In augustus 2022 werd de nieuwste versie van het Rijksbreed Cloudbeleid gepubliceerd. Dit beleid beoogt rijksoverheidsorganisaties een kader te bieden voor veilig en verantwoord gebruik van private en public clouddiensten. Kort na de publicatie uitte de Autoriteit Persoonsgegevens (AP) in een brief aan de staatssecretaris al stevige kritiek. Zo wees de AP op het onvoldoende adresseren van privacyrisico’s en noemde het beleid te vrijblijvend.
Neem dit voorbeeld:
- Voor persoonsgegevens geldt: “ja, mits voldaan aan eis 9.a, 9.b of 9.c.”
- Voor bijzondere persoonsgegevens geldt: “nee, tenzij voldaan aan eis 9.a of 9.b of aan eis 9.c met explain.”
Semantisch lijkt er een verschil te zijn, maar in de praktijk komt het op hetzelfde neer en kan in beide gevallen de public cloud worden gebruikt.
Serverlocaties: veiligheid of schijnveiligheid?
Clausule 9.a (uit het voorbeeld hierboven) uit het Rijksbreed Cloudbeleid stelt dat (bijzondere) persoonsgegevens in de public cloud mogen worden opgeslagen of verwerkt, mits dit gebeurt binnen de Europese Economische Ruimte (EER). Dat klinkt veilig en bijna alle grote cloudproviders – zelfs Alibaba – hebben inmiddels datacenters in Europa. Maar helpt dit echt?
De realiteit is dat deze clausule weinig echte bescherming biedt. De locatie van een server maakt meestal niet veel uit: onder de Amerikaanse CLOUD Act kan de Amerikaanse overheid inzage eisen in alle data die wordt opgeslagen bij Amerikaanse bedrijven (zoals Microsoft, Amazon en Google), ongeacht de fysieke locatie van die servers. Met de recente herverkiezing van Trump als president wordt deze situatie nóg ingewikkelder. De afgelopen jaren was er sprake van relatieve stabiliteit en samenwerking tussen Europa en de VS, maar Trumps focus op nationale belangen zet deze balans onder druk.
Krijg je dan een melding als jouw (bijzondere) persoonsgegevens worden opgeëist door de Amerikaanse overheid? Nee, niet van de Amerikaanse overheid in ieder geval. De cloudprovider mag jou wel op de hoogte stellen, maar dat is niet verplicht en de Amerikaanse overheid kan dit zelfs verbieden. Meer hierover lees je in deze FAQ over de CLOUD Act.
Rapport Algemene Rekenkamer
CIO Rijk heeft vorig jaar haar eigen evaluatie van het Rijksbreed Cloudbeleid gepubliceerd en daarnaast de Auditdienst Rijk (ADR) gevraagd om een onafhankelijke evaluatie uit te voeren. Eergisteren voegde de Algemene Rekenkamer (ARK) hieraan haar rapport Het Rijk in de cloud toe, met scherpe en felle conclusies:
- Het Rijk heeft beperkt zicht op clouddiensten. Van 411 (26%) afgenomen clouddiensten is bij ministeries niet bekend of het om public cloud gaat.
- Het Rijk maakt onvoldoende strategische risicoafwegingen. Voor twee derde van de belangrijkste clouddiensten zijn niet de vereiste risicoafwegingen gemaakt.
- Het Rijk waarborgt onvoldoende de principes (digitale) soevereiniteit, continuïteit van de dienstverlening en gegevensbescherming.
Op basis van dit onderzoek concluderen we dat het Rijk ondoordacht cloud is gaan gebruiken en nu onvoldoende grip op heeft op zijn cloudgebruik. We beoordelen het cloudgebruik door het Rijk dan ook als zorgelijk. De dienstverlening aan burgers en bedrijven en de continuïteit van het functioneren van de overheid lopen immers te veel risico. De mogelijke schade van verstoorde overheidsdienstverlening kan ons land en onze maatschappij ontwrichten. Daarnaast kan cloudbeleid – en de uitvoering hiervan – niet los worden gezien van een context waarin geopolitieke ontwikkelingen verontrustend zijn.
De staatssecretaris van Koninkrijksrelaties en Digitalisering, Zsolt Szabó, heeft gereageerd op de conclusies en aanbevelingen. In een brief geeft hij aan dat hij de hoofdconclusie van de ARK deelt dat het cloudgebruik van het Rijk zorgelijk is en dat verbetering nodig is.
Op basis van deze bevindingen, samen met de bevindingen van de ADR en het CIO Rijk, zijn herzieningsvoorstellen opgesteld voor het Rijksbreed Cloudbeleid en het bijbehorende Implementatiekader. Het streven is om in de eerste helft van 2025 het hernieuwde Rijksbreed Cloudbeleid vast te stellen. Daarnaast wordt in samenwerking met medeoverheden gewerkt aan een nieuw cloudbeleid dat voor de gehele overheid van toepassing zal zijn.
