330 – Het belang van ISO 27001 met Marin Heideman

Randal Peelen:
[0:44] In deze aflevering van Met Nerds Om Tafel hoor je wat erbij komt kijken om ISO-gecertificeerd te raken. Waarom je in sommige gevallen helemaal niks met de klauw te maken wil hebben. En in de bonus aflevering van deze week waar onze mysterieuze intro muziek die je zometeen gaat horen eigenlijk vandaan komt.
[1:18] Welkom bij met nerds om tafel. op raad vandaag met Ruurd Sanders en mijn naam is Randal Pelen. Onze gastneurd van vandaag is Marin Heideman. Hij is directeur van Digistate en bestuurslid van de Dutch Cloud Community. En Digistate doorliep recent het welbekende traject om ISO 27001 certificering binnen te halen. En hij gaat ons dus vertellen wat daarbij komt kijken en waarom je jezelf dat aan zou willen doen in hevensnaam. Als toetje volgde ze ook nog de NEN, de NEN 7510 toe aan dat oeuvre En ja, dan weet je dat het menens is. Marin, hartelijk welkom in de studio. Dank je wel. Dank voor je komst. Het is voor ons maandag, maar het is nu al een bewogen week. Dus ik hoop dat we er wat moois van kunnen maken. Ik wil alvast even een kleine shout-out maken, want ik ga volgende week iets doen dat voor mij heel nieuw is en heel bijzonder en voor mij heel spannend zelfs een beetje. Ik ga een week lang elke dag twee uur radio maken live in Hilversum. mooie studio voor de ondernemer. Dat is een titel van DBG Media en die hebben als doelgroep het MKB.
[2:24] En die vroegen, joh, we zoeken iemand die radio kan maken en die ook wat weet van tech. En toen kwam mijn naam een paar keer voorbij. En ik dacht, ja, waarom niet een keer live op de radio? Dus we hebben een heel programma samengesteld, het heette Cyber Security Week. En nou, daar komen wel echt een paar leuke namen langs. Ik heb Ricky Gevers weten strikken om de eerste dag mijn co-host te zijn. Ik heb Barend Frans van Nederlandse Politie allebei al een keer in mijn Neurts om tafel geweest. Erwin Sprengers van KPN, Cindy Wubbe van Visma, Norbert Pakker van Higher Level. Ga zomaar door. Echt een boel mensen die ook al met Neurts om tafel lang zijn geweest. Een aantal Stekelenburg, Rien Lodder, René van Etten, Joost Vormberg, Oskar Kuro, CISO van het ministerie van VWS. Echt, echt veel zinnen. We gaan in die week een heleboel vertellen over cybersecurity, maar aan MKB'ers die zoiets hebben van het zal mijn tijd wel duren en ik word toch niet gehackt. Gewoon beginnen bij de basis en dan helemaal eindigen bij wat zijn de toekomstige gedreigingen, wat kun je daar eigenlijk mee? Ik ben heel benieuwd hoe dat gaat zijn. Ik heb er op zich geen angst voor om een aantal uur radio in de week vol te moeten praten.

Marin Heideman:
[3:33] Het is gelijk live dan ook.

Randal Peelen:
[3:34] Het is wel gelijk live, maar het wordt nog veel beter teruggekeken. Dus je kunt ook achteraf nog gaan kijken. Ik ga er namelijk vanuit dat een leeuwendeel van de mensen helemaal niet live zit te luisteren. Maar achteraf, het is met video, dus ik heb daar wel zin in. Dus maandag 2 oktober tot en met 6 oktober, vrijdag, 12 tot 2. Op, en nu moet je opletten, New Business Radio. En dat is wat anders dan Business News Radio. Dus allebei een zender. De ene is iets groter dan de ander. Maar, je kunt er je voordeel mee doen. Ik heb daar in ieder geval heel veel zin in. Dus ik ben benieuwd of er mensen ook gaan meeluisteren. Dat gezegd hebbende. Marvin, ik zei het al eventjes, jullie hebben een ISO-certificeringstraject doorgelopen. Ik weet daar helemaal niks van, maar laten we even beginnen bij wat is DigiState en wat doen jullie?

Jurian Ubachs:
[4:25] Ja, nou ja, DigiState zal voor veel mensen inderdaad niet zo heel bekend in de oren klinken. Wij zijn eigenlijk...

Randal Peelen:
[4:30] Nog niet.

Jurian Ubachs:
[4:31] Nog niet, inderdaad. Ja, wij zijn een MSP. Wij zijn eigenlijk begonnen als hostingbedrijf, laat ik daarmee beginnen, toen ik in 2007... MSP? Daar kom ik op. Toen wij in 2007 DigiState oprichtten, toen ik in 2007 DigiState oprichtte, toen begonnen wij als hostingbedrijf. Dus wij hosten websites. Dat varieerde van de website van de bakker op de hoek tot iets groter. Maar dat is wat wij deden. Hoe lang is dit geleden? Dat is in 2007, dus dat is al wat jaartjes geleden. Ik studeerde bedrijfskundige informatica en ik ben dit bedrijf naast mijn studie gestart.

Randal Peelen:
[5:05] Voor mij is dit een beetje de tijd dat de de iPhone voor het eerst uitkwam.

Jurian Ubachs:
[5:09] Nou dat klopt wel. Ik geloof dat mijn eerste iPhone was de 3S. De S3 of hoe heette dat ding. Het was ik inderdaad net voor mezelf begonnen. Dus dat is inderdaad die tijd. Ik ben 39.

Marin Heideman:
[5:23] Het moeten 3GS zijn geweest.

Randal Peelen:
[5:24] Nee, dat was alweer de tweede. Dat was de derde iPhone, maar de tweede die naar Nederland kwam.

Marin Heideman:
[5:29] Ja, maar daar hebben we het niet over. iPhone, iPhone 3G en dan... Ja.

Jurian Ubachs:
[5:36] De hosting, dus dat was wat wij deden, want dat lijkt me wel heel cool om een hostingbedrijf te hebben. Dat eh...

Randal Peelen:
[5:41] Wel cool, zo'n status of je denkt, ik kan dit.

Jurian Ubachs:
[5:45] Het had wel wat. Zo'n website, dat was nog allemaal pure HTML in die tijd. En CMS'jes waren een beetje een opkomst. Maar dan fixen dat dat gewoon via het internet bereikbaar was.

Randal Peelen:
[5:56] Hoe deed je dat?

Jurian Ubachs:
[5:57] Met Linux. Ja. Dus webservertje neerzetten. Was dat al Apache ook? Ja, zeker. Ja, het is niet voor de oorlog, he. Het is echt wel... Nee, oké, maar de wereld is veranderd. De wereld is zeker veranderd, maar Linux bestaat al heel lang. En nou ja, zo ben ik begonnen. En daarnaast deed ik een klein stukje kantorenautomatisering. Ik werkte toen de tijd bij een kantorenautomatiseerder. En ik vond dat hij dat eigenlijk niet zo goed deed. Ik hoop niet dat hij luistert, maar ik vond dat hij zijn klanten niet zo goed bediende.

Randal Peelen:
[6:26] Je vond dat het nog beter kon?

Jurian Ubachs:
[6:28] Ja, ik vond dat het nog beter kon. En daar deed ik het bij, maar ik vond dat eigenlijk helemaal niet zo leuk. Dus ik zei ook altijd van als ik daar toch eens vanaf kan, graag. Hosting vond ik leuk. Maar wat je eigenlijk zag in de loop der jaren was dat dat hosting en kantoorautomatisering dat werd veel meer een, dat kwam eigenlijk steeds meer bij elkaar. Waardoor het voor ons ook steeds logischer werd om dat ook te gaan doen.

Randal Peelen:
[6:53] Maar waarom kwam dat bij elkaar?

Jurian Ubachs:
[6:55] Nou ja omdat je toen de cloud werkplekken kreeg. Dat is natuurlijk een beetje een hippe term, maar de online werkplekken waren toen heel erg in de modus, want iedereen wilde overal vandaan kunnen werken en overal vandaan kunnen inloggen.

Randal Peelen:
[7:07] Noemen ze dat al thin clients? Dat je zo'n heel klein pakje hier achter op je beeldscherm schroeft?

Marin Heideman:
[7:11] Dat is eigenlijk de natte droom.

Jurian Ubachs:
[7:15] Ja, ja, ja, eigenlijk wel een terminal server en een thin client en dan kon je daarmee een remote desktop krijgen en dan kon je op allerlei apparaten inloggen en dan had je jezelf die bureaublad en dan kon je de boel afsluiten en je kon ergens anders weer verder gaan met waar je mee bezig was.

Randal Peelen:
[7:33] Ja, tegenwoordig noemen ze dat denk ik het meest hip, een hybride werkplek toch? Je hebt wel een laptop, maar die heeft wel internet echt bezig.

Jurian Ubachs:
[7:43] Ja, kijk, het gaat nu, als je het dan puur hebt over de werkplekken, dus op Microsoft gebaseerde werkplekken, dat zie je eigenlijk steeds meer naar 3.65 gaan. Dus wat je ziet is dat de laptops, dat zijn gewoon de apparaat die haalt de rekenkracht weer naar je toe. Dus waar dat vroeger stond op een terminal server in een datacenter, ga je die nu weer naar dat apparaat wat voor je neus staat halen. En ja, dat is wel een beetje aan het veranderen. Met SharePoint en OneDrive en alles komt op die manier in de cloud te staan. Maar daardoor, doordat dat dan het gebeuren was, was dat eigenlijk ook een vorm van hosting. En dat zorgde er eigenlijk voor dat wij als hostingbedrijf daar toch steeds meer mee verbonden raakten. En toen werden we ineens een MSP.

Randal Peelen:
[8:28] Microsoft Services Provider? Managed Service Provider.

Jurian Ubachs:
[8:32] Het houdt niet echt per se de term van Microsoft. Het is een managed service, dus wij bieden onze klanten eigenlijk aan dat het altijd werkt en daar zorgen we voor.

Randal Peelen:
[8:43] Ja, maar als je het heel plat slaat, is het gewoon iets dat online draait en wat een service is, dat kan ook alle kanten op.

Jurian Ubachs:
[8:50] Het hoeft niet per se online te draaien, want wij verzorgen ook echt de werkplek bij de klant op locatie, dus echt het fysieke apparaat hoort daarbij.

Randal Peelen:
[8:59] Kun je voorbeelden noemen van klanten die heel goed terecht zouden kunnen bij jullie? Is dat die bakker om de hoek die je zei?

Jurian Ubachs:
[9:06] Nee, want dan hadden we onze ISO-certificering niet hoeven te halen. Nee, die heb je niet nodig. Wij richten ons steeds meer op bedrijven in sectoren. En ik zeg altijd sectoren met kritische data. Dat is data die extra veilig moet staan of zijn. En waar hebben wij veel klanten in? De zorg, accountancy en advocatuur. Dat zijn een beetje de drie branches waar wij ons veel op richten en waar wij veel klanten in hebben en ook mee in gesprek zijn.

Marin Heideman:
[9:32] Dank u.

Jurian Ubachs:
[9:33] Nou, dat is voor ons nog een stapje te ver. Dan heb je echt wel wat meer nodig dan alleen je 27 jaar of een verschillende ID. Dan denk ik ook niet dat dat een sector is waar ik me nu op zou willen richten.

Marin Heideman:
[9:43] En als je zegt zorg, wat moet ik dan aan denken?

Jurian Ubachs:
[9:46] Nou, dat kan variëren van een huisartsenpraktijk, wat kleinere, tot één van onze klanten is een softwarebedrijf dat software levert aan de zorg. En die draaien eigenlijk in vrijwel alle ziekenhuizen in Nederland. Wat wij doen is we beheren de infrastructuur voor hen. Dus die data die staat op een server. En die ziekenhuizen, die zijn vaak nog zo van het mag niet in de cloud, of het mag het gebouw niet verlaten. Dus die data moet echt op die server in dat gebouw van het ziekenhuis staan. Ja, dat moet wel beheerd worden. En dat stukje doen wij voor deze klant.

