Herijking meerjarenstrategie: ‘Verandering is de constante’

In 2024 is SSC-ICT gestart met het herijken van de oorspronkelijke meerjarenstrategie. Deze werd ingehaald door de snelheid van veranderingen, op zowel lokaal als internationaal niveau. De herijkte strategie gaat gelden vanaf medio 2025 tot en met 2028 en heeft als thema ‘Samen versnellen’. Samen, want de herijking is tot stand gekomen door een intensieve afstemming met de collega’s binnen SSC-ICT, en wordt uitgevoerd in samenwerking met de afnemers en relevante rijkscollega’s.

Externe factoren

In een strategie ligt besloten op welke manier (en met welke middelen) vastgestelde doelen bereikt kunnen worden. Hier liggen een missie en visie aan ten grondslag, en de strategie focust zich op de uitvoering. Een herijking houdt in dat de geldende strategie op onderdelen wordt aangepast. Het is dus geen nieuw document, maar een herziene versie van de bestaande meerjarenstrategie. Een sterkte-zwakteanalyse heeft voor SSC-ICT uitgewezen welke factoren aan dusdanige veranderingen onderhevig zijn, dat ze in 2025 herzien moeten worden. 4 externe factoren vormen hierbij de directe aanleiding voor de noodzakelijke herijking: internationale dreiging, politieke koers, I-Strategie Rijk en technologische marktontwikkelingen. Nardie Scharenborg, Chief Technology Officer (CTO) bij SSC-ICT, zet uiteen hoe deze factoren van invloed zijn geweest op de herijking, en hoe deze zijn geïmplementeerd in de herziene strategie.

Security first

Cyberweerbaarheid was al een belangrijk onderdeel van de strategie, maar in de herijking van de strategische koers staat dit onderwerp prominent op 1, aldus Nardie. ‘We deden binnen SSC-ICT al heel erg veel op het gebied van cybersecurity en -weerbaarheid. Onze diensten waren altijd al veilig, maar die moeten ook veilig blijven. Er is heel veel nieuwe wet- en regelgeving waar we aan moeten voldoen. Ook willen we innoveren, bijvoorbeeld op het gebied van zero-trust (een beveiligingsprincipe dat ervan uitgaat dat niemand en niets automatisch vertrouwd moet worden, red.). We zijn een belangrijke IT-speler binnen het Rijk, met een groot verzorgingsgebied van 9 ministeries. Daarnaast hebben we ook nog rijksbrede diensten én speelt er heel veel om ons heen. Digitale weerbaarheid is dus altijd een speerpunt, maar staat vanwege de toenemende dreigingen wereldwijd inmiddels met stip bovenaan de prioriteitenlijst. De strategie staat ook niet langer in het teken van ‘cloud first’, maar van ‘security first’.’

Statelijke actoren

Kort na de presentatie van de strategie in 2022 is Rusland Oekraïne binnengevallen. Als gevolg daarvan zijn geopolitieke spanningen verhoogd, is er sprake van een groeiende ransomware-markt en nemen cyberdreigingen verder toe. De snelle ontwikkelingen op het gebied van AI in de afgelopen jaren maken dat het technisch ook steeds makkelijker wordt om deze cyberaanvallen tot stand te brengen. ‘Zoiets speelt niet op het niveau van een individuele hacker ergens op een zolderkamer, die probeert om bij de overheid in te breken,’ vertelt Nardie. ‘In Nederland – en dus ook bij SSC-ICT – hebben wij vooral last van zogeheten statelijke actoren: andere landen die cyberaanvallen op ons uitvoeren, of organisaties aansturen om dit te doen. Deze landen hebben vaak enorme budgetten om gericht aanvallen op ons uit te voeren. We zijn dan ook 24/7 alert, op basis van het wijzigende dreigingsbeeld, en zijn continu bezig met de monitoring van en eventuele reactie op ongebruikelijke activiteiten.’

Ook de Nederlandse infrastructuur is interessant voor aanvallers, zo stelt Nardie. ‘Hierbij gaat het zowel om het verkrijgen van digitale informatie, als om het ontregelen van vitale infrastructuur, zoals bijvoorbeeld sluizen en waterwegen. We zijn hierover regelmatig in gesprek met andere partijen binnen de Rijksoverheid. Voorafgaand aan en tijdens de NAVO-top op 24 en 25 juni zijn we zeer alert, en werken we nauw samen met vele partijen om informatie gecoördineerd te delen en acties af te stemmen.’

