Door het ongecoördineerd inkopen van SaaS-oplossingen maken lokale overheden zich afhankelijk van externe leveranciers. Maar wie op veilige wijze de vruchten wil plukken van het Internet of Things (IoT), kan het zich niet veroorloven om van dataveiligheid een black box te maken.
Vaak hebben IT-afdelingen van gemeenten, provincies en waterschappen slecht zicht op wat er in de organisatie gebeurt. Ik maak regelmatig mee dat een IT-afdeling claimt dat ze ‘niets met IoT’ doen, maar dat je IoT-oplossingen vervolgens overal in de organisatie tegenkomt. Afdelingen kopen oplossingen op eigen houtje in, zonder centrale regie, schreef ik in het eerste blog van deze serie.
Inventarisatie van IoT
Wie dat blog heeft gelezen, weet inmiddels dat er werk aan de winkel is voor overheden op het gebied van IoT. Dat begint met een grondige inventarisatie onder begeleiding van een IoT-expert. Vragen die daarbij aan de orde komen zijn onder meer:
- Welke IoT-data hebben we?;
- Hoe komt die data binnen?;
- Wat doen we met die data?;
- Wat willen we met die data?;
- Hoe kunnen we het rendement van die data verbeteren?
IoT-investering terugverdienen
Met name die laatste vraag is relevant, omdat er investeringen mee gemoeid zijn. Die moeten zichzelf terugverdienen; in een betere dienstverlening naar inwoners of in kostenbesparingen. Door bijvoorbeeld realtime data te verzamelen over de wegtemperatuur, voorkomt een gemeente of provincie dat er onnodig zout wordt gestrooid. Dit bespaart werkuren, brandstofkosten en zout.
Op basis van de inventarisatie kan beleid worden gemaakt. Een checklist voor inkoop is daarin onmisbaar. De stelregel: is er IT mee gemoeid, dan valt het onder het domein van de IT-afdeling. Er moet iemand zijn die over de schouder meekijkt en het overzicht bewaakt.
Internet of Things als black box
Nu schort het daar nogal eens aan. En als je als organisatie het zicht mist op alle applicaties, leveranciers en contracten, hoe veilig zijn die dan eigenlijk? De vraag stellen is hem beantwoorden. We weten het niet, het zijn black boxes. Databases draaien bij verschillende externe partijen. Wat als er een hack plaatsvindt? Ook daarvan kunnen we geen inschatting maken als we niet weten wat we in huis hebben. Je kunt niet in de codes kijken van leveranciers, dus hopen we maar op het beste. Maar met meer dan honderd leveranciers is de kans dat er iets misgaat aanzienlijk.
Vergeet ook niet dat er talloze bedrijven zijn die alles weten over hun core product, bijvoorbeeld sensoren, maar voor wie de bijbehorende applicatie ook een nieuw speelveld is. Ga er niet blind vanuit dat alle leveranciers gepokt en gemazeld zijn wat betreft dataveiligheid.
Pak de regie over IoT
De kern van het beleid? Neem de regie in eigen hand. Data is te belangrijk om uit te besteden. En als het dan toch moet, wil je als organisatie een strenge poortwachter zijn. Op dit moment is er geeneens een poort, maar allemaal achterdeurtjes. Laat applicaties niet draaien bij een derde partij, maar op de eigen omgeving. Bepaal de standaarden en stel eisen in de aanbesteding. Koop je een applicatie in, houd er dan zélf de controle over.
Pas als de achterdeurtjes zijn gesloten, de centrale poort is gebouwd én die ook wordt bewaakt, kun je als organisatie verder gaan kijken. Een poort maakt de organisatie minder afhankelijk van derden en biedt keuzevrijheid; beide essentieel in de zoektocht naar waardecreatie door IoT.
Feiko Gorter is Senior consultant Data & IoT bij Cegeka. Dit blog is deel 2 in een serie over de kansen en uitdagingen van overheden in de wereld van IoT. Eerder schreef Feiko al de blog: Losse SaaS-oplossingen maken je nog geen Smart City.