29 september 2016

Gemeente Amstelveen stelt hoge eisen aan continuïteit

Een afdeling communicatie die tijdens een crisis niet kan mailen? Of een uitkering die drie weken op zich laat wachten omdat het raadhuis is afgebrand? “Dat kun je niet met droge ogen verkopen”, vindt Erik Kogenhop, teamleider ICT bij de gemeente Amstelveen. Voor de Noord-Hollandse gemeente reden om de lat op het gebied van bedrijfscontinuïteit hoger te leggen dan strikt noodzakelijk is.

Nederlandse gemeenten hebben op het gebied van bedrijfscontinuïteit een aantal verplichtingen. Zo moet de Basisregistratie Personen (BRP) binnen 48 uur na een calamiteit weer volledig operationeel zijn, zodat burgers aangifte kunnen doen van bijvoorbeeld geboorte of overlijden. Dezelfde richtlijn geldt voor de Basisregistraties Adressen en Gebouwen (BAG). “Als je die cruciale systemen binnen 48 uur weer in de lucht hebt, dan voldoe je aan de wet”, aldus Kogenhop.

“Je hebt te maken met een eigen verantwoordelijkheid en gezond verstand”

In de ogen van de teamleider is die wettelijke verplichting echter niet voldoende. “Je hebt ook nog te maken met een eigen verantwoordelijkheid en gezond verstand. Formeel is er bijvoorbeeld geen verplichting om een mailserver binnen twee dagen te herstellen; daar mogen gemeenten best drie weken over doen. Maar in een crisissituatie is ook e-mail onmisbaar. Een afdeling communicatie wil bijvoorbeeld zo snel mogelijk kunnen communiceren via de website, telefoon en e-mail, bijvoorbeeld om burgers en de pers te informeren over de gevolgen van een ramp.”

“Vaak komt dat inzicht pas als de brandweer voor de deur staat om te blussen”, zo stelt Kogenhop realistisch. Amstelveen wilde niet in die val trappen. Daarom besloot de gemeente om de beschikbaarheidseisen die gelden voor de BRP en BAG ook te hanteren voor enkele andere cruciale toepassingen, waaronder e-mail.

“In een crisissituatie is ook e-mail onmisbaar”

Back-up op twee locaties

Om na een calamiteit snel over een reservekopie van de data te beschikken, maakt Amstelveen sinds enkele jaren gebruik van Backup Online XL van KPN Security Services. Deze diskgebaseerde oplossing slaat een back-up op twee locaties op: op de primaire ICT-locatie en in een ISO-gecertificeerd datacenter van KPN. Op die manier is er altijd een kopie van de data beschikbaar, zelfs als de primaire locatie afbrandt.

“Voorheen maakten we gebruik van back-up op tape en bracht een auto de tapes naar een veilige locatie in Lelystad”, vertelt Kogenhop. Door de samenvoeging van de ambtelijke organisaties van Amstelveen en Aalsmeer per 1 januari 2013 was die aanpak niet meer houdbaar. “De hoeveelheid data werd te groot voor back-up op tape. Een restore vanaf tape duurt bovendien vele malen langer dan vanaf disk, en met tape is er ook altijd gedoe. Als er nu met een disk een probleem is, dan heeft KPN Security Services dat al gesignaleerd nog voordat wij het in de gaten hebben. Proactief sturen ze dan een melding dat er een nieuwe disk onderweg is.”

Deze back-up-methode heeft zich in de praktijk al meerdere malen bewezen voor de gemeente Amstelveen. “Als iemand bijvoorbeeld per ongeluk een virtuele machine weggooit, ben je blij dat je een back-up hebt”, zo geeft Kogenhop als voorbeeld. “In 2015 hebben we te maken gehad met ransomware, waardoor een server zwaar beschadigd raakte. Toen hebben we een beroep moeten doen op de reservekopie van de data die was opgeslagen bij KPN.”

Uitwijklocatie

Daarnaast heeft de gemeente Amstelveen maatregelen getroffen voor als het raadhuis verloren gaat, bijvoorbeeld door brand. In dit worstcasescenario bouwt KPN Security Services op de uitwijklocatie in Almere de belangrijkste systemen zo snel mogelijk weer op. Ook heeft de gemeente Amstelveen op deze locatie de beschikking over 25 tijdelijke werkplekken. Een deel van de ambtenaren kan hier snel weer aan de slag.

“Jaarlijks voeren we een ‘uitwijktest’ uit, om te kijken of er binnen 48 uur een werkende omgeving staat en of we tijdens en direct na een calamiteit genoeg hebben aan de herstelde systemen”, licht Kogenhop toe. “Die testen verlopen eigenlijk altijd probleemloos.” Toch heeft de teamleider ICT op het gebied van uitwijk nog wel wat te wensen. “Het heeft nogal impact als de burgers van Amstelveen en Aalsmeer helemaal naar Almere moeten om aangifte van geboorte of overlijden te doen. We zijn nu in overleg om te kijken of we een uitwijk dichter bij huis kunnen regelen.”

Rol in het sociale domein

“Een volgend discussiepunt is de vraag of 24 uur dataverlies acceptabel is”, vervolgt Kogenhop. In de praktijk zou het voor kunnen komen dat de meest recente back-up op het moment van een recovery 24 uur oud is. Een dag werk is dan verloren gegaan.

“Ook moeten we nog goed nadenken over hoe we in het sociale domein – waar we een steeds grotere rol krijgen – omgaan met een calamiteit”, besluit Kogenhop. “Zeggen we dan tegen een uitkeringsgerechtigde: ‘Helaas, we kunnen u nu niet uitbetalen, want onze systemen liggen plat, komt u over drie weken maar terug’? Dat kun je gewoon niet maken. Je brengt dan mensen behoorlijk in de problemen. Ook de systemen binnen het sociale domein zouden binnen 48 uur beschikbaar moeten zijn.”



Samenwerking Amstelveen en Aalsmeer

De gemeente Aalsmeer werkt sinds 1 januari 2013 samen met de gemeente Amstelveen. Diensten, zoals ICT-voorzieningen, kopen de gemeenten samen in en leveren ze vanuit één Shared Service Center. De ruim duizend ambtenaren zijn allemaal in dienst van de gemeente Amstelveen.

“Door de samenwerking kwamen twee ICT-omgevingen samen”, zo blikt teamleider ICT Erik Kogenhop terug. “We hebben er ongeveer een jaar over gedaan om die twee omgevingen samen te voegen op één platform. Dat traject hebben we meteen ook aangegrepen om de IT-omgeving te virtualiseren en het datacenter te moderniseren. Ook moesten onze we maatregelen op het gebied van disaster recovery afstemmen op de nieuwe omgeving.”


Gerelateerde artikelen