Toepassen van IT-clouddiensten is een organisatievraagstuk

Door: André Biesheuvel

Aanleiding

Bedrijven maken steeds meer gebruik van clouddiensten voor het adequaat ondersteunen van bedrijfsprocessen waarmee de bedrijfsactiviteiten effectief georganiseerd worden. De medewerkers sturen de (nieuwe) bedrijfsprocessen aan en worden veelal geconfronteerd met noodzakelijke veranderingen in hun werkprocessen. Medewerkers hebben kennis- en verandermanagement nodig voor het adopteren en succesvol implementeren van deze veranderingen. 

De keuze voor IT-clouddiensten is begrijpelijk. Veelal kan een bedrijf met behulp van IT-clouddiensten de bedrijfsactiviteiten effectiever organiseren en de operationele en IT-kosten substantieel verlagen. Dit klink erg aantrekkelijk.[1]

Het afnemen van IT-clouddiensten is eenvoudig. Als het gaat om Software as a Service (SaaS) dan neemt een vertegenwoordiger van het bedrijf een clouddienst af en managet het bedrijf de veranderingen voor haar medewerkers en de data. Sprekende voorbeelden van SaaS zijn een administratiepakket of een telefooncentrale. Wij kunnen Microsoft 365 ook als SAAS beschouwen. De IT-leverancier is medeverantwoordelijk voor de continuïteit van de dienstverlening en het borgen van de vertrouwelijkheid van persoonsgegevens. IT-clouddiensten kunnen ook bestaan uit Platform as a Service (PaaS) of zelfs Infrastructuren as a Service (IaaS). Bij een PaaS managet het bedrijf naast de veranderingen voor medewerkers en de data ook de applicaties zelf. De Azure Active Directory en de Azure Key Vault kunnen wij beschouwen als een PaaS. Wij kunnen deze Azure resources als bouwstenen in eigen toepassingen opnemen. Bij een IaaS neemt een bedrijf “slechts” computercomponenten af. Het bedrijf managet de veranderingen bij de medewerkers, data, applicaties en onderliggende IT-componenten. Het bedrijf neemt een virtuele computer, opslag capaciteit of een netwerk af. Bij een IaaS ligt de verantwoordelijkheid voor het managen van de veranderingen voor medewerkers en borgen van de continuïteit en vertrouwelijkheid gegevensverwerking bij het bedrijf.[2] Veelal maken bedrijven gebruik van alle cloud computing varianten.

De Wikipedia over cloud computing waarschuwt voor “risico’s en bezwaren”, waaronder de Europese privacywetgeving en andere wetgeving. Wij zullen de toegevoegde waarde en businesscase van het toepassen van IT-clouddiensten voor bedrijven moeten relativeren.

In deze blog laten wij zien dat het toepassen van IT-clouddiensten – vooral – een organisatievraagstuk is: hoe consumeer ik de toegevoegde waarde van de inzet van IT-clouddiensten? 

IT-clouddiensten

Wij beperken de scope van IT-clouddiensten tot IT-toepassingen die bedrijfsprocessen ondersteunen waarmee een bedrijf haar bedrijfsactiviteiten effectief kan organiseren. Amerikaanse bedrijven zoals Amazon Web ServicesGoogle Cloud Platform en Microsoft Azure bieden bedrijven deze IT-clouddiensten. Er zijn ook Chinese en Indiase bedrijven die vergelijkbare diensten aanbieden. In Europa is het lastig Amerikaanse equivalenten te vinden. Vele Europese bedrijven kiezen daarom voor Amerikaanse IT-cloudleveranciers.

Het aanbod van IT-clouddiensten door cloudleveranciers is omvangrijk, breidt zich steeds verder uit en groeit tussen leveranciers naar elkaar toe. Het kiezen van passende IT-clouddiensten is een uitdaging, maar er kan functioneel en financieel goed tussen de aanbieders worden vergeleken. Een andere uitdaging voor de bedrijven is het bewustmaken en trainen van haar medewerkers. Wat is de toegevoegde waarde voor de afdeling en de individuele medewerker van het toepassen van IT-clouddiensten? Wat zijn de gevolgen voor de aansturing van de bedrijfsprocessen en wat verwacht het bedrijf van mij?