Digitale autonomie

Hoewel de Verenigde Staten geen directe dreiging vormen voor Nederland, hebben de politieke ontwikkelingen aldaar wel degelijk gevolgen voor de internationale verhoudingen. ‘We zien dat de Verenigde Staten onder president Trump zich steeds minder als strategische bondgenoot profileren. Dit heeft gevolgen voor hoe wij als SSC-ICT, maar ook als Rijksoverheid, omgaan met bijvoorbeeld public cloud-toepassingen en data(opslag) van Amerikaanse tech-leveranciers, zoals Microsoft. We moeten onze kroonjuwelen bewaken en kunnen het ons niet permitteren, dat rijksdata opgeslagen wordt op Amerikaanse servers. De ontwikkelingen op politiek vlak maken dat dit een kwetsbaarheid is geworden. Dit, in navolging van de cloud-discussie over opslag van overheidsinformatie in de cloud, zorgt er mede voor dat we stevig inzetten op soevereiniteit en digitale autonomie, waarbij data in eigen beheer is.’

Soevereiniteit betekent zelfbeschikking, veelal zonder verantwoording. Binnen de soevereine cloud heeft SSC-ICT autonomie met betrekking tot (locatie van) dataopslag. Nardie: ‘Binnen de public cloud van Microsoft en andere, veelal Amerikaanse spelers, hebben we deze mate van autonomie niet. Maar die achten wij inmiddels wél noodzakelijk. We zitten dan ook wekelijks met allerlei strategische leveranciers om tafel om te bepalen in hoeverre zij hun producten on premises (op eigen locatie, red.) kunnen leveren.’

Politieke koers

Het Rijk zelf verandert continu. Ook op het gebied van technologieën (AI, cloud) gebeurt er heel veel. ‘De politieke koers wijzigt en daarnaast hebben we allen te maken met een taakstelling. Zodoende komen onze klanten ook met nieuwe eisen en wensen,’ zegt Nardie. ‘Wij moeten veranderen. Je kunt stellen: verandering is de constante. We moeten aanpassingen doorvoeren in onze producten en diensten, en investeren in veilig samenwerken en digitale autonomie. Dit bewerkstelligen we onder andere door de uitrol van de nieuwe werkplek, DWR 2.0 (Digitale Werkomgeving Rijksoverheid). Eerder was de consensus nog dat we ‘allemaal naar Microsoft’ wilden (de public cloud, red.). Dat beeld is nu 180 graden omgedraaid. Bij DWR 2.0 staat alle data in ons overheidsdatacenter (ODC), in lijn met die digitale autonomie en veiligheid. De opslag is on prem, en in dat verband werken we ook nauw samen met de andere ODC’s aan een rijksbrede soevereine cloud. CIO Rijk heeft hierin de regie. Deze samenwerking staat bekend onder de naam ODC2.0.’

Het ODC: van uitfasering naar groeibriljant

De externe veranderingen hebben invloed op interne factoren. ‘In de sterkte-zwakteanalyse is ook gekeken naar interne krachten en verbeterpunten,’ legt Nardie uit. ‘Als SSC-ICT moeten we meebewegen. Uit de analyse kwam bijvoorbeeld naar voren dat onze executiekracht moet worden verhoogd en dat we onze procedures moeten versnellen. Onze krachten zijn onder andere onze unieke kennis en IT-expertise, de stabiele dienstverlening en het overheidsdatacenter. Dat laatste is in de herijkte strategie aangemerkt als zogeheten ‘groeibriljant’. De wens is nu – in tegenstelling tot een paar jaar geleden – om hier fors uit te breiden, in plaats van uit te faseren.’

Vendor lock-in versus open source

‘Met partijen als Microsoft willen we af van de zogeheten vendor lock-in,’ vertelt Nardie. ‘We zijn voor bepaalde diensten momenteel nog volledig afhankelijk van deze leverancier. Maar omdat we streven naar (meer) digitale autonomie, zijn we op zoek naar alternatieven. Die autonomie, vrijheid en veiligheid zijn belangrijk voor ons én voor onze afnemers.

