Wie minder afhankelijk wil zijn van Amerikaanse software, kan natuurlijk overstappen op Europese alternatieven. Ook voor contactcentersoftware geldt: er is keuze genoeg. Maar met alleen het vervangen van bedrijfsapplicaties ben je er niet. Ook de IT-stack van het contactcenter bestaat uit veel ondersteunende componenten. Inzicht in die complexiteit is nodig om een plan B te kunnen maken. Ziptone helpt je op weg.

 

Het verkleinen van die afhankelijkheid van Amerikaanse software is om twee redenen relevant. Op de eerste plaats maakt het de Europese economie minder kwetsbaar voor ingrepen zoals heffingen of beperkingen. Op de tweede plaats staat de huidige trans-Atlantische afspraak over gegevensuitwisseling tussen de EU en de VS onder druk. Als die afspraak vervalt – een gedachte waar de VS al langere tijd mee spelen – voldoen Europese organisaties niet meer aan de GDPR. Ze moeten dan aanvullende juridische overeenkomsten sluiten – óf ze kunnen het gebruik van Amerikaanse cloudoplossingen beperken.

De werking van de GDPR blijft echter niet beperkt tot je CRM-systeem, een database of het klantcontactsysteem. Integendeel, de privacywetgeving werkt door in vrijwel alle lagen van de cloudstack die bedrijven – en ook contactcenters – gebruiken.

Van de ene naar de andere cloud: ook geen appeltje-eitje

Die cloudstack is een bouwwerk dat uit een groot aantal componenten bestaat, nodig om de cloudomgeving te laten werken (zie kader verderop). De onderdelen zijn onderling afgestemd en zijn specifiek ontwikkeld voor een bepaald ecosysteem – denk aan de cloud van hyperscalers zoals Google, AWS en Microsoft. In hun ecosystemen zitten allerlei diensten en tools zoals beheerde databases, provisioning tools, tools voor orkestratie van containers zoals Kubernetes, oplossingen voor object storage of automatisch schalen. Dat alles laat cloudgebaseerde software werken.

Deze toolbox is niet alleen ecosysteem-specifiek, maar vrijwel altijd ook serviceprovider-specifiek. IT-dienstverleners standaardiseren niet alleen hun diensten, maar voegen ook graag – ondanks beschikbare best practices – zelfgemaakte functionaliteit toe waarmee ze hun klanten nog beter kunnen bedienen dan de concurrent.

Zo is de Amazon-cloud van bijvoorbeeld Capgemini niet hetzelfde als de Amazon-cloud van Solvinity. Het betekent wel dat een keuze voor een bepaald cloud ecosysteem (en soms dus een bepaalde IT-dienstverlener) sterk doorwerkt in alle onderdelen van de cloud stack. Dit fenomeen speelt ook op applicatieniveau: je kunt daardoor een CCaaS-oplossing niet ‘verplaatsen’ van AWS naar Azure of andersom, al zijn er SaaS-aanbieders waarvan de oplossing voor verschillende hyperscalers geschikt is.

Er zijn voorbeelden bekend waarbij contactcenters in een kort tijdsbestek van on premise naar een cloudoplossing zijn gegaan. Maar overstappen naar een andere cloud is dus een ander verhaal.

Cloudstack, wat is dat? – Cloud (definitie) is een verzamelterm voor het aanbod aan diensten en middelen zoals servers, opslag, software en netwerken via het internet. De cloudstack – de verzameling aan technologie die de cloud laat werken – is opgebouwd uit allerlei hardware- en softwareonderdelen. Dat loopt van servers (hardware, met processors, geheugen, opslagruimte en netwerkverbindingen – ook hier zijn Amerikaanse aanbieders dominant) tot opslagcapaciteit voor data, switches, routers en firewalls om data over netwerken sturen en oplossingen waarmee op hardware meerdere ‘virtuele servers’ naast elkaar kunnen draaien.

Iedere cloud heeft verschillende soorten software aan boord, zoals besturingssystemen (denk aan Linux of Windows Server) en virtualisatieoplossingen. Ook is er middleware nodig die die communicatie tussen het besturingssysteem en applicaties regelt, zoals webservers (Nginx, Apache) of databases (zoals MySQL), en software voor programmeertalen zoals .NET, Java, Node.js, Python of PHP. Ook is er software nodig die zaken als security, authenticatie en identity management (van gebruikers en services) regelt.