Ons projectteam richt zich op het toepassen van IT-clouddiensten ten behoeve van bedrijfsprocessen en heeft een beperkte omvang; slechts drie medewerkers. Het team stelde vast dat de potentie van de geïmplementeerde IT-clouddiensten niet, in ieder geval onvoldoende, werd gebruikt voor het effectief organiseren van de bedrijfsactiviteiten. Het was min of meer het verhuizen van MS Office naar de cloud. Een externe systeembeheerder is ingehuurd en deed zijn werk.

Kennelijk was het afdelingsmanagement niet in staat de externe systeembeheerder aan te geven wat zij nodig had voor het effectiever organiseren van bedrijfsactiviteiten. Andersom gold ook: de systeembeheerder heeft niet aan het management kunnen aangeven welke kansen voor optimalisatie van de organisatie van de bedrijfsactiviteiten beschikbaar kwamen. Het projectteam wijdt dat aan het ontbreken van kennis- en verandermanagement gericht op het met behulp van IT-clouddiensten optimaliseren van de organisatie van de bedrijfsactiviteiten. 

Het projectteam wenste een brug te slaan tussen de bedrijfsorganisatie en de professionals op het gebied van IT-clouddiensten. Door relevante trainingen te volgen wisten de teamleden de brugfunctie succesvol te vervullen.[3] De medewerkers in de organisatie kregen meer vertrouwen in de voorgestelde veranderingsprocessen en de IT-professionals voelden zich gehoord. Het team heeft kennis- en verandermanagement opgebouwd, de bewustwording bij medewerkers vergroot en verandering in de bedrijfsprocessen doorgevoerd. Microsoft verbetert haar diensten en breidt het dienstenportfolio uit. Als gevolg hiervan heeft het management het projectteam gevraagd nieuwe projecten uit te voeren met als doel toegevoegde waarde van het toepassen van nieuwe functionaliteiten te consumeren.

De beheerders van MS 365 en Azure tenants en de leden van het projectteam ondervinden waardevolle steun van IT-professionals van een strategische IT partner. De IT partner moet bij de bedrijfscultuur passen en gekwalificeerd zijn. De strategische IT partner vervult de rol van tweedelijnsvraagbaak.

Toepassen van IT-clouddiensten

Met een opsomming van aandachtspunten op hoofdlijnen geven wij een indruk van de scope en reikwijdte van de vraagstukken die een rol spelen bij het toepassen van IT-clouddiensten:

  • Formuleer de strategische doelen voor het toepassen van de IT-clouddiensten. Werk deze doelen uit in toegevoegde waarde en businesscases vanuit de verschillende bedrijfsperspectieven (management en medewerkers). Hiermee zet het bedrijf haar eerste stap op het vlak van kennis- en verandermanagement. Zie blog ‘Een praktische aanpak voor het toepassen van IT-clouddiensten’; 
  • Werk een effectieve organisatie van de bedrijfsactiviteiten uit met behulp van bedrijfsprocessen die adequaat ondersteund worden met IT-clouddiensten en worden aangestuurd door medewerkers;
  • Werk een effectieve organisatie van het beheren van IT-(cloud)diensten uit. Houd rekening met de kantoororganisatie en noodzakelijke IT-systemen;
  • Inventariseer de gewenste functionaliteiten (devices en resources), de netwerkbeveiliging, de opslag en de back-up van parameter-instellingen, toepassingen en gegevens;
  • Formuleer het effectief organiseren van de gegevensverwerking (met name continuïteit, vertrouwelijkheid, betrouwbaarheid en verantwoording);
  • Werk het organiseren van de authenticatie van de identiteit van gebruikers en de rolgedreven toegang tot applicaties en gegevens uit. Zie blog ‘taken, bevoegdheden en verantwoordelijkheden in MS 365 en Azure’;
  • Formuleer de organisatie van interactie tussen medewerkers, klanten, leveranciers en andere relevante partners; en
  • Indien van toepassing – formuleer het organiseren van systeemontwikkelingscycli.

De opsomming met voorbereidende werkzaamheden is slechts globaal en zal voor elk bedrijf anders zijn. De opsomming laat wel zien dat het toepassen van IT-clouddiensten vooral een organisatievraagstuk is. 

Bedrijfsmatige randvoorwaarden

Het toepassen van IT-clouddiensten is een strategische beslissing die gebaseerd is op een opsomming van toegevoegde waarde in een aantrekkelijke businesscases. Een belangrijke randvoorwaarde voor het implementeren en in beheer nemen van IT-clouddiensten is het kunnen beschikken over voldoende interne en externe kennis van zaken waarbij de behoefte van het bedrijf omgezet moet worden in de juiste organisatorische, procesmatige en IT-technische oplossing. De genoemde IT-cloudleveranciers bieden voldoende technologie aan bedrijven. 