Voor onze nieuwe werkplek DWR 2.0 werken we nog met Microsoft, maar we onderzoeken nu ook reeds de mogelijkheden van een open source-werkomgeving (in het kader van Open Beter Samen Werken, een programma onder leiding van BZK). SSC-ICT werkt in samenwerking met afnemers ook aan een belangrijke propositie over AI, onder de projectnaam vlam.ai (Veilige Lokale AI Modellen). Nardie: ‘We hebben de ambitie om deze veilige AI-infrastructuur uiteindelijk rijksbreed neer te zetten. Hier kunnen overheidsgerelateerde AI-toepassingen op landen. Vlam.ai is gebaseerd op opensource software. Hierbij kunnen wij – en eventueel andere partijen zoals onze afnemers – aanpassingen doen in de bronmaterialen van het product, in plaats van dat we afhankelijk zijn van vendors (leveranciers) die dit voor ons bepalen (closed source).’

License to operate

De wensen en behoeften van de afnemers zijn besproken en meegenomen in de herijking. Een van de hoofdlijnen voor de strategische koers is dan ook het verhogen van de klanttevredenheid. ‘Dit was altijd al een belangrijke pijler, en dit blijft natuurlijk ook van cruciaal belang,’ vertelt Nardie. ‘Samen met onze afnemers zorgen we dat onze diensten veilig, gebruikersvriendelijk, kosten-efficiënt en aantoonbaar compliant zijn (naleving van de wet- en regelgeving en de normen van organisatie, red.). Dat is voor SSC-ICT onze license to operate.’

Consultatierondes

Op het moment van schrijven lopen de consultatierondes, die op 10 mei van start zijn gegaan. Nardie: ‘Tot medio juni gaan wij met de relatiemanagers langs bij alle afnemers om de voorlaatste versie van de herijkte strategie te presenteren. Tijdens de consultatierondes gaan wij in op de inhoud, en kunnen de afnemers vragen stellen en feedback geven. Die feedback nemen wij mee in de oplevering van de definitieve herijkte strategie. De inbreng van stakeholders is waardevol en nuttig, en zorgt voor aanscherping van de strategie. Vooralsnog is de input positief: meerdere afnemers herkennen de SSC-ICT-organisatie in deze herijkte meerjarenstrategie, en onderschrijven deze daarom ook. Een signaal dat we meermaals hoorden was: ‘SSC-ICT mag zich nog meer profileren als dé ICT-partner binnen het Rijk.’

De afnemers hebben zelf ook een verantwoordelijkheid in het waarborgen van veiligheid en compliance van onze diensten. Hierover gaan we ze informeren, en uitleggen hoe we nog beter kunnen samenwerken om bijvoorbeeld lifecycle management van de IT-systemen op orde te houden. Als SSC-ICT moeten we snel kunnen besluiten. We willen de klantwaarde vergroten door bestaande maar ook nieuwe diensten te leveren, zoals AI en DWR 2.0. Hiermee kunnen onze afnemers hun werk en processen doorlopend verbeteren. Het is aan ons om de SSC-ICT-meerwaarde expliciet te maken.’

Implementatie

‘Zoals het er nu naar uitziet, verwerken we in juni de laatste feedback uit de consultatierondes. In juli presenteren we de definitieve herijkte meerjarenstrategie in het Bestuurlijk Overleg. Ondertussen zijn we ook intern al druk bezig met de implementatie van de strategische doelstellingen. Hiervoor hebben we strategische objectives (doelstellingen) vastgesteld, die op een later moment zullen worden toegelicht door Klaas Verberg (CEO). We maken nu de vertaalslag van objectives naar executie en implementatie: hoe gaan we die doelstellingen bereiken, en welke resultaten moeten we hiervoor behalen (key results)? We willen dat iedereen bij SSC-ICT straks bezig is met het leveren van een bijdrage aan één of meerdere doelstellingen. We streven ernaar dat dit veilig, compliant en effectief gebeurt, zowel in onderlinge samenwerking als met onze afnemers. Waarbij onze afnemers graag bij ons willen blijven en onze eigen collega’s SSC-ICT bestempelen als ‘a great place to work!’