Marin Heideman:
[10:19] Tot niet Chipsofte, dat zou wel een hele grote partij zijn.

Jurian Ubachs:
[10:23] Nee, Chipsofte levert echt EPD's. Ja, dat weet ik. En mijn klant levert weer een stuk, nou ja, eigenlijk meer in de administratieve kant van de zorg. Dus het is geen kritische applicatie. Als het er even uit ligt, dan sterven er geen mensen op de operatietafel in ieder geval.

Randal Peelen:
[10:42] Zeker. Tegenover jou zit een verknocht Apple-gebruiker. Dus ik ben gewend dat ik een MacBook koop en er draait macOS op. En dan hoor ik mensen over Microsoft 365 en dan gaan mijn oren klapperen. Snap ik helemaal niks van. Een werkplek is eigenlijk gewoon Windows, een Office, een Outlook, that's it, toch? Nee. Waar houdt dat 365 nog meer in dan?

Jurian Ubachs:
[11:05] Nou, je gaat eigenlijk al de fout in, of de fout in, jij zegt, moet op Windows, maar dat hoeft dus helemaal niet meer.

Marin Heideman:
[11:12] Ja, dat hoeft niet.

Jurian Ubachs:
[11:13] Draait gewoon allemaal in de browser. Ja. 365 draait prima op een Mac.

Marin Heideman:
[11:17] Of jij 365 op een Mac draait of op een... Maar wat is 365? Dat kun jij beter uitleggen. Volgens mij is het de poort van de offline Office pakketten zoals Word en dergelijke, gewoon direct in de browser.

Jurian Ubachs:
[11:30] Correct. Ja, dat is het. Dus eigenlijk, nou ja, dat hoeft niet per se, want je installeert vaak ook nog wel de desktop versie van Office, want dat vinden mensen toch wel prettig om Word te hebben. Maar dat kun je prima op je Mac draaien.

Marin Heideman:
[11:42] Wel een beetje, tenminste in een aantal type applicaties vaak nog wel een beetje een uitgeklede variant van hè. Dat wordt steeds minder. Als ik Excel online bekijk, vergelijken met Excel desktop app, dan zitten wel wat toetels en bellen missen er eigenlijk.

Jurian Ubachs:
[11:59] Nou daarom raden wij ook meestal aan om niet alleen de online versie te gebruiken, maar ook wel te zorgen dat je het offerspakket op je apparaat opstaat. En dat kan ook op Mac.

Randal Peelen:
[12:08] Als al de huistuin en keukengebruiker niet snel al die functies nodig hebben die je waarschijnlijk mist. Dat klopt.

Marin Heideman:
[12:13] Ja, het is soms ook echt wel tegentraag, merk ik. Maar daar zie je... Naar waar je het weer in rendert.

Jurian Ubachs:
[12:19] Ja. Maar daar zie je wel echt het verschil tussen die... Zoals we het net beschreven, zeg maar die cloudwerkplek waarbij je met een thin client inlogt en dus echt een Windows-omgeving krijgt. Ben je daar nu niet meer van afhankelijk. En kan het op jouw MacBook werken, kan het op mijn iPad werken, kan het zelfs op je telefoon werken. Dan kun je overal bij jezelf te laten.

Randal Peelen:
[12:38] En dan moet je altijd internet hebben.

Jurian Ubachs:
[12:39] Ja, maar dat hebben we toch tegenwoordig.

Randal Peelen:
[12:41] Oké, helder. Dus je verzorgt werkplekken. Ik vind het ook wel interessant om later deze aflevering nog even stil te staan bij hoe dat nou is gegaan. Want die hostingbranche heeft een hele verandering doorgemaakt. Je bent nu bestuurslid bij de Dutch Cloud Community. Kunnen we het ook nog over hebben. Alleen, jullie hebben een ISO-certificeringstraject doorgaan. En ik ben allereerst heel benieuwd van wat houdt zo'n certificaat in? Wat moet ik me voorstellen, wat is ISO 27001?

Jurian Ubachs:
[13:12] Lijkt meer dan het is, zeg ik een beetje oneerbiedig.

Randal Peelen:
[13:15] Oh-oh.

Jurian Ubachs:
[13:16] Het zegt eigenlijk dat jij als bedrijf... je procedures op orde hebt voor de informatiebeveiliging. Informatiebeveiliging.

Randal Peelen:
[13:26] Informatiebeveiliging.

Jurian Ubachs:
[13:28] Dat is waar de 27001 op gericht is. Je hebt ook de 9001, die gaat echt over kwaliteit. Maar de 27001 is gericht op informatiebeveiliging.

Randal Peelen:
[13:36] En je hebt er een 9002 en hoeveel van die verdalen zijn er?

Jurian Ubachs:
[13:40] Ik ben geen expert. Wij hebben voor die 27001 gekozen, omdat dat echt gaat over informatiebeveiliging. En omdat dat steeds meer geëist wordt door de wat grotere bedrijven die een IT-leverancier zoeken. Want die 27001, die garandeert min of meer aan deze bedrijven dat hun IT-leverancier op een goede manier omgaat met hun data.
[14:05] En dat gaat van het proces tot het aannemen en screenen van medewerkers. om te zorgen dat er geen medewerker bij een IT-bedrijf komt te werken die alle data's even gaat deleten. Kan nog steeds natuurlijk, maar borgt het wel een klein beetje. En het zorgt dat jij als IT-bedrijf al je risico's in kaart hebt gebracht, die je hebt, waar mogelijk data-lekken kunnen ontstaan of data verloren kan gaan of storingen in je dienstverlening. Die risico's in kaart hebt en dat je maatregelen treft om die risico's te minimaliseren.

Randal Peelen:
[14:35] En wie bepaalt hoe dat eruit moet zien dan?

Jurian Ubachs:
[14:39] De norm geeft de, nou ja, de norm zeg maar, de richting aan en de auditor die controleert ook daadwerkelijk of het klopt wat je doet.

Randal Peelen:
[14:48] Maar als je een wereldrecord wil vestigen dan denk je aan het Guinness Book of World Records en dan komt er een poppetje van Guinness langs. Die gaat dan kijken en waarnemen dat jij een record hebt gevestigd en dan kom je daarna in dat boek. Maar is er hier ook een bepaalde ISO-organisatie die dan een poppetje stuurt met zo'n mooie klapper die jou...

Jurian Ubachs:
[15:08] Ja, het heet de certificerende instantie, daar zijn er een aantal van, die kun je zelf kiezen. De Decra onder andere inderdaad, wij hebben een andere gekozen en die komen langs aan het einde. Op het moment dat jij zegt nou ik ben er klaar voor, ik heb alles op orde. Dan komen die langs en die zeggen laat maar zien. En die gaan vragen stellen en die gaan ook zeggen ik wil dit zien, ik wil dat zien. Laat maar zien dat jij een VLG van al je medewerkers hebt.

Randal Peelen:
[15:33] Klaarlopend gedrag, dat is bij de gemeente toch?

Jurian Ubachs:
[15:36] Ja, je kunt als bedrijf dat voor je medewerkers aanvragen. Dat hoeft niet via de gemeente te gaan. Maar wij geven dus een aantal punten aan en daarop wordt iemand gescreend door justice. Want het is eigenlijk gewoon, heb je in de laatste vier jaar geen strafbare feiten begaan die mogelijk van invloed kunnen zijn op het werk dat je doet. En dat noemen ze dan een screening?

Randal Peelen:
[15:54] Ja.

Jurian Ubachs:
[15:54] Kijk, heb je een pizza bij de Jumbo gestolen, dan kun je nog prima bij ons werken met informatiebeveiliging, zeg maar. Want dat heeft geen invloed. te hard gereden is je rijbewijs een keer ingenomen, heb je theoretisch gezien dus een strafblad. Maar dat kan je nog een prima goede IT-beheerder zijn. Dus daar wordt naar gekeken. Dus ja, zo'n VOG wordt eigenlijk afgegeven. En daar zie je nog niet wat iemand mogelijk wel op zijn kerfstok heeft. Alleen dat die niet iets op zijn kerfstok heeft wat van invloed is op de functie die die gaat uitoefenen.

Randal Peelen:
[16:26] Ja, precies. Maar goed, je moet dus wel leren om zo'n certificering op waarde te schatten. Want niks is waterdicht. Dat is ook een beetje de eerste les van alle cyberveiligheid. Maar je wil een bepaalde norm hanteren, een bepaald minimumniveau. Maar wat ik je eigenlijk hoor zeggen, heel erg kort door de bocht is zo'n ISO-certificaat. Primair betekent het dat je er goed over na hebt gedacht.

Jurian Ubachs:
[16:52] Dat je er goed over na hebt gedacht en dat je het aantoonbaar hebt ingericht. En je hebt ook een zogenaamde verklaring van toepasselijkheid. En daar staat in wat je gedaan hebt. Dus ook risico's gemitigeerd, dat kun je ook met je klanten delen. En de auditor kijkt elk jaar of je het nog op orde hebt.

Marin Heideman:
[17:10] En of je het ook naleeft eigenlijk hè?

Jurian Ubachs:
[17:12] Ja, nou ja, ja. Kijk het zijn momenten waar... Je kunt van alles opschrijven.

Marin Heideman:
[17:15] Je moet ook geregeld door zo'n dekere audit heen. Je kunt van alles wel opschrijven. De vraag is hoe meer processen je volledig uitwerkt, hoe meer ze je kunnen pakken. Dat is natuurlijk ook weer een beetje een kiele kiele verhaal.

Randal Peelen:
[17:28] Je zit hier te glimlachen alsof je je met dit beltje hebt gehakt Ruurd.

Jurian Ubachs:
[17:32] Je bent een slechte auditor als je niks vindt. Dat is wel zo.

Marin Heideman:
[17:35] Er zijn altijd puntjes, dat zou ik zeggen. En dat is ook goed, dat houdt je ook scherp. Maar ja, uiteindelijk moet je wel aantoonbaar, moet je kunnen laten zien, ja, wij volgen inderdaad nog steeds A tot met Z op deze volgorde. En we gaan niet van A naar Z, naar B, naar D, dat soort dingen, dat we in de verkeerde volgorde dingen doorlopen.

Randal Peelen:
[17:58] Maar help me dan even begrijpen hoe omvangrijk dit is. Want oké, screening, snap ik. Je neemt mensen aan, die hebben een verklaring omtrend gedrag. Dus dan, ja, heel veel verder kun je niet gaan om te kijken of deze mensen in de haak zijn.

Jurian Ubachs:
[18:12] Er zijn iets van 90 punten in de norm waar je langs moet gaan. En die gaan inderdaad ook tot logische toegangscontrollers. Hoe heb jij de toegang tot je gebouwen ingericht? Kan iedereen zomaar binnenlopen? En als ze zomaar binnen kunnen lopen, kunnen ze dan ook bij potentiële klantgegevens. Aan jouw service daar zo te draaien. Heb je een clean desk policy bijvoorbeeld, dus mogen jouw medewerkers werkers geen klandata op hun bureau hebben liggen en als je die policy hebt moet je dat ook kunnen aantonen. Dus dan moet er een personeelshandboek zijn. Dus als je het hebt over hoe omvangrijk, nou wij zijn een kleine organisatie, wij hebben er negen maanden over gedaan en gemiddeld voor een organisatie ben je er een jaar wel mee bezig.

Randal Peelen:
[18:56] En het ligt hem vooral in het vastleggen van dat soort procedures zo te horen.

Jurian Ubachs:
[19:01] Ja, je hebt er ook nog mee, stel je eigen werk er ook nog naast, dus het komt er vaak bij. Oké, heel flauw.

