‘We waren een van de eerste verzekeraars waarvoor AWS het compliance-addendum opstelde’
"Onderlinge 's-Gravenhage staat voor traditioneel en betrouwbaar," vertelt Ronnie de Bont, Chief Information Security Officer bij de verzekeraar. "Maar we waren een van de eerste verzekeraars in Nederland die volledig naar de cloud gingen. Toen corona uitbrak en iedereen naar huis moest, bleken wij daardoor gewoon door te kunnen werken - terwijl andere bedrijven daar initieel veel problemen mee hadden."
Die vooruitziende blik op technologie kenmerkt Onderlinge 's-Gravenhage (OG) al langer. De verzekeraar uit Den Haag, met zo’n 125 medewerkers, waarvan 25 IT’ers, maakte in 2019 een sprong van een eigen datacenter naar een volledig cloud-native omgeving op AWS. Een beweging die destijds nog lang niet vanzelfsprekend was voor financiële instellingen - en die tijdens de pandemie goud waard bleek.
Gedwongen keuze wordt strategische kans
De cloud-transformatie begon eigenlijk uit noodzaak. "We zaten eerst in een vrij oud, statig pand in de binnenstad van Den Haag, vlakbij Paleis Noordeinde," vertelt De Bont. “Achter mijn bureau stond een glazen wand en daarachter stonden de servers te brommen.”
Toen OG in 2019 verhuisde naar een modern pand verdwenen die vertrouwde geluiden. In het nieuwe pand was geen ruimte meer voor een eigen datacenter, dus startte de verzekeraar in 2018 al een project om alternatieven te onderzoeken. "Een van de opties was een datacenterplek huren in Nederland, waar gewoon je eigen servers zouden staan. Een andere optie was gebruik maken van Citrix waarmee je een soort virtuele werkplek kan creëren. We hebben ook hulp van grote partijen gevraagd, maar die konden dat toen nog niet."
Via een zorgvuldige evaluatie met een externe projectleider kwam AWS naar voren als beste optie - niet vanwege de kosten, maar om de toegevoegde waarde. "In die tijd leefde nog heel erg het idee dat de cloud vooral goedkoper was," aldus De Bont. "Die illusie hadden wij niet. We realiseerden ons toen al dat de cloud waarschijnlijk altijd iets duurder is, maar je krijgt er zoveel voor terug. En daar ging het ons om."
Pionier in financiële compliance
Voor een verzekeraar bracht de overstap naar AWS specifieke uitdagingen met zich mee. De toezichthouders DNB en AFM stellen strenge eisen aan uitbesteding van IT-diensten – eisen waar AWS destijds nog niet volledig op was voorbereid. "Wij waren een van de eersten," legt De Bont uit. "Ook de Nederlandse Bank worstelde met de vraag hoe dit allemaal geregeld moest worden."
"Samen hebben we een groot risico-assessment gedaan"
Hier kwam de expertise van inQdo van pas. "Samen hebben we een groot risico-assessment gedaan," vertelt De Bont. Een cruciaal punt was de audit-mogelijkheid: OG moest kunnen garanderen dat toezichthouders zoals DNB ook daadwerkelijk bij AWS zelf kunnen controleren hoe processen verlopen. InQdo wist dit vraagstuk bij AWS neer te leggen en ontdekte dat er een financial addendum beschikbaar was. "We waren eigenlijk de eerste die dat nodig hadden," vertelt De Bont. "Ze hebben dat min of meer voor ons in gang gezet, zodat de audit-rechten en andere DNB-eisen duidelijk geregeld werden."
Die pioniersrol blijft voortduren. Recent, met de introductie van de Digital Operational Resilience Act (DORA) vanuit Europa, nam De Bont opnieuw het voortouw. "Daar heb ik proactief contact over gezocht met AWS," vertelt hij. "Het bleek dat ze de benodigde documentatie wel hadden, maar die nog niet standaard beschikbaar stelden."
Kennisoverdracht
De keuze voor een digital workplace op basis van Amazon Workspaces bleek een jaar later goudwaard. "Dat was een geluk bij een ongeluk," aldus De Bont. "Toen corona uitbrak en iedereen naar huis moest, hoefden we alleen maar te zeggen: ga maar thuis werken. Technisch kon dat bij ons namelijk allemaal al." Waar andere organisaties vastliepen, kon OG naadloos doorwerken. "Sommige collega’s met een zwakkere gezondheid zijn drie jaar lang niet op kantoor geweest. Nu hebben we een hybride beleid.”
De samenwerking met inQdo veranderde van karakter naarmate OG meer AWS-kennis opbouwde. "In het begin hebben we heel erg op inQdo gesteund qua kennis. Je ziet dat we nu steeds minder op inQdo steunen omdat we die kennis steeds meer zelf in huis hebben door de ervaring van onze medewerkers."
