Skip to main content
20 december 2024
Samenvatting
In oktober 2024 is het Rijksbrede cloudbeleid geëvalueerd. In deze blog lees je de belangrijkste bevindingen en aanbevelingen uit die evaluatie.
Volg qeep

Evaluatie Rijksbreed cloudbeleid

Waar staan we nu?
20 december 2024

In 2021 heeft de Rijksoverheid het Rijksbrede cloudbeleid vastgesteld voor een verantwoord gebruik van cloudtechnologie. Nu, drie jaar later, is het tijd om de balans op te maken: wat werkt goed en waar is ruimte voor verbetering? In oktober 2024 is een evaluatie uitgevoerd om inzicht te krijgen hoe het cloudbeleid in de praktijk wordt toegepast. In deze blog ga ik in op de belangrijkste bevindingen en aanbevelingen uit de evaluatie.

Het Rijksbrede cloudbeleid

En die herziening in 2022

Het Rijksbrede cloudbeleid is een beleidskader dat in 2011 door de Rijksoverheid is vastgesteld en bedoeld is voor alle overheidsorganisaties binnen Nederland. In 2022 is het cloudbeleid herzien met nieuwe richtlijnen. Het beleid biedt een duidelijk kader voor hoe overheidsorganisaties commerciele clouddiensten veilig, verantwoord en effectief kunnen gebruiken. Zo moeten ze zich o.a. aan de volgende regels houden:

  • Verplichte risicoanalyses: Voordat een clouddienst wordt inzet is het verplicht een risicoanalyse uit te voeren om mogelijke informatiebeveiligingsrisico’s te identificeren en te beheersen.
  • Beperkingen op staatsgeheime informatie: Het gebruik van commerciële clouddiensten is niet toegestaan voor het opslaan of verwerken van staatsgeheime informatie.
  • Leveranciersrestricties: Er mogen geen clouddiensten worden afgenomen van leveranciers uit landen met een actief cyberprogramma dat gericht is tegen Nederlandse belangen, zoals Rusland en China.
  • Strikte regels voor privacy en gegevensbescherming: Alle opslag en verwerking van persoonsgegevens in de cloud moet voldoen aan de eisen van de Algemene Verordening Gegevensbescherming (AVG).
  • Verplichte Data Protection Impact Asessment (DPIA’s): Bij de verwerking van persoonsgegevens in publieke clouddiensten wordt een DPIA uitgevoerd.

De invoering van het vernieuwde cloudbeleid in 2022 deed destijds nogal wat stof opwaaien en leidde tot een reactie van de Autoriteit Persoonsgegevens (AP). De AP vond het beleid een belangrijke stap richting een veiliger en professioneler gebruik van clouddiensten binnen de Rijksoverheid. Tegelijkertijd wees de AP op cruciale verbeterpunten, met name rondom privacyrisico’s en de bescherming van persoonsgegevens. Als reactie hierop werd een evaluatie van het cloudbeleid aangekondigd.

“De invoering van het vernieuwde cloudbeleid in 2022 deed destijds nogal wat stof opwaaien en leidde tot een reactie van de Autoriteit Persoonsgegevens (AP)”

Wat betekent werken in ‘de cloud’?

Werken in ‘de cloud’ betekent dat je gebruikmaakt van digitale diensten en systemen die via internet beschikbaar zijn, in plaats van lokaal op je eigen computer of binnen het lokale (bedrijfs)netwerk. Denk bijvoorbeeld aan het opslaan van documenten in een dienst zoals Google Drive of Microsoft OneDrive, in plaats van op een harde schijf. Het grote voordeel? Je kunt altijd en overal bij je bestanden, zolang je internet hebt. Zeker, dat is handig. Maar dat is niet het hele verhaal.

De cloud biedt veel voordelen, zoals flexibiliteit, kostenbesparing en makkelijker samenwerken met anderen. Tegelijkertijd zijn er ook aandachtspunten. Zo moet je goed nadenken over privacy, het voorkomen van afhankelijkheid van één specifieke aanbieder en zorgen voor voldoende beveiliging tegen datalekken en cyberaanvallen. Als je vastzit aan één specifieke aanbieder, ook wel vendor lock-in genoemd, kan dat namelijk een risico zijn. Recent is gebleken dat deze afhankelijkheid niet alleen operationele risico’s met zich meebrengt, maar ook strategische risico’s, zoals kwetsbaarheid voor geopolitieke spanningen. Er zijn zorgen over de nationale veiligheid en de mogelijke impact van buitenlandse regelgeving op de controle over data. Door diensten te spreiden over meerdere aanbieders, gebruik te maken van open standaarden of een mix van cloud en eigen systemen te gebruiken, kun je dit risico beperken. Kortom, de cloud maakt werken makkelijker en flexibeler, maar het vraagt ook om bewuste keuzes in hoe je het gebruikt en welke diensten je kiest.