Randal Peelen:
[19:06] Ik heb nog niks gehoord waarvan ik niet denk, dat is best wel common sense. Het is best wel logisch dat je geen klantgegevens op je bureau laat liggen. Hoewel, ik een keer iets uit zou printen en daar best wel mee bezig kan zijn, even naar de wc moet.

Jurian Ubachs:
[19:20] Ja dat kan. Dan moet je het eigenlijk even wegstoppen. Of, zoals wij zitten in een gebouw waar niet zomaar iemand van buiten af in kan lopen. Dan dek je het op die manier af. Maar het meeste is ook gewoon commonsense. Het is eigenlijk vrij logisch, dus toen wij eraan begonnen, toen dacht ik ook van, nou, volgens mij doen we heel veel al heel goed. Dat klopt, we hebben niet heel veel moeten veranderen.

Marin Heideman:
[19:39] Het is een kwestie van het documenteren ervan.

Jurian Ubachs:
[19:42] Juist, daar zit het in. Het is documenteren en zorgen dat je het ook aantoonbaar maakt, dat je het op die manier doet.

Marin Heideman:
[19:51] En jezelf ook voor een deel goed erover na laten denken van, hé, zijn dit inderdaad de processen die we nog moeten doorlopen. Ja. En je misschien zelf ook wel scherp houden van, van hey, omdat je nog wel eens door omstandigheden een bochtje links of rechts wat korter wil maken en dit behoud je wellicht daarvan.
[20:11] Ik vraag me af, in de cloud community, mag ik even air quote, hoeveel zijn er eigenlijk ISO-certificeerd? Ik heb daar totaal geen beeld van. Aan wat voor percentage moet ik denken?

Jurian Ubachs:
[20:21] Nou ja, de grote spelers zijn het allemaal wel. Die hebben dat wel op orde. En wat ik zie is dat de kleinere spelers, dus de bedrijven... Wat is klein? Ja, vind ik onder de 20, 15 tot 20 medewerkers. Alles wat eronder zit zijn kleine spelers. Die hebben het vaak niet op orde, omdat die aanhikken tegen het werk en de kosten. Dat is vaak het probleem.

Marin Heideman:
[20:45] Maar lopen daardoor bepaalde opdrachten mis.

Jurian Ubachs:
[20:50] Dat kan. Wij hadden klanten die het nu vroegen aan ons. Je moet het nou even een keer geregeld hebben, want wij beginnen dat te eisen.

Marin Heideman:
[20:58] Zij moeten het vaak ook weer hebben.

Jurian Ubachs:
[20:59] Ja, als zij zelf ISO hebben, dan moeten ze ook hun leveranciers.

Marin Heideman:
[21:03] Self-fulfilling verhaal.

Jurian Ubachs:
[21:05] Wij moeten dat nu ook. Wij hebben besloten en ook opgeschreven dat als we leveranciers selecteren, dat ze bij voorkeur ISO op orde moeten hebben. En als ze dat niet hebben, dan moeten wij een hele goede reden hebben waarom we dan toch zaken met ze willen doen.

Randal Peelen:
[21:21] Maar dan zit je dus een beetje in de in-crowd, krijg je dan.

Marin Heideman:
[21:25] Ja.

Randal Peelen:
[21:26] Maar oké, nog even. Welke organisatie vaardigt dit nou af? Ik snap het nog niet. Is dat een internationaal?

Jurian Ubachs:
[21:34] Ja, de normering, dus de ISO, ISO aan zich is volgens mij gewoon een internationale organisatie. Een standaard. Ik geef die standaarden uit. Maar er zijn in Nederland certificeringsinstanties. Dat zijn bedrijven die audits mogen gaan uitvoeren. Die hebben een stempeltje gekregen vanuit EASL dat zij dat mogen doen. En dat zij auditors in dienst hebben die de juiste opleiding en training hebben gehad om dat ook te kunnen doen.

Randal Peelen:
[22:01] Klinkt alsof dat allemaal weer geld kost.

Jurian Ubachs:
[22:03] Oh ja, dat kost het. Het is niet gratis.

Randal Peelen:
[22:07] Dus het moet het ook weer terugverdienen.

Jurian Ubachs:
[22:09] Ja, mensen vragen mij altijd wat kost zoiets nou?

Randal Peelen:
[22:12] Mensen vragen je dat altijd.

Jurian Ubachs:
[22:14] Ze vragen dat altijd. Daar kan ik ook open over zijn. Wat kost het? Nou, 30.000 euro. Wat?

Marin Heideman:
[22:20] Ja.

Jurian Ubachs:
[22:21] Hatsiklats. Dat is, dat moet je eigenlijk opdelen in twee delen. Per jaar of ben je er nu vanaf? Nou, kijk, die audit is iets van 5.000 euro voor het eerste jaar. En dan heb je er op volgende jaren, ja, volgens mij een orde grote van 2.000 euro per jaar. Dus dat valt wel mee. Maar je moet een keer beginnen en je hebt wel iemand nodig die je daarmee helpt. Want mijn kennis ervan was heel basic toen ik eraan begon. Ik kon het echt niet even zelf implementeren. Dus ik heb er iemand voor ingehuurd. Die kostte maar 10k. En daar had ik wel voor iemand gekozen die het niet voor me ging doen. Want ik wilde wel weten wat er ging gebeuren. Maar die mij ging helpen. Als je het voor je laat doen, ben je nog veel meer kwijt. Dan heb je de eerste 15 al te pakken. Die andere 15, dat zijn eigenlijk gewoon indirecte kosten... die ik en mijn medewerkers hebben moeten maken. om de bullet pointer te krijgen. Dus echt de uren, want wij zijn die uren ook gaan bijhouden. Dus als ik echt kijk, wat heeft het gekost? 30.000.

Randal Peelen:
[23:15] Euro.

Marin Heideman:
[23:16] Ja, misschien wel geinig om toe te voegen dat ISO staat voor, de afkorting, ISO is eigenlijk niet altijd een afkorting. Het is de Internationale Organisatie voor Standaardisatie, nou als je ziet, dat is niet ISO in de afkorting zelf. Maar kerblijkelijk hebben ze ervoor gekozen om de afkorting altijd hetzelfde te houden, omdat dan elke taal is het hetzelfde. En kerblijk is het afgeleid van het Griekse woord isos, wat gelijk betekent. Hoofdkantoor zit in Geneve. Zo.

Randal Peelen:
[23:43] Er is wel over nagedacht.

Marin Heideman:
[23:45] Sinds 19... Zo. Dat is twee jaar na de oorlog opgericht.

Randal Peelen:
[23:49] Maar, oké, dus die bepalen dit soort standaarden en... jij gaat ermee aan de bak. Jij denkt, dit moet gebeuren. Ga je dan een pdf downloaden en die doorlezen of...

Jurian Ubachs:
[24:02] Ja, die moet je kopen. Oh. Die moet je kopen. Ik denk als iets van 130, 140 of 140 euro ofzo. Die moet je hebben, die moet je kopen. En daar staat hele droge stof in. Maar daar staat inderdaad de hele norm in uitgeschreven. Dus al die, dat hele normen kader met alles wat je moet doen of zou moeten doen. Want dat is iets wat ik zou moeten doen. Staat daarin beschreven.

Randal Peelen:
[24:27] Ik vind het heel moeilijk voor te stellen. Omdat ik nooit met het beltje heb gehakt. Ik kan me niet anders voorstellen dat dat best wel in algemene termen gepraat moet worden. Kijk, software van 10 jaar geleden is nu effectief onbruikbaar. Dus de wereld evalueert, alles verandert. Je moet een beetje praten in, als jij een website hebt die de rest van de wereld kan bereiken, dan moet die niet makkelijk te hekken zijn. Als je een gebouw hebt, dan moet je zorgen dat mensen daar niet zomaar naar binnen kunnen lopen en alles mee kunnen lezen.

Jurian Ubachs:
[25:00] Is ook heel algemeen.

Randal Peelen:
[25:01] Wat voor dingen staan daar?

Jurian Ubachs:
[25:02] Je moet een screeningsproces hebben voor je medewerkers. Je moet een aantoonbaar backupproces hebben dat je regelmatig controleert.

Marin Heideman:
[25:10] Het gaat toch veel meer in op de bedrijfsvoering zelf, niet zozeer op het product bijvoorbeeld wat je maakt.

Jurian Ubachs:
[25:16] Exact, het gaat om de bedrijfsvoering, maar bijvoorbeeld dat backupproces staat er wel in beschreven. Het is onderdeel van je bedrijfsproces, waarbij ook beschreven staat, je moet dat regelmatig controleren. En wat is dan regelmatig? Dat zegt de norm niet. Dat moet je zelf bepalen. Dan bepaal je wel op zo'n manier, zoals het voor jou, bedrijf en je klanten klopt.

Marin Heideman:
[25:33] Je moet het eigenlijk zo zien, dat stel met Neurs om Tafel nou de ISO-certificering zou moeten halen. Dan zou bijvoorbeeld de werkwijze van hoe de show notes werken en de template die je gebruikt, bijvoorbeeld, en hoe je die vult en welk moment je die vult en wanneer je op de vragen van de luisteraars zet en wanneer je het post en blablabla, dat schrijf je in feite schrijf je dat uit. En dan gaat vervolgens iemand checken bij jou, van doe je dat ook uit dat werk? Of wanneer jij afwezig bent, doet Jurian dat bijvoorbeeld ook. of een welk andere. kukkel die je hier naar binnen houdt of iets van heel vreemd.

Randal Peelen:
[26:03] Ja, bij dat soort bedrijfjes die uit één of twee mensen bestaan, is het meestal niet handig dat één van die twee onder de bus komt. Ja. En tot die tijd kun je het ook nog wel zonder zorgen.

Marin Heideman:
[26:12] De standaardisatie, zodat, tenminste ik denk dat dat toch wel een beetje het idee erachter is, dat het gewoon, dat de manier van werken eigenlijk nagenoeg altijd hetzelfde is. En het moet dan ergens in boeken.

Jurian Ubachs:
[26:24] En het helpt je echt als bedrijf. Om een voorbeeld te noemen, ik denk dat heel veel van de kleinere de IT bedrijven, die hebben allemaal systemen draaien en de medewerkers hebben toegang tot die systemen. En dat is ooit een keer zo ingericht, dus Pietje moet daarbij kunnen en daar heeft hij rechten voor. En dat is ingericht en dat wordt vergeten. En waar komt Pietje daar eigenlijk bij? Ja, dat weten we eigenlijk ook niet meer.

Randal Peelen:
[26:48] Ja, en dan heeft Pietje een keer iets nodig en dan denk je nou, ik vind Pietje een toffe peer en ik heb nu even geen zin om het uit te zoeken. Ik maak hem gewoon administrator en dan kan hij dat. Morgen trek ik het wel weer in.

Jurian Ubachs:
[26:57] En onder de ISO heb je een autorisatiematrix, waar dus echt in staat Pietje heeft als functie dat en dat. En daar hoort bij dat hij deze rechten heeft. En je moet ook elke, of regelmatig, wij hebben zelf gezegd elke drie maanden, controleren of dat klopt op basis van een steekproef. Een steekproef elke drie maanden, we pakken een bepaald systeem of een bepaald persoon en kloppen zijn rechten nog. Dat controleer je. En dan komen ook echt wel eens dingetjes uit. Dus dat maakt jou als bedrijf, vind ik ook echt wel beter. Dat is ook het doel van de ISO. Het is niet alleen een stempeltje, het helpt je als bedrijf.
[27:32] En ik durf te zeggen dat wij net weer even een stapje professionele doorgeworden zijn.

Randal Peelen:
[27:35] Oh, waarom?

