politiek gezien op één lijn zit met jou. Probeer in elk geval op korte termijn lokaal je security of disaster recovery-diensten te regelen, zodat je je data veiligstelt.”

Waar het volgens hem om gaat is het inschatten van de impact. “Dat heeft alles te maken met compliance. Ook als uit de risico--analyse blijkt dat de kans op problemen klein is, kan de impact, als er iets gebeurt, wel degelijk groot zijn. Het is belangrijk daar goed over na te denken, want dan is het makkelijker om budget vrij te maken om er zeker van te zijn dat in geval van nood data naar een andere Europese partij kan gaan. Als je daar nu niets voor regelt heb je niets, en ben je het echt kwijt.”