Tevens worden er oplossingen zoals Containers gebruikt voor het bundelen van alle componenten die nodig zijn om een applicatie te laten draaien en Kubernetes om een reeks van Containers te beheren. En de laatste laag is de applicatie zelf, die beschikbaar wordt gesteld aan de eindgebruiker. In het contactcenter kan je denken aan de contactcentersoftware (de CCaaS-oplossing) waarmee klantcontactprofessionals werken.

Voor elk laag uit voorgaande opsomming kunnen IT-aanbieders kiezen uit verschillende technologieën om die laag te laten werken. Ook op het vlak van deze technologieën zijn Amerikaanse oplossingen dominant – en onderling afgestemd. Zo werkt de IaaS-omgeving van Microsoft (Azure) goed samen met zowel de virtualisatielaag van Docker als de databaseoplossing SQL Server van Microsoft.

Veel uit de cloudstack is relevant voor GDPR

Wanneer je een cloudprovider inschakelt, heb je geen controle over een groot deel van de cloudstack. Dat ontslaat je echter niet van de verplichting om overzicht te houden op de technologie die de cloudaanbieder gebruikt. Dat is onder andere nodig om risico’s goed te kunnen inschatten en compliancy te kunnen aantonen bij het gebruik van software.

Voor de GDPR zijn vrijwel alle lagen en componenten uit de cloud relevant:

• Datacenters: bepalen de fysieke locatie van data; data moet binnen EU-grenzen blijven of in landen met gelijkwaardig beschermingsniveau;
• Servers: hier vindt de daadwerkelijke verwerking en opslag van persoonsgegevens plaats, met eisen aan encryptie, toegangscontrole en logging;
• Opslagsystemen: onderhevig aan eisen zoals encryptie, dataminimalisatie en mogelijkheid tot verwijdering;
• Virtualisatietoepassingen: zorgen voor de scheiding van softwarematige processen en zijn belangrijk voor de beveiliging van gegevens;
• Beheeroplossingen: zoals Kubernetes voor het beheren van containers, met invloed op de manier waarop data worden bewerkt;
• Netwerkcomponenten: zoals firewalls en routers die datastromen beveiligen en versleutelen;
• Databases en identity management-systemen: regelen de toegang tot persoonsgegevens;
• Monitoring en backup-tools: dragen (reactief) bij aan de beveiliging en beschikbaarheid van gegevens.

Verwerker of verwerkingsverantwoordelijke?

Vaak is een aanbieder van clouddiensten ook een gegevensverwerker: er worden persoonsgegevens verwerkt die door de afnemer van de diensten – de verwerkingsverantwoordelijke – zijn opgeslagen in de databases en file storage. Als de serviceprovider toestemming en/of de opdracht krijgt de gegevens voor andere doeleinden te gebruiken, is deze zelf verwerkingsverantwoordelijk. Hierbij kan je denken aan een CCaaS-aanbieder die de eigen AI-tools traint met gesprekken die gevoerd worden op de contactcenters van afnemers van de software. Ook kan het zijn dat CCaaS-aanbieders samenwerken met onderaannemers.

Wat voor cloud-ecosystemen geldt, gaat ook op voor grote aanbieders van cloudgebaseerde contactcenter software (CCaaS-oplossingen). Die hebben óók hun eigen ecosystemen, vaak in de vorm van een ruim aanbod aan apps, plugins en API’s. Veel daarvan is gebaseerd op standaarden van AWS of Azure en daardoor niet bruikbaar in een alternatieve cloudomgeving. Er zijn overigens wel leveranciers die services hebben ontwikkeld voor deze cloud-interoperabiliteit.

Uitdagingen

De complexiteit en verwevenheid van onderdelen van cloudomgevingen waarin cloudapplicaties draaien, zorgen voor meerdere uitdagingen.

Allereerst bestaat er zoals gezegd nog niet zoiets als cloudportabiliteit. Er is nog maar weinig ervaring opgedaan met het (probleemloos) verplaatsen van applicaties en data van de ene naar de andere cloud. Aanbieders en afnemers kunnen hiervoor wel zelf maatregelen nemen. En er zijn verschillende ontwikkelingen op dit gebied, zoals Gaia-X. Met het oog op geopolitieke ontwikkelingen komt cloudportabiliteit hoger op de agenda van de boardroom van zowel de vraag- als aanbodzijde van de markt. Ook zijn er projecten in ontwikkeling die ervoor moeten zorgen dat applicaties worden gescheiden van (cloud-)infrastructuur.

