Gemeentelijke Cloudaanbevelingen – #1 Basisaanbevelingen

Om clouddiensten op een uniforme en beheersbare manier toe te kunnen passen binnen de organisatie worden door VNG de volgende minimale basisaanbevelingen gedaan.

Formuleer een cloudstrategie
Een duidelijke cloudstrategie zorgt voor uniformiteit en focus in het dienstenportfolio. Onderdelen van een dergelijke cloudstrategie zijn:

  • Keuze voor één enkele of juist meerdere leveranciers (multi-cloud) voor PaaS/IaaS.
  • SaaS t.o.v. PaaS/IaaS gebruik (bijvoorbeeld: SaaS boven PaaS boven IaaS). Inclusief een beslisboom met heldere criteria.
  • Inventarisatie per geïdentificeerde databron (met als eerste stap: BBN-classificatie) wat de specifieke maatregelen zijn en welke opties er zijn voor het gebruik van clouddiensten.
  • Lijst met voorkeursleveranciers voor clouddiensten

Beheers specifieke cloudrisico’s
Met de inzet van clouddiensten volgen een aantal specifieke risico’s op het gebied van beheer. Deze dienen hetzij te worden toegevoegd aan de reeds in gebruik zijnde risicomanagementsystematiek, ofwel te worden opgenomen in een nieuw risicomanagementsysteem. (Een risicomanagementsysteem hoeft overigens niet digitaal te zijn, conform BIO). Belangrijke thema’s hierin zijn: 

  • Securitybeheer, audit & monitoring van clouddiensten. Gemeenten blijven (eind)verantwoordelijk voor de data ook al is deze niet meer in eigen beheer.
  • Kostenbeheersing van clouddiensten.
  • Regionale wetgeving bij gebruik van clouddiensten waarvan data mogelijk bij overheden buiten de EER terecht kan komen.
  • Kennis en kunde in de organisatie. Zie verder in Cloudaanbevelingen obv referentiearchitectuur’.

Hanteer per clouddienst een exitstrategie
Om vendor lock-in te voorkomen dient een clouddienst altijd te zijn voorzien van een exitstrategie.

  • Bepaal per clouddienst de behoefte aan een exitstrategie: denk aan tijdspaden, te ondernemen activiteiten, mogelijke alternatieven, import/export dataformaten.
  • Spreek standaarden af omtrent import/export van gegevens van en naar de clouddienst.
  • Leg – waar mogelijk en van toepassing – (aanvullende) afspraken formeel en duidelijk vast met de leverancier.

Thema's

Cloudstrategie en beleid

Gerelateerd

Nieuws

Woordvoeringslijn toegang VS tot e-mail van de Nederlandse overheid

Nieuws

GGI-Cloud Expertisecentrum

Nieuws

Implementatierichtlijn voor een BIO-compliant gemeentelijke cloudinrichting