Skip to content

Commit

Permalink
Hoofdstukindeling aangepast
Browse files Browse the repository at this point in the history
  • Loading branch information
@brienen
brienen committed Feb 7, 2024
1 parent 2e3f7e2 commit 428578c
Show file tree
Hide file tree
Showing 10 changed files with 333 additions and 333 deletions.
2 changes: 1 addition & 1 deletion js/config.js
View file
Original file line number Diff line number Diff line change
Expand Up @@ -7,7 +7,7 @@ let respecConfig = {
pubDomain: "dk",
shortName: "Onderzoek Cloudstandaarden",
publishDate: "2024-02-04",
publishVersion: "1.0",
publishVersion: "versie 1.0",

previousVersion: "0.2",
previousPublishDate: "2023-08-13",
Expand Down
4 changes: 2 additions & 2 deletions rapport_0.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -22,13 +22,13 @@ Forum Standaardisatie formuleerde de volgende onderzoeksvragen voor dit onderzoe

## Uitvoering van het onderzoek

Het onderzoek werd tussen september en december 2023 uitgevoerd. Voor het onderzoek zijn bronnen geanalyseerd ([zie bijlage 1](#gebruikte-bronnen-bij-het-onderzoek)) en interviews gehouden met 27 experts van onder andere NEN, TNO, VNG, ICTU, ACM, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Ministerie van Justitie en Veiligheid, NCSC, Cloud Security Alliance, Microsoft en IBM (zie [bijlage 2](#de-betrokken-experts) voor de volledige lijst met geïnterviewde experts).
Het onderzoek werd tussen september en december 2023 uitgevoerd. Voor het onderzoek zijn bronnen geanalyseerd ([zie bijlage 7](#bijlage---wat-is-cloud)) en interviews gehouden met 27 experts van onder andere NEN, TNO, VNG, ICTU, ACM, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Ministerie van Justitie en Veiligheid, NCSC, Cloud Security Alliance, Microsoft en IBM (zie [bijlage 6](#_Bijlage_2:_De) voor de volledige lijst met geïnterviewde experts).

Ook zijn bijeenkomsten bijgewoond over het onderwerp cloud en standaarden. Dit betrof bijeenkomsten tijdens het [iBestuur congres van 13 september 2023](https://magazine.ibestuur.nl/ibestuur_congres_2023_terugblik/cover), de [Haven](https://haven.commonground.nl/) community dag van 31 oktober 2023 en het [ECP Jaarfestival van 16 november 2023](https://ecp.nl/jaarfestival/).

## Leeswijzer

Dit rapport is zo piramidaal mogelijk opgesteld, waarbij we beginnen met de conclusies ([hoofdstuk 2](#conclusies-van-het-onderzoek)) en adviezen aan de overheid ([hoofdstuk 3](#adviezen-aan-de-overheid)), gevolgd door de onderbouwing ([hoofdstuk 4](#standaarden-voor-de-cloud)).

De aanpak, scope en uitgangspunten en de resultaten van de deskresearch zijn in bijlagen opgenomen. In [bijlage 3](#aanpak-en-planning-onderzoek) is een overzicht opgenomen van de uitgevoerde stappen in het onderzoek met de bestede tijdsperiode per stap. [Bijlage 4](#wat-is-cloud) bevat een uitleg van de cloud en clouddiensten, implementatievarianten van clouddiensten en een opsomming van belangrijke cloudleveranciers wereldwijd, in Europa en in Nederland. In [bijlage 5](#scope-en-uitgangspunten) zijn de uitgebreide scope en uitgangspunten van het onderzoek beschreven, onder andere een samenvatting van het vernieuwde Rijkscloudbeleid van augustus 2022. [Bijlage 6](#cloudontwikkelingen-en-trends) bestaat uit een overzicht van de mondiale trends, Europese ontwikkelingen en initiatieven vanuit de Nederlandse overheid met betrekking tot het cloudbeleid.
De aanpak, scope en uitgangspunten en de resultaten van de deskresearch zijn in bijlagen opgenomen. In [bijlage 5](#_Bijlage_3:_Aanpak) is een overzicht opgenomen van de uitgevoerde stappen in het onderzoek met de bestede tijdsperiode per stap. [Bijlage 1](#_Bijlage_4:_Wat) bevat een uitleg van de cloud en clouddiensten, implementatievarianten van clouddiensten en een opsomming van belangrijke cloudleveranciers wereldwijd, in Europa en in Nederland. In [bijlage 4](#_Bijlage_5:_Scope) zijn de uitgebreide scope en uitgangspunten van het onderzoek beschreven, onder andere een samenvatting van het vernieuwde Rijkscloudbeleid van augustus 2022. [Bijlage 2](#_Bijlage_6:_Cloudontwikkelingen) bestaat uit een overzicht van de mondiale trends, Europese ontwikkelingen en initiatieven vanuit de Nederlandse overheid met betrekking tot het cloudbeleid.