"In het begin hebben we heel erg op inQdo gesteund qua kennis. Je ziet dat we nu steeds minder op inQdo steunen omdat we die kennis steeds meer zelf in huis hebben door de ervaring van onze medewerkers."
Die kennisoverdracht verliep organisch. "We kregen training on the job. In het begin kwam er twee keer per week iemand van inQdo waaraan we vragen konden stellen. Dat werd eens per de week en later eens per twee weken. Inmiddels hebben nog stand-up meetings van een halfuurtje die we geregeld afzeggen, omdat we gewoon geen vragen hebben.” De persoonlijke benadering van inQdo maakt het verschil voor De Bont. "Bij een grote partij kan je de accountmanager al niet bereiken, want niemand weet wie dat is. Bij inQdo bel ik bij wijze van spreken direct de directeur als het nodig is en dan gebeurt er ook direct wat."
Gelaagde beveiliging met TrendMicro
Naast de AWS-optimalisatie adviseerde inQdo ook over aanvullende beveiligingsmaatregelen. "AWS heeft een shared responsibility model," legt De Bont uit. "Zij regelen veel, maar wij zijn als klant ook verantwoordelijk voor bepaalde zaken.”
Op advies van inQdo stapte OG over naar TrendMicro voor security monitoring. Deze keuze was logisch omdat TrendMicro speciaal geoptimaliseerd is om samen te werken met AWS-omgevingen. "TrendMicro houdt binnen onze AWS-omgeving alle servers en workspaces in de gaten. Als er iets raars gebeurt - bijvoorbeeld dat ik in Delft inlog en tien minuten later vanuit Noord-Korea - gaat er meteen een belletje af."
Het systeem biedt 24/7 monitoring en proactieve bescherming. "Als het echt dringend lijkt, worden wij zelfs 's nachts gebeld. Bovendien zorgt TrendMicro ook voor virtuele patches als er nieuwe kwetsbaarheden worden ontdekt, totdat wij de echte patch hebben geïnstalleerd."
Aanzienlijke kostenvoordelen door optimalisatie
Hoewel kostenbesparing niet het hoofddoel was, leverde de cloud-migratie wel aanzienlijke financiële voordelen op. Het meest concrete voorbeeld: Oracle-licenties. "Voorheen betaalden we aan Oracle ongeveer 80.000 euro per jaar. Nu betalen we ongeveer 25.000 euro per jaar aan license-included Oracle via AWS RDS – een besparing van ruim twee derde." De flexibiliteit van de cloud maakt die besparing mogelijk. "De ontwikkelomgeving gaat 's avonds om zeven uur uit en komt 's ochtends om zeven uur weer aan. Die twaalf uur hoeven we de Oracle-licentie niet te betalen."
InQdo hielp bij het kostenefficient inrichten van de omgeving. "Ze hebben ons geholpen met scripts waarmee we servers automatisch aan en uit kunnen zetten. Ook hebben ze ons gewezen op reserved instances – als je servers vooraf inkoopt bij AWS, krijg je 20 tot 30 procent korting. En we hoeven nu niet meer iedere vier jaar een nieuw serverpark aan te schaffen dat ook zomaar twee ton kan kosten.”
Voor De Bont ligt de werkelijke waarde niet in kostenbesparing, maar in ontzorging. "Ik moet er niet aan denken dat ik nu nog moet regelen dat er een blusinstallatie bij mijn servers staat en om de zoveel jaar nieuwe servers moet kopen omdat ze alweer verouderd zijn. Natuurlijk, je betaalt er wat voor, maar AWS zorgt naast beschikbaarheid ook voor beveiliging, zowel fysiek als digitaal. Dat zijn dingen die ik zelf niet meer hoef te regelen of me druk om hoef te maken.”
"Het kon waarschijnlijk niet veel eerder, maar hadden we dit maar jaren eerder gedaan."
Van lift-and-shift naar cloud-native ontwikkeling
De samenwerking evolueerde van migratie naar optimalisatie. "In het begin was het lift-and-shift - we gebruikten AWS eigenlijk alleen als datacenter. Sinds een jaar ongeveer bouwen we ook websites met echt AWS-native tooling."
Voor de komende jaren staat modernisering van legacy-systemen centraal. Of dat betekent dat alles cloud-native op AWS gaat draaien of dat er gekozen wordt voor een SaaS-oplossing, staat nog niet vast. Wat wel vaststaat is dat de cloud-transformatie OG de flexibiliteit heeft gegeven om met vertrouwen de toekomst tegemoet te treden. "Het kon waarschijnlijk niet veel eerder, denk ik," glimlacht De Bont, "maar: ‘hadden we dit maar jaren eerder gedaan’."