Ten tweede moet bij verandering van cloudomgeving de gehele bedieningsomgeving heringericht worden. Dat kost niet alleen geld, maar ook tijd. Tijd is een serieuze factor, zo is er tijd nodig voor het klaarzetten van (extra) hardware door de cloudprovider, het migreren van data en/of applicaties, het inrichten van de functionaliteiten van cloudtoepassingen en het integreren en koppelen van applicaties.

Ten derde geldt dat ecosystemen van Europese cloudproviders nog niet zo ver ontwikkeld zijn als die van de hyperscalers. Vrijwel alle benodigde onderdelen zijn weliswaar beschikbaar, maar nog niet altijd goed geïntegreerd binnen het ecosysteem. De lacunes gaan vooral over zeer gespecialiseerde oplossingen.

Naast die lacunes kan een overstap naar een ander cloudplatform ook tot meer complexiteit van je alternatieve cloudstack leiden én een groter aantal leveranciers. Ook zullen niet alle alternatieven even schaalbaar en gebruiksvriendelijk zijn wanneer je ze vergelijkt met de diensten van hyperscalers. Daar staat tegenover dat niet-Amerikaanse oplossingen meer controle over data bieden, al kan je niet uitsluiten dat Amerikaanse inlichtingendiensten ook hier toegang tot data afdwingen.

En tot slot moeten niet alleen applicaties worden verplaatst, maar ook data. Daarbij spelen zogenaamde metadata een rol en in veel gevallen zijn die eigendom van de cloudprovider. Bovendien verschillen datastructuren per cloudomgeving. Het ophalen van data is bovendien een risicofactor. Bij grote datasets is er extra bandbreedte nodig en hiervoor worden bijna altijd egress-kosten in rekening gebracht (voor ‘uitgaand’ dataverkeer).

Door deze uitdagingen zal het verhuizen van een cloudstack in de praktijk daarom vaak gefaseerd plaatsvinden.

Bewustzijn – Van CCaaS-aanbieders tot system integrators: de meeste partijen waarmee Ziptone de afgelopen weken sprak, zijn doordrongen van het probleem. Er bestaat ook scepsis over het vraagstuk van afhankelijkheid en de mogelijke acute kwetsbaarheid – de EU noch de VS ‘trekken niet zomaar de stekker uit het Data Privacy Framework‘, is de gedachte.
Meer lezen – De berichtgeving over de ontwikkelingen in de VS is in Europa betrekkelijk eenzijdig. Wie meer inzicht wil hebben, kan de updates van Kirsten Verdel over maatregelen van de Amerikaanse regering volgen of de NYT lezen (gratis bij een abonnement op NRC). Voor wie meer wil weten over cloudmigraties: cloudarchitect Bart Veldhuis van Rapid Circle (een Microsoft-partner) heeft verschillende IT-overwegingen op een rijtje gezet in deze podcast.

Tot besluit

Afhankelijkheid van Amerikaanse hyperscalers brengt reële risico’s met zich mee. Er is alle reden om die risico’s op dit moment opnieuw in kaart te brengen. Geheel, gedeeltelijk of gefaseerd overstappen naar een puur Europees IT-landschap vereist grondige voorbereidingen en zorgvuldige afwegingen. Essentiële vragen zijn:

• Zijn onze applicaties gebouwd met cloudportabiliteit in gedachten?
• Hebben wij inzicht in waar precies onze data zich bevindt?
• Welke alternatieve software-leveranciers en -oplossingen zijn voor ons beschikbaar?
• Hebben we een goede exit strategie geformuleerd?

Er zijn voldoende Europese oplossingen verkrijgbaar, bijvoorbeeld als open source oplossing, voor de verschillende lagen en componenten van een cloudomgeving. Het is nu in ieder geval een goed moment om mogelijke alternatieven te onderzoeken en in kaart te brengen wat de impact is als er (geheel of gedeeltelijk) voor alternatieven moet worden gekozen.

Daarnaast kunnen bedrijven proactief risicobeperkende maatregelen nemen, zoals het implementeren van lokale data-backups, het inrichten van alternatieve applicatiecapaciteit en, indien mogelijk, het lokaal opslaan van data.

(Ziptone/redactie)

Lees ook deel 1 van dit tweeluik: Wat is het alternatief voor de cloud van big tech?