44 changes: 26 additions & 18 deletions rapport_10.md
View file
Original file line number Diff line number Diff line change
@@ -1,35 +1,43 @@
# Risico’s van de toepassing van cloud en clouddiensten
# Bijlage - Gebruikte bronnen bij het onderzoek

Hoewel cloudcomputing veel voordelen biedt, zijn er ook verschillende risico's en uitdagingen waarmee (overheids)organisaties en individuen rekening moeten houden. Vragen over dataprivacy, beveiliging en de integratie met bestaande systemen, maar ook de toenemende marktpositie en daarmee de macht van de hyperscalers zijn ontwikkelingen die in de gaten moeten worden gehouden. Een mogelijkheid hiertoe is de toepassing van wetgeving, normen en standaarden.
De volgende bronnen zijn gebruikt als input voor dit rapport:

In het onderzoek kwamen de volgende uitdagingen en risico’s naar voren:
- [Handreiking risicobeheersing toepassing publieke clouddiensten](https://open.overheid.nl/documenten/ronl-734f947ec6465e4f75a56bed82fe64a1135f71a8/pdf)

1) **Vendor-lockin:** de cloudmarkt heeft een groot risico op vendor-lockin. Als eenmaal voor een cloudleverancier is gekozen dan zijn er grote drempels om over te stappen naar een ander leverancier. Het grote risico op vendor lockin lijkt groter dan bij traditionele on-premise oplossingen en heeft de volgende oorzaken:
- [Kamerbrief over rijksbreed cloudbeleid 2022](https://www.rijksoverheid.nl/documenten/kamerstukken/2022/08/29/kamerbrief-rijksbreed-cloudbeleid-2022)

1. Clouddiensten worden binnen de overheid aanbesteed, waarna er één dienst overblijft en men zich daarop volledig richt. Een dergelijke aanbesteding kost veel tijd en moeite. Dit wordt nader onderbouwd in de [Marktstudie clouddiensten door ACM](https://www.acm.nl/system/files/documents/marktstudie-clouddiensten.pdf):
- Preparatory work in view of the procurement of an open source cloud-to-edge middleware platform (30 maart 2022)

*“Wanneer een gebruiker eenmaal heeft gekozen voor een specifieke clouddienst is de drempel om voor die dienst over te stappen naar een andere cloudaanbieder in veel gevallen zeer hoog. Uit de gesprekken die de ACM voor deze studie heeft gevoerd, komt het beeld naar voren dat er weinig overstap plaatsvindt tussen clouddiensten van verschillende cloudaanbieders. In het bijzonder gebruikers van PaaS- en SaaS-diensten kunnen moeilijkheden ervaren bij het overstappen. Voor gebruikers van IaaS-diensten geldt dit in iets mindere mate.”*
- [20230322-bio-thema-uitwerking-clouddiensten-v22-def](https://www.cip-overheid.nl/media/h4lcnhdn/20230322-bio-thema-uitwerking-clouddiensten-v22-def.pdf)

2. Clouddiensten en met name de hyperscalers bieden allerlei makkelijk toegankelijke proprietary diensten aan. Andere cloudaanbieders hebben andere proprietary diensten die moeilijk overdraagbaar zijn van de ene cloudleverancier naar de andere. Met name de proprietary diensten, maken een overstap lastig. Een voorbeeld is Office 365 van Microsoft. Eenmaal in gebruik genomen beperken die de mogelijkheden tot een overstap naar een andere cloudleverancier. Ook dit punt wordt bevestigd door de [Marktstudie clouddiensten door ACM](https://www.acm.nl/system/files/documents/marktstudie-clouddiensten.pdf):
- [Cloud cybersecurity market analyses](https://www.enisa.europa.eu/publications/cloud-cybersecurity-market-analysis)