Jurian Ubachs:
[27:36] Door dit soort dingen. Door die regelmatige controles uit te voeren van wie kan eigenlijk waarbij. En die IP-adressen die gewijdelijk zijn in de firewall, klopt dat nog wel? Hebben we dat allemaal nog wel nodig? Normaal kijk je daar eens een keer naar als je tijd hebt. Nu moet je er verplicht naar kijken. Ik moet de auditors volgend jaar ook laten zien dat ik er naar heb gekeken. Dat ik daar een stukje bewijs van heb vastgelegd, dat ik dat heb gedaan.

Marin Heideman:
[27:59] Het doel is ook niet voor die auditors om, die voeren tenminste, ik weet niet of ik het wel weer woon, maar dat is hoe ik ze zelf ervaar, die doen vaak eerst nog een proefaudit. Dus dan gaan ze checken van hey, zijn er eigenlijk al dingen die wellicht niet meer akkoord zijn en dan geven ze je vaak ook nog tijd om het te gaan fixen. Dus het is niet dat ze daar komen van nou, één keer een slechtere portkaart en We trekken die hele ISO-certificaten. Het is juist je gewoon letterlijk weer terug op de rails te duwen. Van nee, ik zie een aantal discrepancies erin. Dingen die uitvallen en... Je hebt zoveel tijd om dat te fixen.

Jurian Ubachs:
[28:38] Je moet ook zelf een interne audit doen. Nou, dat mag je zelf doen. Wij hebben daar een consultant voor die dat doet. Ik vind het wel prettig als iemand buiten de organisatie dat doet.

Marin Heideman:
[28:46] Dat is gezond, ja.

Jurian Ubachs:
[28:47] Maar die doet een interne audit. Dus die kijkt eigenlijk overal al een keer doorheen. Voordat de audit er komt. En natuurlijk vindt een audit het dingetjes, want dat is wat we net ook zeiden. Het zou een slechte audit zijn als hij het niet zou vinden. Er is altijd wel wat te vinden.

Randal Peelen:
[29:03] Boba vraagt van de luisteraar. Vond je de laatste toevoeging op 27.001 genoeg voor cloud of loopt de norm nu achter, wat jou betreft?

Jurian Ubachs:
[29:11] Ja, ze hebben hem wat geüpdate.

Randal Peelen:
[29:13] Lekker als jij nu even kan vertellen wat de update is.

Jurian Ubachs:
[29:17] Ja, ik weet. Kijk, wij zijn direct met de nieuwe norm begonnen. Dus dat is de 2022 norm. Dat is de geupdaten norm. En dus ik ken de oude norm niet volledig. Wat ik wel weet, is wat er aan update... Er zitten wat updates in mijn betrekking tot cloud. De term cloud komt überhaupt erin voor. Dat was in de 2017-norm nog niet het geval. En wat wel een hele belangrijke toevoeging is, vind ik zelf, dat als je met een cloudbedrijf in zee gaat als bedrijfseinde, dus als jij als ISO-gecertificeerd bedrijf met een cloudleverancier in zee gaat, en dat is een cloudleverancier waar jouw data of de data van jouw klanten, dus data, terecht gaat komen, dan moet je ook, op het moment dat je het contract afsluit met die leverancier, al nagaan denken over een exitstrategie. Wat als die leverancier morgen omvalt? Wat dan?

Randal Peelen:
[30:05] Hoe ga je het dan oplossen?

Jurian Ubachs:
[30:06] Dat vind ik best wel zinnig. Zeker zinnig, ja. Absoluut. En dat is wel een toevoeging. Maar de vraag was, vind ik dat er genoeg in staat? Ja, de norm is vrij algemeen. Kan toegepast worden op cloudbedrijven, maar de bakker op de hoek zou ook die ISO-norm kunnen gaan behalen. Maar die doet wel zaken met cloudbedrijven mogelijk. Die toevoeging is gedaan.

Marin Heideman:
[30:26] Ja, maar nogmaals, het gaat weer over bedrijfsvoering, dus er zijn heel veel overeenkomsten. Dat jouw product een server ergens in een datacenter is, wat je toevallig via het internet beschikbaar maakt. Ik maak even cloud heel slim, simpel. Maakt voor de daadwerkende bedrijfsvoering of iemand nou broodjes bakt of servers in een datacenter zet. Er zijn heel veel overeenkomsten die zo'n certificering beschrijven. Dus daarom is dat denk ik ook juist bewust zo algemeen gehouden.

Randal Peelen:
[30:55] Anders is het ook geen Maar help mij even welk belangen je me dient, want ik vind het logisch als je zegt ik heb een exit strategie voor mijn cloud hosting en het kan zo makkelijk zijn als hey het is gewoon 1 terabyte aan bestandjes die copy paste ik naar een externe schijf en dan heb ik ze daar. Dat zou een strategie kunnen zijn. Maar als ik met jou in zee ga en je hebt dat certificaat, is het dan gewoon dat ik gerust slaap en ik denk nou hij heeft vast wel een strategie? Want wie help ik ermee dat jij die strategie hebt? Wie wordt daar beter van?

Jurian Ubachs:
[31:30] Het garandeert jou als klant, nou ja, garandeer is een beetje, het geeft jou als klant een bepaalde mate van zekerheid... dat wij onze processen op orde hebben. Maar we kunnen er nog steeds een pijn op van maken.

Randal Peelen:
[31:41] Dat zeg ik er direct bij.

Jurian Ubachs:
[31:42] In die zin is de ISO een stempeltje. Je hebt nog een andere norm. Uit mijn ogen zegt de ISA E3402. Dat noemen ze ook een assurance. En die kijkt verder dan de ISO. de ISO, want ISO is puur, eigenlijk zijn het, het zijn steekproeven, die auditie die komt één keer per jaar even kijken of het op dat moment geregeld is. Je zou theoretisch gezien twee weken voor die auditie komt nog even heel hard kunnen gaan rennen. Die ISA-E...

Marin Heideman:
[32:08] Had volgens mij ook nog wel gebeurd.

Jurian Ubachs:
[32:10] Zeker gebeurt dat.

Marin Heideman:
[32:11] Zeker bij bedrijven die al heel lang zo'n certificering hebben.

Jurian Ubachs:
[32:15] Ja, het is maar net welke waarde, kijk ik vind het heel waardevol. Dus wij hebben er echt voor gezorgd en zorgen voor dat het in ons DNA zit en dat dat wij er constant mee bezig zijn. Maar er zijn ook bedrijven die dat doen, die gewoon twee weken aan het vertellen zijn. Die houdt het er ook. Hij zei, ik zie het. Maar ja, als het op dat moment op orde is, kan ik er ook niet zo heel veel aan doen. Ik kan er een opmerking over maken.

Marin Heideman:
[32:34] Ja, en het kan best zijn dat... Kijk, jij vindt het heel belangrijk. Maar stel, stel jij gaat morgen ergens anders werken. En je opvolger komt en zegt, ja, ISO. Het is fijn dat we de stempel hebben. We moeten ervoor zorgen dat we hem houden, want het staat mooi op de website. Maar we gaan er niet over drijven met z'n allen. Want de toko moet wel door, show must go on. En sommige mensen ervaren dan, omdat de bedrijfsvoering dan zo in detail is vastgelegd, ook als een soort van blok aan hun been. Of met name wanneer ze in het wisselen van registratiesystemen, die dan bijvoorbeeld verankerd zijn in die bedrijfsvoering, hebben ze in een gegeven moment een ander systeem gekocht. Probeer dan nog maar eens diezelfde bedrijfsvoering te volgen. Dat merk ik in mijn werk. Wij switchen nog wel eens van IT-systemen. Probeer dan maar eens gewoon die ISO-certificering vast te houden. Dat is best lastig. Ja. Soms mis je gewoon bepaalde tools die je voorheen bij het maken van de ISO wel had, maar dat je bent overgeschakeld op een ander pakket, waar toevallig misschien net dat ene formuliertje niet is, wat je gebruikt om iets bijvoorbeeld vast te leggen.

Jurian Ubachs:
[33:37] Om even het dwars te laten. Klopt wat je zegt, want ik zat toevallig deze week met een potentiële klant op tafel. Ja, dan komt de vraag, ben je ISO-gecertificeerd? Ja. Oké. Weet je, de waarde van een papiertje is puur, oké, je hebt het stempeltje. Maar ze komen niet bij mij binnenkijken, juist niet, omdat ik die ISO heb. We hadden een klant die voordat we ISO hadden wat meer checks deed. Waarvan ze nu zeggen, ja, je bent ISO-gecertificeerd, dus we moeten er vanuit gaan dat het goed is. En als je met de overheid werkt, is het ook een vereisten. Die vereisen het, puur van, ja, je moet het hebben.

Randal Peelen:
[34:11] Maar dit vind ik dus een gek aspect aan dit hele verhaal. Ik snap dat het nuttig is. Daar twijfel ik niet aan. Het voelt voor mij als buitenstaander, die heel ver van die markt staat, ook een beetje als een soort van in-crowd clique. Als je een keer bij de ISO groep hoort, mensen die die certificaten hebben, dan ga je samenwerken, daar mogen andere partijen niet bij. Je vormt een beetje een bubbel.

Jurian Ubachs:
[34:33] Die bubbel vorm je, omdat als ik tegen een klant zeg, ja, ik ben ISO-gecertificeerd. En vervolgens heb ik een bedrijf waar ik weer diensten afneem en waar ik ook data van die klant neer ga zetten. En dat bedrijf heeft niet die ISO-certificering. Dan is niet de hele chain zeg maar ISO-gecertificeerd. En precies, de hele keten. Ja, en dat is wat je hiermee garandeert. Daarom kijk je wel bij voorkeur, willen we een ISO-gecertificeerde leverancier. Datacenter waar we staan moet ISO-gecertificeerd zijn.

Randal Peelen:
[35:04] Nee, maar als ik een IT-clubje ben en ik heb een hypermoderne, super geavanceerd en crypted opslagmethode bedacht, maar we zijn maar met z'n tweeën, ik heb geen 30k rondslingeren om even zo'n certificaat mee door te douwen. Ja, dan is niet meer de betere techniek. De winnaar dan is degene die het meest bureaucratische procesje door kan lopen.

Marin Heideman:
[35:28] Nou, ik zou nog sterk vertellen, door die ISO-certificering heb je bijvoorbeeld ook het risico dat je wellicht wel te veel op elkaar lunkt. Dat je ervan uitgaat, oh die andere die heeft dat deel van hun proces wel op orde, dus wij hoeven ons daar geen zorgen meer over te maken.

Randal Peelen:
[35:41] Ja, dan krijg je zo die toren met zo'n voetje dat je weg kan trengen, dan valt die hele toren om.

Jurian Ubachs:
[35:45] Dan kukelt de hele zon weg. Nou ja, dat is het wel. En die ISO heeft gecarneerd dat je het ook daadwerkelijk doet, die kijkt nog meer in de keuken. En dat ben ik helemaal met jullie eens. Kijk, wij zijn er als bedrijf beter van geworden. We hebben onze processen beter op orde gekregen. Maar ik ben het wel helemaal met je eens dat als ik tegen een klant zeg, we zijn ISO-gecertificeerd, dan zeg ik, oh prima.

Marin Heideman:
[36:03] Mooi. Heb je dat op orde. Punt. Je klinkt nog wel als dat kind wat net zijn rijbewijs heeft gehaald. Die rijdt natuurlijk fantastisch. En die rijdt netjes voor de regels. Maar over 30 jaar, dan weet hij niet meer waar zijn richting aan wijze zit. Ik noem maar even een dwarsstraat, ik zag er laatst weer een. Dat valt mij nog wel eens op. En hoe langer je zo'n ISO-certificering hebt, dat er ook wel soms wat luieheid in kan sluipen, zeg maar. Dat geloof ik. Je moet kijken hoe lang iemand een ISO-certificering heeft. Misschien als die al 30 jaar ISO-certificering hebben, misschien gaan ze een keer achter je oren krampelen.