Het managen van een implementatie heeft vooral betrekking op het opbouwen van voldoende bewustwording en kennis bij medewerkers dat moet leiden tot de beoogde veranderingen in de werkprocessen. Er is een noodzaak voor bewustwordings- en verandermanagement.

Veranderingen in de organisatie van bedrijfsactiviteiten die mogelijk worden door de inzet van IT clouddiensten zullen stap voor stap geïmplementeerd en belegd worden. Elke stap levert toegevoegde waarde voor het bedrijf op.

Bedrijfsmatig is het startpunt het effectief organiseren van de bedrijfsactiviteiten met behulp van geoptimaliseerde bedrijfsprocessen die adequaat ondersteund worden voor IT-clouddiensten. Dit is een integrale benadering met aandacht voor functionaliteit, de kwaliteit van gegevensverwerkingen en het behalen van de beoogde toegevoegde waarde en businesscases. 

Welke eisen stelt de AVG

Een bedrijf legt verantwoording af over het organiseren van compliance met wettelijke en contractuele verplichtingen. Voorbeelden zijn de belastingaangiften, het deponeren van de jaarrekening en ook de verantwoordingsplicht van de Europese Algemene Verordening Gegevensbescherming (AVG, artikel 5:2). De wetgever vraagt aan het bedrijf en de bedrijfsleiding zich te verantwoorden door een betrouwbaar (volledig, juist en tijdig) beeld te schetsen van de bedrijfssituatie op enig moment. De AVG vraagt bovendien aan het bedrijf verantwoording af te leggen over de effectiviteit van de getroffen beheers- en beveiligingsmaatregelen gericht op het vertrouwelijk en beschikbaar verwerken van persoonsgegevens.

De beheers- en beveiligingsmaatregelen zijn “by design” in de bedrijfsprocessen, die adequaat door IT-clouddiensten ondersteund worden, opgenomen waardoor er sprake is van “compliance by default” met wettelijke verplichtingen uit de AVG.

Zie de blog, Wisselwerking tussen de Europese AVG en de Digitale Transformatie. Het toepassen van IT-clouddiensten kunnen wij zien als een concretisering van de digitale transformatie.

Wij constateren dat de wettelijke eisen in lijn liggen met de bedrijfsmatige doelen. De bedrijfsleiding en het management wensen immers ook effectieve beheers- en beveiligingsmaatregelen en ontvangen graag managementinformatie over de mate van waarin de maatregelen effectief zijn geweest. Deze verwachtingen neemt de bedrijfsleiding mee bij het goedkeuren van een IT-cloudstrategie en georganiseerd houden van de IT-clouddiensten.

Tenslotte

Het toepassen van IT-clouddiensten kan een bedrijf veel toegevoegde waarde opleveren. Dat vergt een gedegen voorbereiding. Voor het bepalen van de scope en reikwijdte van het toepassen van IT-clouddiensten zijn de bedrijfsmatige doelen, het kennis- en verandermanagement en de wettelijke verplichtingen uitgangspunten.

Wij zullen in de volgende blogs onze ervaringen bespreken met het toepassen van IT-clouddiensten.  

Meer weten?

Wilt u meer weten naar aanleiding van de bovenstaande blog? Neem dan gerust contact op met André Biesheuvel.


[1] Wij putten bij het samenstellen van deze blog uit de observaties van het bij onszelf implementeren van MS 365 en Azure tenants ten behoeve van het effectief organiseren van bedrijfsactiviteiten. 

[2] Waar komen de termen IaaS, PaaS en SaaS vandaan? Zie Wikipedia, cloud computing.

[3] Wij hebben ons voorbereid op het verzorgen van de brugfunctie tussen de organisatie en een IT-cloudprofessional door onder andere de volgende trainingen te volgen: MS 900, Az 900, Az 500, MS 500, Az 104 en gebruik gemaakt van de documentatie die Microsoft ter beschikking stelt.  



Author: André Biesheuvel
Binnen de praktijk vervult André de rol van managing partner en is hij vakinhoudelijk verantwoordelijk voor Organisatie & ICT en Compliance. Ook doceert André bij meerdere trainingen op het gebied van governance, risk en compliance.