*“De lock-in van afnemers geldt in het bijzonder wanneer er ook PaaS- en SaaS-diensten worden afgenomen in een geïntegreerd dienstenaanbod. Overstappen is bij ICT-producten en diensten – die in de praktijk vaak sterk verweven zijn met de processen binnen de organisatie – complex. Dat geldt voor geïntegreerde clouddiensten des te meer omdat er in veel gevallen opnieuw koppelingen moeten worden gemaakt en een overstap op meerdere diensten tegelijkertijd noodzakelijk is.”*
- [Study presenting assessments of codes of conduct on data porting and cloud switching](https://digital-strategy.ec.europa.eu/en/library/study-presenting-assessments-codes-conduct-data-porting-and-cloud-switching)

3. Kosten van outbound data zijn veel hoger dan inbound. Het is dus goedkoop om data bij een cloudleverancier neer te zetten, maar de data verplaatsen naar een andere plek is duur. Dit kan organisatie ervan weerhouden om over te stappen naar een andere cloudleverancier. Dat zorgt voor onvoorspelbaarheid over de uiteindelijke totale kosten van gebruik van clouddiensten en de eventuele te realiseren besparingen als gevolg van een eventuele overstap. Vanuit de Data Act wordt beoogd dit tegen te gaan. Dit juist om switchen van de ene naar de andere provider niet te laten verhinderen door hoge kosten voor verplaatsen van data.
-

<!-- -->
- [Factsheet-verwerkersovereenkomst IBD](https://www.informatiebeveiligingsdienst.nl/wp-content/uploads/2019/09/201909-Factsheet-Is-mijn-leverancier-wel-of-geen-verwerker_v1.2.pdf)[Handreiking cloudcomputing](https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/Handreiking_CloudOverheden_Taskforce_LR_1_.pdf)

11) **“Winner takes all”-markt:** “Winner takes all” refereert aan een economisch principe waar de best performende platformen in staat zijn een hele markt of een zeer groot deel van een markt in handen te krijgen. De cloudmarkt heeft duidelijke kenmerken van een ‘Winner takes all’-markt. Dit wordt bevestigd door de Engelse [Cloud Services market study report](https://www.ofcom.org.uk/__data/assets/pdf_file/0027/269127/Cloud-services-market-study-final-report.pdf):
- [Implementatiekader risicoafweging cloudgebruik](https://www.rijksoverheid.nl/documenten/rapporten/2023/01/05/implementatiekader-risicoafweging-cloudgebruik)

*“There are two leading providers of cloud infrastructure services in the UK: Amazon Web Services (AWS) and Microsoft, who had a combined market share of 70% to 80% in 2022.2 Google is their closest competitor with a share of 5% to 10%.”*
- [Marktstudie clouddiensten door ACM](https://www.acm.nl/nl/publicaties/marktstudie-clouddiensten#:~:text=In%20deze%20marktstudie%20heeft%20de,van%20aanbieders%20van%20die%20diensten.)

Er is geen reden aan te nemen dat deze situatie voor de Nederlandse markt anders is dan dat in dit rapport wordt aangegeven. Ook wordt dit beeld van consolidatie bevestigd in de [Marktstudie clouddiensten door ACM](https://www.acm.nl/system/files/documents/marktstudie-clouddiensten.pdf). In dit rapport worden de mechanismen van deze consolidatie verder beschreven.
- [The NIST Cloud Federation Reference Architecture](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.500-332.pdf)

12) **Kosten moeilijk te voorspellen:** Terwijl initieel cloudservices kostenbesparingen kunnen opleveren, kunnen onverwachte kosten optreden bij verhoogd gebruik, met name als organisaties niet zorgvuldig hun verbruik monitoren. Uit het onderzoek komt naar voren dat de prijsstelling van clouddiensten vooraf vaak erg moeilijk is in te schatten. De prijsstructuur is vaak zeer complex opgezet waardoor deze moeilijk voorspelbaar is. Een van de geïnterviewden gaf aan dat cloudkosten vaak alleen empirisch te bepalen zijn, dus achteraf. Naast technisch/organisatorische zijn er ook financiële overstapbelemmeringen. Deze ontstaan met name door de tariefstructuur die veel cloudaanbieders hanteren. Deze tariefstructuur is complex: voor elke handeling, opgeslagen GB of seconde rekenkracht wordt betaald.
- [Analyse cloud ontwikkelingen gemeenten](https://vng.nl/sites/default/files/2023-12/rapportage_mi_analyse_cloud_ontwikkelingen_gemeenten_v1.0_003.pdf)