Randal Peelen:
[36:41] Dat heeft hier niet per se wat mee te maken, maar ik heb dus in mijn werkzaam leven soms juist de tereenovergestelde gezien. Ik werkte hiervoor heel lang bij een internetprovider. Joh, echt waar? Ja, zou je niet zeggen.

Marin Heideman:
[36:53] En heeft jouw vriendin ook een glutenallergie?

Randal Peelen:
[36:55] Lekker he?

Marin Heideman:
[36:56] Een kwaad grapje.

Randal Peelen:
[36:57] Ik weet ook wat fotosynthese is. Regels die voor internet providers gelden, die lopen vaak wel wat jaren voor op de wetgeving. Want men vindt dan een internet provider superbelangrijk. Dus daar vindt Agentschap Telecom wat van, daar vindt de ACM wat van, daar vinden allerlei instanties wat van. En dan een paar jaar later komt de GDPR en iedereen in een redpenroerde GDPR. Oh, we moeten die gegevens beschermen, persoonsgegevens en privacy. En wij als provider zaten dan, oh, dat is schattig, dat doen we al lang. Althans, ja, effectief doe je het al lang. Het is niet exact dezelfde wetgeving. Maar omdat je altijd al zoveel regeltjes hebt waarvan je een deel echt heel stom en irritant vindt, ben je eigenlijk in die zin de kudde voor. Dus er zullen meer branches zijn, naast alleen telecom providers, die ook op die manier eigenlijk alleen maar up and running mogen zijn op het moment dat zij aan bepaalde dingen voldoen. Ik vind het dus eigenlijk ook bijzonder dat een cloud leverancier eigenlijk in principe van de wet net zo goed zonder welk certificaat dan ook Best wel roekeloos die data op zou mogen slaan. Er is dus niet echt een verbod op hoe netjes je dat mag doen.

Jurian Ubachs:
[38:06] Nee, je kunt het paardig of groovig maken als je wil.

Randal Peelen:
[38:09] En als je klanten erin trapt hoor.

Jurian Ubachs:
[38:11] Ja, toch? Ja. En daar helpt de ISO dan nog wel een heel klein beetje. Dat ik in ieder geval een audit er wel een keer heb meegekeken. Of je de spullenboel op orde hebt. Maar nogmaals, het geeft een klant nooit een 100% garantie.

Randal Peelen:
[38:24] Nee, het is best wel soft aangelegenheid. Dus je zegt nou je moet een procedure hebben voor X, Y, Z. Oké, ik heb een procedure. Wie zegt dat dit de slimste procedure is?

Jurian Ubachs:
[38:33] Nee, dat klopt. Dat eens. Om nog een voorbeeld te noemen. Je moet eigenlijk, en dat staat er niet zo heel hard, maar de auditor vindt dat wel heel wenselijk. Als id-leverancier heb je natuurlijk medewerkers en die doen dingen op service van klanten. ISO beschrijft wel dat wat er gebeurt altijd aan een persoon, een natuurlijke persoon, te herleiden moet zijn.

Randal Peelen:
[38:56] Ja, je moet je logging op orde hebben.

Jurian Ubachs:
[38:58] Je moet je logging op orde hebben, wat gebeurt vaak bij IT-bedrijven. Een inlog als roert. Ja, of iemand is administratie dus die zou theoretisch gezien de boel kunnen wissen en ook nog zijn eigen logs kunnen wissen.

Randal Peelen:
[39:10] Ja, tuurlijk kan dat.

Jurian Ubachs:
[39:12] Ja, dat soort processen moet je wel even aanpakken.

Randal Peelen:
[39:15] Oké, waarom dan?

Jurian Ubachs:
[39:16] Hoe dan? Omdat hij hier zo wel beschrijft, het moet altijd terug te herleiden kunnen zijn naar een persoon. Dus als mijn collega besluit, ik ben helemaal zat bij die man en ik ga die data van die klant wissen en ik ga ook nog los wissen. Dan moet je daar wel iets voor geregeld hebben, om dat in ieder geval het liefst te kunnen herstellen door middel van immutable backups. Maar als dat niet meer lukt om te kunnen aantonen wat er in ieder geval is gebeurd. En het liefst nog bijden natuurlijk.

Randal Peelen:
[39:46] Ik had een vraag van een luisteraar die heet Gerard Kool en die was zo snel en vanzelfsprekend gesteld dat ik denk hier zit misschien wat achter. Hij vraagt welke aanpassing die je moest doorvoeren voor je certificering in de fysieke wereld vond je het meest irritant?

Jurian Ubachs:
[40:02] Bedoelt die dan denk je met fysieke wereld in de zin van toegang tot gebouwen of zoiets?

Randal Peelen:
[40:08] Ja dat denk ik ja, want hij kwam zo snel met die vraag dat ik denk nou hier zit een irritatie achter.

Jurian Ubachs:
[40:15] Ik kreeg die vraag door en ik zat erover na te denken op weg hiernaartoe. Ik was daar ook van uitgegaan dat dat de fysieke wereld was. Ik kon het me eigenlijk zo niet bedenken. Want eigenlijk waren daar geen aanpassingen nodig bij ons die niet al geregeld waren.

Randal Peelen:
[40:30] Als je kantoor hermeneutisch gesloten is voor de buitenwereld, ben je op een heel end, denk ik.

Marin Heideman:
[40:35] Wat is eigenlijk de grootste aanpassing die je wel moet doorvoeren?

Randal Peelen:
[40:38] Ja, überhaupt.

Jurian Ubachs:
[40:41] De allergrootste aanpassing, ja dat komt bij ons toch wel op dat loggingstukje terecht. Dat het bij ons, we zijn een redelijk kleine club, iedereen kent elkaar en iedereen is loyaal. Wat is het? 5, 10, 30 mensen? 7. 7? Ja. Dat is een redelijke ruimte.

Randal Peelen:
[41:03] En 6. Oh.

Marin Heideman:
[41:03] Ik lieg er eentje.

Jurian Ubachs:
[41:05] Die is net onder de bus gekomen.

Randal Peelen:
[41:07] O jee. Die weten dat ik krijg een smsje.

Marin Heideman:
[41:09] Het zijn er 4.

Randal Peelen:
[41:11] Ja.

Jurian Ubachs:
[41:11] En nog 1. Oh ja, ze zijn nu allemaal weg. Nee, maar om daarvoor te zorgen dat dat stukje logging op orde is. Als iemand inderdaad zegt van ik ga, ik wil kwaad en ik ga alles wissen... om te zorgen dat hij niet ook zijn eigen loogbestanden kan wissen. Dat is best wel iets, dat is best wel een aanbod.

Randal Peelen:
[41:29] Dan is toch altijd iemand de eindbaas?

Jurian Ubachs:
[41:30] Ja, maar als je een kleine organisatie bent waar iedereen voor klanten werkt... moet ook iedereen heel veel kunnen doen. Ik zou gek worden als ik elke dag bij alle processen betrokken zou moeten zijn, bij alle operationele processen. Dan had ik hier nu niet kunnen zitten.

Randal Peelen:
[41:43] Ja, maar wacht. Ik bedoel te zeggen, er is altijd iemand die logs kan wissen. Toch?

Jurian Ubachs:
[41:49] Ja, en in dat geval ben ik dat. Als eigenaar van het bedrijf. Opscheppen.

Randal Peelen:
[41:53] Ja, ja.

Jurian Ubachs:
[41:54] Ja, dus dan ben jij toch...

Randal Peelen:
[41:55] Ik heb een CSO, ben ik te klein voor?

Jurian Ubachs:
[41:57] Ben ik zelf, maar inderdaad, dat is wel... Bij grotere bedrijven moet je daar een bepaalde mate van hiërarchie in hebben. Dus dat een beheerder die zaken op een server uitvoert dat niet kan doen. Maar dat er altijd iemand boven zit die daar iets meer rechten in heeft.

Randal Peelen:
[42:16] Ja, maar dan ben jij dus ook gelijk, nou ja, tussen air quotes de zwakste schakel in dit certificaat. Dat als jij kwaad in de zin hebt...

Marin Heideman:
[42:24] Ik vind het wel fijn dat we tot deze conclusie komen met z'n allen.

Jurian Ubachs:
[42:27] Dus je zegt...

Marin Heideman:
[42:27] Dat jij de zwakste schakel bent. Nee, maar dat is toch een logische vraag?

Jurian Ubachs:
[42:29] Wat je eigenlijk zegt is, als ik mijn eigen bedrijf omzee wil helpen, dat ik dat zou kunnen doen.

Randal Peelen:
[42:34] Nee, dat van je klanten, want je hebt ongetwijfeld financieel gewonnen. Als jij, ik weet het veel, je hebt het gehad over ziekenhuizen. Je trekt wat data leeg, je logt de wisbestand. Logbestand is niet aan jou te koppelen. Je hebt data van klanten buitgemaakt die je kan verkopen. Weet ik veel. Ik heb geen idee wat miskwaardige shit is. En wel dat je ook snode plannen hebt hoor. Nee, ik ben gewoon benieuwd hoe dat...

Jurian Ubachs:
[42:57] Dan breng je mensen op ideeën.

Marin Heideman:
[42:59] Volgens mij geef je hem al ideeën. Hij is volgens mij al van alles in zijn hoofd aan het denken.

Jurian Ubachs:
[43:03] Ja, toch morgen maar...

Marin Heideman:
[43:04] Wat ik allemaal in de blockchain kan zetten.

Randal Peelen:
[43:06] Nee, maar ik stel me voor dat als een goed dichtgetimmerd systeem betekent dat niet iedereen de loogbestanden kan wissen, er altijd iemand is die dat wel kan. Klopt. En dat die persoon in zekere zin gewoon de grootste risicofactor is geworden.

Jurian Ubachs:
[43:28] Ja, maar je hebt het wel voor een groot deel dichtgetimmerd dan. En ik zeg niet dat je het 100% zou kunnen dichttimmeren, maar je hebt het op die manier wel voor een groot deel dichtgetimmerd.

Randal Peelen:
[43:36] Ja.

Jurian Ubachs:
[43:38] Kijk, je vraagt van wat is de grootste aanpassing? En mijn medewerkers, die waren heel erg bang dat we een heel bureaucratisch bedrijf zouden gaan worden. Structuur. Ja, dat valt wel mee. We moesten wat meer gaan aangeven bij tickets die binnenkomen wat voor type change het is, om daar wat meer structuren in aan te brengen en te gaan kijken. Maar dat helpt ook weer, want als wij een change, beter beoordelen, is het een standard change of is het een normal change, dan helpt dat dus ook om niet zo klakkeloos maar even aan de gang te gaan met die change. Als je hem categoriseert, dan kun je op basis daarvan dus ook bedenken, maar wat voor impact heeft dat voor de klant? en vraag dit misschien een stukje extra overleg bij de klant. Dus dat heeft wel wat invloed gehad op de werkprocessen van iedereen. Maar die doen we inmiddels al ruim een half jaar. En dat is er ook weer ingesleten. Dus ik kan me niet zo hele dingen bedenken van dat ik echt denk, nou dat is een wijziging geweest.

Marin Heideman:
[44:44] En, sorry.

Randal Peelen:
[44:46] Nee, je verhaal heeft alle sfeer van een uitdaging die op de schouders nam en geld heeft gekost en tijd. Maar vooral zweet. Maar het was geen rigoureuze aanpassing van je bedrijf. Je hebt geen wiel opnieuw uitgevonden. Je hebt vooral veel na zitten denken. Op whiteboard zitten krabbelen. En relatief kleine aanpassingen gedaan om de boel wat veiliger te maken. Het grootste werk lijkt hem voor mij te zitten in gewoon erover nadenken. En opschrijven. Dat lijkt me het stomste stukje.