Organisaties in onzekerheid
Publieke organisaties die het Rijksbreed Cloudbeleid als uitgangspunt nemen worden het hardst geraakt door de recente kritiek. De onzekerheid over de toekomst van het beleid bemoeilijkt strategische besluitvorming. Hoe moeten organisaties die net naar Azure zijn gemigreerd of daarmee bezig zijn, hiermee omgaan? Zal hun cloudstrategie nog passen binnen de herziene kaders? Moeten ze straks weer terug migreren?
Om effectief in te spelen op de geplande herziening van het Rijksbreed Cloudbeleid – en toekomstige herzieningen die ongetwijfeld nog zullen volgen – heb ik een aantal praktische actiepunten opgesteld:
- Beperk grote strategische wijzigingen totdat het herziene Rijksbreed Cloudbeleid en Implementatiekader definitief zijn.
- Volg beleidsontwikkelingen en versterk interne expertise over cloud en privacy.
- Herzie de interne cloudstrategie en pas deze aan indien nodig. Als er nog geen cloudstrategie is, ontwikkel deze dan.
- Krijg jouw cloud governance op orde om de correcte naleving en uitvoering van het Rijksbreed Cloudbeleid te waarborgen.
- Richt een cloud competence center op om kennis en expertise te centraliseren.
- Benadruk wendbaarheid en cloud-agnostische oplossingen om afhankelijkheid van specifieke leveranciers te verminderen.
- Onderzoek huidige alternatieven voor Amerikaanse cloudproviders, waaronder Europese (private) cloudproviders.
- Overweeg een hybride cloudstrategie, waarbij gevoelige gegevens in een private cloud worden opgeslagen en minder gevoelige toepassingen in de public cloud.
- Overweeg extra beveiligingsmaatregelen zoals BYOK (Bring Your Own Key) of Double Key Encryption (DKE). Hoewel lastig en complex om te implementeren, behoud je hierdoor wel controle over data en sleutels, zelfs binnen public cloudomgevingen. Lees meer over BYOK of DKE.
Nederlands of Europees alternatief?
Het is inmiddels duidelijk dat het Rijksbreed Cloudbeleid in zijn huidige vorm veel tekortkomingen kent. De behoefte aan een toekomstbestendige strategie die digitale autonomie en veiligheid waarborgt, wordt steeds urgenter.
In 2024 hebben Tweede Kamerleden Six Dijkstra (NSC) en Kathmann (GL-PvdA) de initiatiefnota Wolken aan de horizon geschreven. Dit langetermijnplan stelt als doel om in 2029 over een volwassen nationale cloudinfrastructuur te beschikken, waarmee Nederland essentiële overheidsdiensten in eigen beheer houdt. Doel is om digitaal autonoom te zijn en meer zeggenschap te krijgen over kritische ICT-infrastructuur. Vorige week is de kabinetsreactie op de initiatiefnota gepubliceerd.
De oplossing voor de uitdagingen rondom cloudgebruik ligt echter niet alleen binnen Nederland. De EU moet een krachtig alternatief ontwikkelen dat autonomie en veiligheid garandeert. Twee belangrijke projecten om te kennen op dit moment die dat proberen te bereiken zijn het Important Project of Common European Interest on Cloud Infrastructure and Services (IPCEI CIS) en het GAIA-X-initiatief. Minister Beljaarts (Ministerie van Economische Zaken) heeft vorige week in een brief een update aan de Tweede Kamer gegeven over deze twee projecten.
IPCEI CIS en GAIA-X zijn stappen in de juiste richting, maar de projecten kennen aanzienlijke kritiek. Zo stelt Bert Hubert in zijn artikel Gaia-X is a distraction which should be abandoned dat GAIA-X niet in staat is een daadwerkelijk Europees cloudalternatief te bieden. Hij benadrukt dat het project zich richt op abstracte standaarden en ontologieën die geen praktisch bruikbare clouddiensten opleveren. Volgens Hubert zuigt het initiatief niet alleen financiële middelen op, maar wekt het ook ten onrechte de indruk dat er vooruitgang wordt geboekt, waardoor andere veelbelovende Europese cloudinitiatieven worden tegengehouden.
Toekomstbestendig Rijksbreed Cloudbeleid
Het debat rondom het Rijksbreed Cloudbeleid en de uitdagingen van afhankelijkheid van buitenlandse cloudproviders benadrukken één ding: het Rijk moet zelfbewust en strategisch blijven in hun cloudgebruik. Naast nationale en Europese initiatieven is er een behoefte aan lokaal leiderschap en innovatie om een sterke IT-infrastructuur op te bouwen.
Een toekomstbestendig cloudbeleid vereist realisme over risico’s en beperkingen, maar ook durf om te investeren in eigen kennis en infrastructuur. Met de juiste balans tussen interne deskundigheid en innovatieve cloudprojecten verkleint de overheid de afhankelijkheid van Amerikaanse aanbieders en doorbreekt het de cyclus van kortetermijnbeleid.
Alleen met daadkracht en samenwerking kan het Rijk daadwerkelijk grip krijgen op cloudgebruik en voorbereid zijn op geopolitieke verrassingen. Dat vraagt niet alleen beleidsambitie, maar ook voldoende draagvlak, middelen en het vermogen om samen te werken aan een veilige en wendbare digitale infrastructuur.