13) **Beveiligingsrisico’s:** De data van een organisatie bevindt zich buiten de directe controle van die organisatie, wat kan leiden tot zorgen over datalekken, hackpogingen en andere cyberbeveiligingsbedreigingen. Clouddiensten kunnen potentieel veiliger worden ingericht dan bestaande on-premise-diensten doordat deze vaak meer geavanceerde beveiligingsmaatregelen kunnen nemen. Het inrichten van een cloudomgeving vergt wel specifieke kennis en ervaring met het betreffende cloudplatform. Juist hier schuilt de zorg van veel geïnterviewden. Deze kennis is schaars en dat introduceert onder andere beveiligingsrisico’s.
- Cloud governance whitepaper Microsoft (mei 2021)

14) **Risico’s rond privacy van gegevens:** De opslag van gevoelige gegevens in de cloud kan leiden tot privacy zorgen, vooral als de cloudprovider gegevens opslaat in een ander rechtsgebied met andere privacywetten. Naast opslag van gevoelige gegevens gaat het ook om toegang tot de gegevens van buiten de EU, gebruik van telemetrie data etc. Zie ook de [Handreiking risicobeheersing public clouddiensten - Rijksportaal (overheid-i.nl)](https://open.overheid.nl/documenten/ronl-734f947ec6465e4f75a56bed82fe64a1135f71a8/pdf)
- Cloud afwegingskader J&V versie 1.2 (juli 2021)

15) **Risico’s rond gegevenseigendom en -toegang:** Dit risico geldt met name bij SaaS-diensten. Daar waar een dienst wordt afgenomen en de afnemer niet meer zelf direct toegang tot de gegevens heeft. Veelal betreft het diensten die eerder on-premise werden afgenomen, zoals een gemeentelijk vergunningensysteem of een gemeentelijke applicatie voor burgerzaken. Deze applicaties verschuiven steeds meer van on-premise naar clouddiensten. Hierna heeft de afnemer veelal niet direct toegang meer tot de gegevens omdat deze niet meer op de infrastructuur van de afnemer staat, en dienen daar aanvullende afspraken voor gemaakt te worden.
- [Cloud services market study](https://www.ofcom.org.uk/consultations-and-statements/category-2/cloud-services-market-study)

16) **Onvoldoende kennis en expertise**: Geïnterviewden geven aan dat deze op dit moment onvoldoende aanwezig bij de overheid en daardoor de overheid achter de feiten aanloopt. Inrichting van een cloudomgeving is vaak erg complex en vergt aanvullende kennis en ervaring boven on-premise-inrichting. Deze blijkt schaars bij de Nederlandse overheid. Bovendien vergt het kennis van de omgeving van de verschillende cloudaanbieders, zo vergt inrichting van Microsoft Azure andere kennis dan de inrichting van Amazon Web Services. Uit het onderzoek blijkt dat overheden veelal los van elkaar kennis opbouwen, en er met samenwerking te verbeteren valt.
- [Cloud computing autorite de la concurrence Frankrijk](https://www.autoritedelaconcurrence.fr/en/press-release/cloud-computing-autorite-de-la-concurrence-issues-its-market-study-competition-cloud)

- [Data Act](https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:52022PC0068)

- Eindrapportage onderzoek Behoefte gemeentelijke cloudondersteuning VNG (26 april 2023)

- [CSPCERT WG (Milestone 3) Recommendations for the implementation of the CSP certification scheme](https://ecp.nl/wp-content/uploads/2020/01/PT-2019-CSP-CERT-WG-Recommendations-for-the-implementation-of-the-CSP-Certification-scheme-20190607-Final-version.pdf)

- CSA STAR programme 2022
2 changes: 1 addition & 1 deletion rapport_3.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -2,7 +2,7 @@

## Soorten cloudstandaarden

Voor het onderzoek is gebruik gemaakt van de drie servicemodellen van clouddiensten zoals gedefinieerd door NIST SP 800-145: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) en Software as a Service (SaaS). [Bijlage 4](#wat-is-cloud) geeft een nadere toelichting van deze drie servicemodellen. Al deze servicemodellen worden door overheidsorganisaties bij leveranciers afgenomen.
Voor het onderzoek is gebruik gemaakt van de drie servicemodellen van clouddiensten zoals gedefinieerd door NIST SP 800-145: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) en Software as a Service (SaaS). [Bijlage 4](#_Bijlage_4:_Wat) geeft een nadere toelichting van deze drie servicemodellen. Al deze servicemodellen worden door overheidsorganisaties bij leveranciers afgenomen.

De drie servicemodellen van cloudcomputing hebben een scala aan standaarden nodig om interoperabiliteit, informatiebeveiliging, privacy en portabiliteit te bevorderen:

Expand Down
Loading

0 comments on commit 428578c

Please sign in to comment.