Jurian Ubachs:
[45:26] Dat heb ik dan voor een deel uitbesteed samen met de consultant gedaan, maar inderdaad, dat is het minst leuke stuk. Maar daar zat hem nog het grote. We deden heel veel al goed, alleen het stond niet op papier.

Marin Heideman:
[45:37] Misschien even doorgaan op die NEN7510, ik weet het niet. Dat vroeg hij ook nog aan toe, kun je dat omschrijven?

Randal Peelen:
[45:45] Ja, die gaat specifiek over de medische sector, toch?

Jurian Ubachs:
[45:48] Ja, eigenlijk is dat de ISO27001 voor de zorg. Zorgbedrijven zijn volgens mij sinds een paar jaar verplicht om die norm te eisen als ze zaken doen met een IT-leverancier. En de NEN7510 is eigenlijk de ISO27001 plus een paar zorgspecifieke eisen. En die vallen erg mee, dus er wordt eigenlijk ook altijd wel aangeraden en daar hebben we ook voor gekozen. Als je klanten in de zorg bedient, pak die norm dan direct mee. Want het kost je qua implementatie niet zo heel veel meer, eigenlijk bijna niks. En qua audit is het uit mijn hoofd gezegd een halve dag of een dag, ik meen een halve dag extra voor de auditor. Dus dat zijn eigenlijk de enige kosten die je hebt. Wat wel is veranderd, is je moet al wel aantoonbaar een klant in de zorg hebben om die norm te mogen behalen.

Randal Peelen:
[46:38] Oh dit is een... Ja, dit is een... Wacht even. Nou ja, het slaat wel ergens op. Het wordt alleen een beetje lastig als op een gegeven moment alle aanbieders op zijn.

Jurian Ubachs:
[46:47] Nou, mijn vraag was dus, maar stel nou dat ik bezig, we hadden een klant in de zorg, maar stel dat ik die niet zou hebben en ik zou op dat moment met een offertatorik bezig zijn en die klant die moet dus van mij eisen dat ik het heb, maar ik heb het nog niet, want ik heb nog geen klant in de zorg. Goeie vraag. En dan mag de auditor, die mag aan de raad van certificering van de NEN, ik weet niet wat die gasten heten, maar mag die dus toestemming gaan vragen van let, kijk dit bedrijf is al in zo'n traject en mogen we hem dan meepakken en dan krijg je meestal wel toestemming. Ja, ja. Ik begrijp het ook niet zo heel goed als ik...

Randal Peelen:
[47:17] Een soort intentieverklaring-achtige gebeurtenis. Nederlands Nominisatie Instituut. Zullen we even doorpakken naar de Dutch Cloud Community? Want we hebben Erik Pijs hier een aantal keren aan tafel gehad. En de Dutch Cloud Community is, weet ik toevallig, een van zijn laatste hobby's. Daar heeft hij ook al kort over verteld. Wat is de Dutch Cloud Community?

Jurian Ubachs:
[47:38] Het is een hobby, ja. Dat zal ik toch eens met hem over hebben.

Randal Peelen:
[47:41] Eén van zijn hobby's. O ja, waarom moet ik het er met hem over hebben?

Jurian Ubachs:
[47:45] Nee, nee, dat is een grapje.

Randal Peelen:
[47:45] Omdat hij er geld voor krijgt? Nou, nee.

Jurian Ubachs:
[47:47] Nee, wij krijgen als bestuur niet betaald. Ik wou net zeggen. Waarschijnlijk dat hij er ontzettend druk mee heeft.

Marin Heideman:
[47:52] Dus moet je je afvragen of dat wel een goede hobby is.

Jurian Ubachs:
[47:56] Ja, druk is het zeker. Ja, wat is de Dutch Cloud Community? De Dutch Cloud Community, ja, wij zeggen wij zorgen voor de Nederlandse cloud sector. Dat is in basis van wat wij doen.

Marin Heideman:
[48:09] Ontzettend lief van jullie. Ja, lief hè.

Randal Peelen:
[48:11] Hebben jullie de vorige keer niet geconstateerd dat het gewoon een lobbyclub was?

Jurian Ubachs:
[48:15] Ja, we zijn er bijna.

Marin Heideman:
[48:16] Hebben jullie geconstateerd dat het een lobbyclub was?

Jurian Ubachs:
[48:19] Ja, met Erik.

Marin Heideman:
[48:19] Hij kwam wel heel veel terug op, er zit ook wel lobbywerk bij. Met name als je met Europese instanties natuurlijk praat.

Jurian Ubachs:
[48:27] In basis is het een branchevereniging. En het is ontstaan, het is een fusie geweest tussen ISP Connect, wat de branchevereniging was voor veelal de kleinere hostingbedrijven, en de DHPA, de Dutch Hosting Provider Association, wat eigenlijk de club van de grotere hosting providers was.

Randal Peelen:
[48:43] Was.

Jurian Ubachs:
[48:43] Doel van de DAPA was meer lobbywerk en het uitdragen van de Nederlandse cloud sector. Dus bedrijven in Nederland eigenlijk overtuigen dat ze vooral met Nederlandse cloud bedrijven zaken moeten doen, niet met Amerikaanse spelers. En ESP Connect was meer de branchevereniging. Die zorgde voor dat kleinere bedrijven hun algemene voorwaarden konden krijgen, dat ze dat het zaak op orde hadden. Dus eigenlijk wat een branchevereniging veelal doet.

Marin Heideman:
[49:12] Die twee zijn gefuseerd tot wat nu is de Dutch Cloud Community. Oh, vraag je? Je zei net iets wat me triggerde. Je hebt natuurlijk de grote partijen. AWS, om maar even de grote mas te noemen. Amazon Web Services. Amazon Web Services, en dan heb je nog Azure Cloud natuurlijk van Microsoft. Volgens mij zijn dat wel de twee grote...

Jurian Ubachs:
[49:36] Ja, Google.

Marin Heideman:
[49:37] Google is toch ook een... Ja, Google, maar ik weet niet hoeveel... Hyperscale is ook nog een soort. Hyperscale nog inderdaad wel, ja. Maar met name Amazon heeft natuurlijk met AWS enorm goed geboerd. Was ooit ontstaan als backup service, hè. service omdat ze in buiten de wat is het tijdens de silly season tijdens de kerst en dergelijke hebben ze heel veel service hebben ze nodig om hun website eigenlijk draaiende te houden. Ja de rest van het jaar staan heel veel van die service staan niks te doen en zo zijn ze besloten om die boel dus te gaan verlenen aan de rest. Tenminste zo is het mij dat ooit tijdens een ABS conferentie verteld.

Randal Peelen:
[50:09] Klinkt zo logisch dat moet wel waar.

Marin Heideman:
[50:11] Klinkt klinkt vrij logisch. Groot succes, maar Amerikaanse toko en Amerikanen en privacy, die hebben daar iets ander idee over.

Randal Peelen:
[50:21] Wees weer dit act en moeilijk.

Marin Heideman:
[50:22] Nou ja, je ziet nu dat er steeds meer teruggeduwd wordt. Krijgen jullie wat meer lucht nu dat Amazon iets meer, dat er iets meer teruggeduwd wordt op Amazon of zijn ze nog steeds herenmeester en duwen ze iedereen eruit?

Jurian Ubachs:
[50:38] Ja, dat doen ze, maar waar wij ons meer op focussen, dan is de klant. Die maakt uiteindelijk die keuze.

Marin Heideman:
[50:44] Ja, ja, nee, dat klopt.

Jurian Ubachs:
[50:45] Dus die kiest ervoor of hij naar Amazon gaat of naar...

Marin Heideman:
[50:47] Maar merk je dat, want er is nu natuurlijk strengere normeringen zijn er gekomen. Met name dat data niet meer gekopieerd, maar gewoon naar Noord-Amerika grond en dergelijke. Maar er zijn nog wel heel veel andere dingen gebeurd, ik weet het niet precies. Maar in ieder geval de normering of de regels worden steeds strenger. Ja. Merk je daar verschil in? Merk je dat het makkelijker wordt? Misschien ten opzichte van 10 jaar geleden toen ze zo oppermachtig waren. Ik weet niet, of daar een bepaald tijdspad in loopt.

Jurian Ubachs:
[51:16] Aan die kant merk ik persoonlijk dat nog niet, in ieder geval. Wij merken het wel dat we beweging zien aan de kant van de klant. Die uiteindelijk de keuze moet maken waar ga ik mijn data neerzetten. Daar zien we wel de bewegingen. Omdat wij daar natuurlijk ook met z'n allen dat meer uitdragen. van, wees je wel bewust waar je je data gaat neerzetten en waar het staat en aan wie je ertoe vertrouwt.

Randal Peelen:
[51:40] Is het dan echt die wetgeving of is het meer de angst voor het onbekende? Nee, ik stelde de vraag verkeerd. Want ik kan me nog herinneren dat na 9-11 met die Patriot Act, sommige mensen het een principe kwestie vonden dat de Amerikaanse overheid hun data op kon vragen, maar heel veel meer dan een principe kwestie was het voor een gemiddelde mkb-er ook niet. Want ja, die heeft daar effectief niks mee te maken.

Jurian Ubachs:
[52:10] Die is niet bang dat dat gebeurt. De wet speelt, dus de AWG, die speelt hier wel voor een heel groot deel in mee. Je mag als Nederlandse speler gewoon, of als Europese speler, je data niet in Amerika zetten. Dus dat speelt mee, dat is wel een belangrijk onderdeel.

Randal Peelen:
[52:25] Maar wat voor speler? Want ik mag mijn data prima in Amerika zetten.

Jurian Ubachs:
[52:29] Ja, maar niet voor jouw klanten. Dus ja, niet van jouw klanten, persoonsgegevens waar het om gaat. Dus als je persoonsgegevens hebt, dan mag je die niet in Amerika zetten. Mag je wel doen, maar dan moet je je klanten er wel over informeren dat je dat doet. Basis is dat niet de bedoeling. En wat ook nog meespeelt, want dat is één kant van de medaille. Dus de wetgeving. Aan de andere kant heb je bij die grote spelers natuurlijk ook nog een bepaalde mate van vendor lock-in. Wat je ziet, ook bij Microsoft en bij Azure, een aantal jaren geleden was het heel aantrekkelijk om alles maar in Azure te zetten. Maar als je nu naar de prijzen kijkt, die zijn aardig de lucht in gegaan. Wat je dan vaak ziet is dat bedrijven niet zomaar meer terug kunnen. Want ja, we zijn toch wel erg afhankelijk geworden van die grote partij. En alles staat daarin.

Marin Heideman:
[53:13] Ja, dat viel mij ook op. We hebben ooit eens een keer een exercitie gedaan om een product van ons inderdaad naar de klauwen te brengen. Gewoon meer voor demoduleinden en dergelijke. En toen we met AWS begonnen te praten, merkte ik heel snel van, nou wil je gewoon een VM hosten, dan is het heel duur. Maar als jij je database eraf koppelt, dat component eraf koppelt, dat component eraf koppelt, en dat hosten wij dan op verschillende plekken, waardoor je eigenlijk je volledige applicatie bijna moet gaan bouwen op AWS, en dus niet zo makkelijk meer even de poort is. Ik weet niet waar uiteindelijk dit project gestrand is, maar ik weet wel dat je...

Randal Peelen:
[53:49] Jij zag tussen de neus en lippen door wel dat dat betekende dat je afhankelijk van ze bent.

Marin Heideman:
[53:54] Je bent op een gegeven moment op die manier ben je volledig AWS afhankelijk en kun je nergens meer heen. En dan hebben ze je bij je ballen. Bij ons was het dan ook nog eens een keertje, want dat werd over het algemeen die keuze dat we uberhaupt met AWS en ZEE gingen, werd door Noord-Amerika nu bepaald, want daar is het dan wel helemaal toppie de floppie.

Randal Peelen:
[54:09] Hoe kan het dan dat als wij denken aan de grote techreuzen, dat die allemaal een cloud hebben, maar ik denk niet aan China, ik denk niet aan Europa, ik denk niet aan India, het is allemaal niet, het is gewoon Amerika dat het rock slaat en vervolgens zeggen we ja, nee, daar mogen we niet hosten.

Jurian Ubachs:
[54:23] Nou, we hebben ook Alibaba, dat is ook een grote speler. Alibaba is een heerlijke speler. Goed, die is niet zo populair hier. Nee. Ik weet ook niet of hij mijn spullen wil laten draaien. Nou, nee. We bestellen wel al onze rommel.

Marin Heideman:
[54:35] Zo min mogelijk, maar dat klopt. Dat is ook zo. En ik denk ook al doen we hier rooms aan de pauze, dat we er eigenlijk toch achter komen dat er via een achterdeurtje toch nog een kopietje wordt gemaakt richting ABS. Ja.

Jurian Ubachs:
[54:46] Maar ja. Ja. Nou ja, wij zien echt wel de bewegingen, maar meer aan de klantkant. En ook aan de kant van de overheid zie je dat er nu wel wat veranderingen komen. Er komt volgens mij ook wat wetgeving, dat er niet standaard meer zomaar gekozen mag worden om alles maar bij Microsoft neer te zetten. Want de overheid heeft daar veel staan.

Marin Heideman:
[55:15] Nou ja, een van de momenten die voor mij heel duidelijk was, was voor de Vlaamse Toezichtscommissie. Die heeft uiteindelijk in 2020 bepaald dat overheidstoepassingen gewoon niet op ABS mogen staan. Dat was een vernietigend advies. En sindsdien, en dat is met name omwille van de AVG-bepalingen, die ze daarin hebben bekeken, ja met name van je kunt gewoon niet vertrouwen, Op het moment dat je bij AVG neerzet, dat het inderdaad niet ergens in een of andere... AVS neerzet. Ja, dus de AVS, of de AVG-wetgeving dan in dit geval.

Jurian Ubachs:
[55:47] En in de zorgsector is dat natuurlijk al helemaal. Want dan zit je nog met de bijzondere persoonsgegevens, dus medische data.

Marin Heideman:
[55:54] Ja, en er was aanvankelijk nog een loophole, want zei ze, ja, maar omdat het in dubbelen staat, staat het op Europese Uniegrond. Zolang we maar kunnen aantonen dat er geen backup wordt gemaakt in Noord-Amerika, dan kun je er soort van bij wegkomen.

Jurian Ubachs:
[56:07] Het gaat niet helemaal omweg, de Cloud Act zegt, en ik ken de wet tekst niet helemaal uit m'n hoofd, dus vergeet me een klein beetje, maar in basis zegt hij dat een Amerikaanse rechter de data kan eisen van Amerikaanse bedrijven en al haar dochterondernemingen. Microsoft in Dublin is een dochteronderneming van Microsoft.

Marin Heideman:
[56:26] En daar ging hij dus ook nat. Ja, dat klopt. Dus dat ja.

Randal Peelen:
[56:31] Er is een vraag van een luisteraar die heet Le Hazy en die vraagstaf Cloud Schmaut, Waarom hebben zoveel cloudtokos moeite met begrijpen dat niet alles naar de cloud kan?

Jurian Ubachs:
[56:41] Ja, dat moet je die cloudtokos vragen. Ja, maar je snapt best de implicatie van de vraag. Ik snap het. Maar de vraag is al wel, iets is al gauw een cloud. Want een cloud is eigenlijk gewoon niemand anders dan een computer. Het is een server in een datacenter, dus ik vind wel je moet een onderscheid maken tussen in dit geval de publieke cloud en de cloud.

Randal Peelen:
[57:04] Ja, ik vind het woord cloud, maar daar zit ik misschien ver naast eigenlijk impliceren dat het meerdere computers is, een soort gedistribueerd systeem dat altijd in de lucht is. Want anders is het een server of een virtuele server.

Jurian Ubachs:
[57:17] Ja, dus je hebt, als we het even onderscheiden, je hebt een server die bij een bedrijf op locatie staat. Ja, on-premise. On-premise inderdaad, je hebt de cloud bij een speler zoals wij of een andere Nederlandse IT-partij die wat servers in een datacenter heeft draaien waar het op kan draaien. Dat kun je dan al de cloud noemen. En je hebt de publieke cloud. Dan kom je bij Microsoft of AWS uit.

Marin Heideman:
[57:41] En dan heb je ook nog on-premise cloud.

Jurian Ubachs:
[57:43] En dan heb je ook nog on-premise cloud.

Marin Heideman:
[57:45] Dat is een kopie van de cloud toepassing on-premise, zodat je bijvoorbeeld wel centraal kan coden, alles kan deployen, Want dat je dus dan in één instantie daar neerzet, zodat op het moment dat het internet eruit valt, dat het wel door draait.

Randal Peelen:
[57:58] Dus als ik een server heb, die gewoon een dienst draait, dan is het eigenlijk een cloud in de box.

Marin Heideman:
[58:04] Feitelijk zou ik dat wel zo kunnen zien. Ja, en AWS die levert dan bijvoorbeeld een edge device.

Jurian Ubachs:
[58:11] Maar de vraag was om, kan alles in de cloud? Ja, dat kan wel heel veel in de cloud. Want wat we vaak zien...

Randal Peelen:
[58:16] Nee, niet alles naar de cloud kan.

Jurian Ubachs:
[58:18] Nou ja, kijk, als je bijvoorbeeld neemt wat ik vaak hoor, is bijvoorbeeld exact geloven. Dat was het oude, je hebt tegenwoordig exact online het boekhoudsysteem. Exact geloven was de oude versie van heel veel bedrijven, draai je daar nog op. Dat moet on-premise op een server staan, want het heeft een database nodig, lokaal moet lokaal op een server staan. Maar ja, of die server nou bij bedrijven in de bezemkast staat, of veilig in een datacenter, als je er maar bij kan.

Randal Peelen:
[58:44] Nee, wacht even. De sprong naar datacenter is veilig, vind ik snel gemaakt hier. Dat heeft natuurlijk niet met elkaar te maken. Een bezemkast kan verdomd veilig zijn.

Jurian Ubachs:
[58:53] Ja, vind je? Ja, het klinkt wel stoffig.

Marin Heideman:
[58:57] Waarom?

Jurian Ubachs:
[58:58] Het klinkt stoffig.

Randal Peelen:
[58:59] Er staat de bezem. Ja, dat bedoel ik.

Marin Heideman:
[59:01] Dat wordt stoffig.

Jurian Ubachs:
[59:02] Als we schoonmaken, moet stofzuigertrekkers de stekker eruit.

Marin Heideman:
[59:05] Ja.

Randal Peelen:
[59:08] Oh, dus die kan er wel zomaar in.

Jurian Ubachs:
[59:10] Nu is het een nieuwe beveiligingsdienst.

Randal Peelen:
[59:12] Als het een bezemkast is.

Marin Heideman:
[59:14] Zou dat ook in je ISO-certificering?

Jurian Ubachs:
[59:16] Ja, maar wij hebben geen server in de bezemkast.

Randal Peelen:
[59:18] Nee, maar je snapt mijn punt toch. Het is zo veilig omdat je in een datacenter moet draaien.

Marin Heideman:
[59:24] Ik vind wel, er zijn, maar ik denk dat het, we moeten het even terugdraaien naar wat voor soort applicaties we hebben het over. Er zijn gewoon applicaties die niet zo geschikt zijn voor de cloud.

Jurian Ubachs:
[59:34] Zoals?

Randal Peelen:
[59:34] Ja, waarom niet?

Marin Heideman:
[59:35] Ik werk zelf in de medicitee en medicitee leunt op nogal oude protocollen. En die protocollen zijn nog niet... allemaal goed omgezet naar het grote, boze internet. En dat betekent dus dat op dit moment heel veel van die applicaties, die draaien binnen ziekenhuisnetwerken, die hebben daar best wel goede beveiliging omheen zitten, met allerlei beveiliging om bijvoorbeeld te zorgen dat niemand zomaar in dat netwerk kan komen. Tuurlijk, het wordt encrypted over die lijn heen gestuurd, maar op het moment dat je dat over het internet heen gaat sturen, dan is dat protocol daar nog niet matuur genoeg voor.

Jurian Ubachs:
[1:00:11] Er is geen VPN-verbinding ertussen.

Marin Heideman:
[1:00:13] Dan kun je inderdaad een VPN-verbinding er tussen leggen. Maar is het dan wel performant genoeg? Kijk, ik werk bijvoorbeeld...

Randal Peelen:
[1:00:21] Performant genoeg. Performant genoeg.

Marin Heideman:
[1:00:23] Ik heb een Nederlandse ruur. Sorry. Is het snel genoeg?

Jurian Ubachs:
[1:00:26] Vormt het nog wel?

Marin Heideman:
[1:00:26] Nou ja, ik zou je vertellen.
[1:00:32] Bijvoorbeeld, wij leveren systemen waarin glaasjes van weefsel wordt gedigitaliseerd, digitale patologie. Dat zijn plaatjes van meerdere gigabytes per plaatje, waarbij een patoloog in een seconde veertig keer moet kunnen inzoomen. Dat krijg je niet draaiend op de cloud, kan ik je bij deze vertellen. Dat werkt gewoon niet. En op het moment dat je in een medische omgeving bezig bent, en met met name ook toepassingen die bijvoorbeeld in hart- en kreativisatiekamers draaien, die patiënt kritisch zijn, terwijl het patiënt ligt de bloed op die tafel, dan kun je niet zoiets hebben van het internet klapt er even uit. Wat je wel zou kunnen doen, en dat is wel een beweging die ik zie gebeuren, dat je dus on-premise cloud een beweging daarin ziet gaan. dat je dan bijvoorbeeld wel in de cloud je ontwikkelingen kunnen doen, maar dat je dus een kopie gewoon neerzet, zodat het makkelijker te beheren is. Maar ik merk in de medische IT-wereld sowieso ook aan de klantzijde er heel veel weerstand is. Dus het zou in theorie wel kunnen, maar ik merk ook, wij moeten met zoveel oude randapparatuur werken, met name ook de scanners, de apparatuur die eigenlijk de plaatjes produceert. Ja, die kunnen niet, de manier waarop die data versturen zou het via een VPN, want het wordt wel gedaan om het private clouds, die worden wel degelijk gebruikt. Zie je toch dat de performance, ja sorry, ik kom er even terug, met name hoeveel data je eroverheen kunt pompen, wordt het gewoon heel erg lastig, omdat het veel te veel ook heen en weer moet gaan.
[1:01:57] De idealiteit achter een cloud toepassing is dat je je data ergens hebt neergestaan en je probeert zo min mogelijk te streamen naar je client toe, lijkt me. Natuurlijk, je hebt Netflix, dat wel, maar de daadwerkelijke bronbestanden die staan daar en je streamt een heel klein bitstreampje, zodat jij voldoende kan zien, dat je een beetje het gevoel hebt dat je naar verschillende plaatjes zit te kijken. Maar in de medische wereld bijvoorbeeld kun je dat niet maken. Dan moet de volledige pixelset gewoon naar die eindgebruik toe. En daarin merk ik gewoon van, dat heeft niet zozeer te maken met, ook sowieso klanten die willen het niet. Die zeggen van het moet binnen mijn muren blijven. Sommigen die pareren ook nog wel met bepaalde normen, dat ze zeggen het mag ook helemaal niet. Of dat zo is, dat weet ik niet. Daar kan ik niet over oordelen. Maar het is met name dat de... de rest van de rand apparatuur die er eigenlijk mee moet koppelen, dat die er gewoon nog helemaal niet klaar voor is. Daar loop ik vaak tegen.

Jurian Ubachs:
[1:02:50] Begrijp me niet verkeerd, ik zit natuurlijk ook een beetje te sarren, want in theorie, als je wil, kan je alles in de klauw doen.

Marin Heideman:
[1:02:55] In theorie wel.

Jurian Ubachs:
[1:02:56] De vraag is, is het altijd het meest wenselijke? En daar ben ik het mee eens, dat is zeker niet altijd het geval.

Randal Peelen:
[1:03:02] Alleen niet?

Jurian Ubachs:
[1:03:03] Nou, in de voorbeelden die hij noemt, is dat zeker niet het geval. En wij hadden laatst ook een voorbeeld van een klant, met een redelijk oude offline applicatie om iets van offertes te maken of iets dergelijks werkte, was een klein bedrijf. Ja, als je dat in de cloud moet gaan neerzetten, omdat je het per se in de cloud wil, dan loop je tegen kosten aan voor zo'n kleine applicatie, die je eigenlijk heel simpel op kan vangen door inderdaad maar een klein servertje in de bezemkast te zetten. Dus je moet dat wel per toepassing bekijken. Dus ja, alles kan in de cloud, ben ik van mening. Er is wel een technische toepassing, maar je moet het wel willen. En het moet ook nog wel een business case vergelijken.

Marin Heideman:
[1:03:44] En het moet ook rendabel blijven. Dus op het moment dat je zoveel data bijvoorbeeld moet opslaan, dat hebben we toen ook gemerkt in die exercitie, het werd zo duur voor cloud storage, wat je merkt versus wat je dus op lokale storage had. Als je op een gegeven moment over een bepaalde data heen gaat, en er staat zeg maar niet zo heel veel tegenover, met andere woorden, ik heb bijvoorbeeld ook meerdere ziekenhuizen bij elkaar kunnen krijgen, en dat ze elkaars beelden heel snel kunnen zien, dat gebruiken wij bijvoorbeeld weer wel. Maar dan is dat een soort eindstation, maar er zitten nog wel offline on-premise systemen tussen die lokaal de gebruikers bedienen, maar wel al hun data back-up naar een disaster recovery doen. En vanuit daar kun je er dan over bij. Maar dan heb je een voordeel, dan heb je een eindstation. Je pompt er één keer naartoe en vanuit daar, door het dan in de cloud te zeggen, want bij ons werken hebben we ook constant discussies over de cloud. Ik zeg je, het moet ook wel een voordeel zijn voor de eindgebruiker en voor dat ziekenhuis. Ontzorg je ze daarmee? En het is net zoals, kijk, en wij werken veel met radiologen.
[1:04:45] Ik kan heel lastig aan een radioloog verkopen, ja kom het mij in de cloud zetten. Want dan kan je er altijd bij. Ja maar ik kan ook het ziekenhuis inbellen. Dus wat leef je nou voor voordeel? Tenzij nu kan je zeggen, ja maar dan kun je bijvoorbeeld ook heel makkelijk de beelden uitwisselen met mede radiologen. Second opinion aanvraag, pathologen, idem lito, die werken over centra heen. Kijk en dan breng je een voordeel van cloud met je mee. Snap je? Dan ga je, als je dus iets extra's kan bieden om buiten die muren van die ziekenhuizen, Die ziekenhuizen muren die zijn behoorlijk dik. Dat heb je denk ik zelf ook wel ervaren. Dan heb je denk ik een voordeel en dan heeft cloud ook zin. Maar dat moet je je wel altijd afvragen.

Jurian Ubachs:
[1:05:23] Ik schetste natuurlijk in het begin ook die klant van ons waarvoor wij die service in die ziekenhuizen beheren. Want die service staan ook echt in die ziekenhuizen. Omdat het ziekenhuis ook zegt wij willen nog niet naar de cloud. Want patiënt data mag niet naar de cloud. Daarnaast zijn die service ook nog van een dermate rekencapaciteit. Als je dat in een esje moet gaan zetten dan ben je ook echt voor een klein vermogen kwijt.

Randal Peelen:
[1:05:46] Ik heb ook klein vermogen kwijt voor die servers, laat het eerlijk zijn.

Jurian Ubachs:
[1:05:49] Niet vergeleken met wat je eigen vrouw betaalt. Als je naar de investering van zo'n server kijkt en de afschrijving, staat dat totaal niet in verhouding.

Marin Heideman:
[1:05:58] Je huurt het in feite.

Randal Peelen:
[1:05:59] Ja, dat snap ik. Het idee was ooit dat dat goedkoper zou zijn.

Marin Heideman:
[1:06:02] Als je het kan scalen, wel. Dus als je diezelfde applicatie bijvoorbeeld, wat wij dan multitenant, dat is wel een term die jullie ook gebruiken, waarmee je bijvoorbeeld dezelfde applicatie meerdere klanten kan bedienen, dan haal je het onderste uit de kan. Op het moment dat je dat niet kan garanderen aan die eindgebruik, dat de data gescheiden staat van elkaar, ja, dan moet ik losse instances gaan maken in die cloud. Dan ben ik uiteindelijk duurder uit dan wanneer ik het on-premise ga doen.

Randal Peelen:
[1:06:27] Maar sorry, ik onderbrak jouw gedachte gewoon.

Jurian Ubachs:
[1:06:29] Nou, dat wij dus die servers in die ziekenhuis bieren, want feitelijk is dat gewoon een on-premise server die wij daar beheren. Dus precies wat ik aangeef, niet alles moet je in de cloud willen. Er moet ook een business casual zijn. En wat jij net heel mooi zei, is de intentie was ooit dat het in de cloud goedkoper zou zijn.

Randal Peelen:
[1:06:49] Ja, het is ook wel eventjes zo geweest, maar lang niet meer.

Marin Heideman:
[1:06:53] Nee, in theorie kan het, het is gewoon hebzucht. Ja.

Randal Peelen:
[1:06:56] Vanwege goedkope datelijnen of wat?

Marin Heideman:
[1:06:57] Nee, want wat was...

Jurian Ubachs:
[1:06:59] Inkoopvoordeel. Ja, oké. Nou ja, en toen Asher net... Het was echt wel goedkoper. Maar Microsoft heeft zijn prijzen. En trouwens niet alleen Microsoft, maar al die spelers hebben hun prijzen redelijk... Luchtopging ingetrokken.

Randal Peelen:
[1:07:09] Ik weet niet of ik iets op het spoor ben, hoor. Maar ik zie een vergelijkbare beweging volgens mij ook in gewoon... apparatuur. Als je op een gegeven moment Google foto's had. En je had al je foto's in de cloud staan. Dan kon je op een gegeven moment die gezichten laten herkennen. Dan weet je gewoon, daar staan die Google-servers een triviale hoeveelheid tijd op te stampen, maar dat algoritme wordt steeds beter en ik kan gewoon intypen wat ik wil in Google Fotos. Het wordt eigenlijk in de cloud bekeken van welk gezicht hoort waarbij. Nou, toen Apple met die functie kwam, weliswaar wat later, gebeurde dat allemaal in dat device, want Apple is zo koppig en privacy staat voorop. Maar hun chips worden ook elk jaar wel steeds sneller. En dan denk je, nou goed, die nieuwe iPhone is helemaal niet zo heel veel sneller dan die vorige. Nee, oké, maar wel elke keer. En die chip staat dan s'nachts, als ik hem aan de oplader hang, die gezichten te stampen. in plaats van in de cloud, toch maar op mijn device. Ik weet niet wat ik ermee bedoel, maar je ziet bepaalde bedrijven juist heel veel van het rekenwerk naar het device toetrekken, onder het mond van privacy, terwijl anderen juist de magie in de cloud laten gebeuren.

Jurian Ubachs:
[1:08:15] Ja, maar bij Google ook zit daar wel een reden achter natuurlijk, hè?

Randal Peelen:
[1:08:18] Vertel eens.

Jurian Ubachs:
[1:08:19] Nou ja, Google wil data. Dat is waar zij voor leven.

Randal Peelen:
[1:08:23] Ze zijn al zo lang ze bestaande beste AI op aarde aan het trainen eigenlijk.

Jurian Ubachs:
[1:08:27] Ja, die willen gewoon data, data, data. En als iets gratis is, dan ben jij het product, hè? Dat is wel een bekende uitspraak. En dat is hier ook het geval. Zet jij maar lekker gratis al jouw foto's in de cloud. En laat Google daar maar zijn magie over doen. Maar ze hebben wel al die data. Ze kunnen wel al die data weer gebruiken voor analyses.

Marin Heideman:
[1:08:43] Algorithmetgene.

Jurian Ubachs:
[1:08:43] Maar ook wat je daar ziet, het was gratis. En ik had ook foto's in de Google Cloud staan. En toen kreeg ik laatst een berichtje van je zit ineens aan je storage. Want dat hadden ze eventjes teruggezet naar weet ik veel, 15 jaar geleden.

Marin Heideman:
[1:08:57] Een van de eerste Pixeltelefoons zo. telefoon zo met levenslange dataopslag voor Google Photos komen. Die keutel hebben ze heel snel weer.

Jurian Ubachs:
[1:09:07] Ja, dus daar gaan ze nu geld voor vragen en dat is allemaal kleine bedragen. Dan moet je een euro per maand betalen en dan krijg je weer zoveel. Maar ja, het zijn allemaal wel. We betalen overal voor tegenwoordig. Allemaal die kleine bedragen. Nog steeds kleine bedragen.

Randal Peelen:
[1:09:20] Streamingsdiensten. Laatste vraag van Xorpio. Doet de Dutch cloud community ook iets met het Hacktoberfest? Hacktoberfest? Het Hek Dovervest.

Jurian Ubachs:
[1:09:32] Nee, nou in zoverre, ik kende het niet. Het was mij onbekend en ik weet ook dat wij er bij Dutchcloud community niks mee doen. Dus ik ga het bekijken en ik ga het bij onze directeuren neerleggen om te kijken of we daar iets mee zouden kunnen. Ik denk dat je een beetje laat bent. Ja, dat vermoed ik ook, maar goed.

Randal Peelen:
[1:09:51] Gezien de countdown zijn ze daar over 23 uur en 51 minuten. Dus op het moment dat mensen deze aflevering kunnen luisteren is het al aan de gang. aan de gang. Maar het is september.

Jurian Ubachs:
[1:10:07] Ja, ik zie hier de countdown. In ieder geval. Het korte antwoord is nee.

Randal Peelen:
[1:10:11] Tot zover deze aflevering van Met nerds om tafel. Met nerds om tafel is een podcast door Julian Ubachs en mij, Randal Peder en onze panelledes en Esther Kramerdam-Ruurd, Sanders en Sander Peileveld en onze gastnerd van vandaag was Marin Heideman. Marin, hartelijk dank voor je deelname.

Jurian Ubachs:
[1:10:28] Waar kunnen mensen meer over jou te weten Op www.diggestate.nl en op www.marienheideman.nl en ook op social media. Google me en vind me, mijn naam is niet zo gek.

Randal Peelen:
[1:10:37] Meer informatie over ons staat op onze website en dat is mnot.nl en join onze slack. Daar gingen 2300 charmante kapabelen en heel gezellige nerds je voor. We praten wat af daar op die slack. Ik stond zelfs weer eens een keer in de top 3 van meest pratende mensen. Dan weet je dat de goede week is geweest. Word je nou vriend van de show, dan krijg je toegang tot het Clubhuis. clubhuis, vier meetups per jaar, er komt er eentje aan, stickers en bierfiltjes door de brievenbus en je luistert de podcast eerder dan de rest zonder reclame en elke week met een prachtige bonus aflevering. Je kunt ook vragen stellen aan de volgende gasten en dat is helemaal gratis, hoef je geen vriend te voelen, het is wel leuker als je vriend bent. Dat kan in het kanaal, vragen van de luisteraar op onze Slack en merch staat op onze website. Voor nu, Hartelijk dank voor het luisteren en tot de volgende keer.