Evaluatie van het cloudbeleid

Op 9 punten

In oktober 2024 heeft de Auditdienst Rijk (ADR), op verzoek van de CIO Rijk, een evaluatie uitgevoerd om inzicht te krijgen in de toepasbaarheid van het cloudbeleid in de praktijk. Hierbij is onderzocht hoe het cloudbeleid wordt toegepast op drie clouddiensten binnen de Rijksoverheid: een SaaS-oplossing, Microsoft 365 en Teams & Exchange Online.

 Uit de evaluatie blijkt dat overheidsorganisaties zich steeds beter bewust zijn van zowel de kansen als de risico’s die clouddiensten bieden. Ook zijn er concrete stappen gezet om strategische afhankelijkheden van Amerikaanse providers te verkleinen, bijvoorbeeld door andere samenwerkingen aan te gaan en te investeren in Europese oplossingen, zoals Gaia-X, dat streeft naar een open en transparante Europese cloudinfrastructuur, en door gebruik te maken van Sovereign Cloud-oplossingen van Europese aanbieders zoals OVHcloud en Deutsche Telekom. Maar de evaluatie laat ook zien dat het cloudbeleid nog niet overal volledig is ingevoerd. Ook verschillen de kwaliteit van registraties en risicoafwegingen sterk tussen de verschillende overheidsinstanties.

Het onderzoek heeft geresulteerd in een aantal belangrijke bevindingen en aanbevelingen, die ik onder elkaar heb gezet.

Belangrijkste bevindingen en aanbevelingen

De evaluatie van het Rijksbrede cloudbeleid heeft de volgende bevindingen opgeleverd die moeten helpen om het beleid verder te ontwikkelen en uit te voeren. Op basis van deze bevindingen zijn concrete aanbevelingen gedaan om het cloudbeleid consistenter, efficiënter en beter toepasbaar te maken: 

  1. Marktconcentratie: De overheid is afhankelijk van een paar grote (voornamelijk Amerikaanse) clouddienstproviders zoals Google, Amazon en Microsoft. Dit verhoogt strategische risico’s, zoals afhankelijkheid en de kans op datalekken. Daarnaast is recent gebleken dat deze afhankelijkheid ook risico’s zoals kwetsbaarheid voor geopolitieke spanningen met zich meebrengt.
    Aanbeveling: Verminder afhankelijkheid en kwetsbaarheid voor geopolitieke spanningen door meer samen te werken met Europese leveranciers.
  1. Digitale soevereiniteit en continuïteit: Het gebruik van clouddiensten moet passen binnen de strategische keuzes van de overheid. Er is behoefte aan een gezamenlijke aanpak voor exitstrategieën en het waarborgen van continuïteit.
    Aanbeveling: Stel rijksbrede best practices op voor exitstrategieën en borg continuïteit beter.
  1. AI en andere nieuwe technologieën: Clouddiensten spelen een steeds grotere rol bij de toepassing van o.a. AI en quantum computing. Dit vraagt om strakkere regels die aansluiten bij het overheidsbeleid.
    Aanbeveling: Houd nieuwe technologieën, zoals AI en quantum computing, in de gaten en stel duidelijke richtlijnen op.
  1. Onvolledige implementatie van het cloudbeleid: Niet alle departementen hebben het cloudbeleid volledig doorgevoerd. Sommige basisregistraties, zoals die van zelfstandige bestuursorganen (ZBO’s), vallen buiten het beleid. Hierdoor zijn er niet altijd duidelijke richtlijnen of afspraken over hoe deze gegevens in de cloud worden opgeslagen of beheerd. Dit brengt risico’s met zich mee, zoals een minder consistente beveiliging, meer kans op datalekken, of afhankelijkheid van cloudproviders zonder goede garanties.
    Aanbeveling: Bepaal een implementatietermijn en neem basisregistraties (waar mogelijk) mee in het beleid.
  1. Rapportage en registratie: Het is niet altijd duidelijk hoe clouddiensten worden gebruikt en welke risico’s daarbij horen. Zo hebben Shared Service Organisaties (SSO’s) geen uniforme manier om hierover te rapporteren, wat de risico-inschatting moelijker maakt.
    Aanbeveling: Maak rapportages uniform en zorg voor een beter overzicht van cloudgebruik.
  1. Inkoopvoorwaarden en resellers: De afspraken met grote cloudproviders worden onvoldoende overgenomen door resellers of SaaS-leveranciers, waardoor beschermende maatregelen daar ontbreken en extra risico’s ontstaan.
    Aanbeveling: Zorg dat afspraken met grote cloudproviders ook gelden voor resellers en SaaS-leveranciers.
  1. Inhoud, effectiviteit en efficiënte risicoweging: Er is overlap tussen risicoanalyses en DPIA’s, wat onnodig extra werk oplevert. Ook worden belangrijke eisen, zoals de C2000-criteria die worden gebruikt in het kader van de communicatie-infrastructuur voor hulpdiensten in Nederland, niet altijd duidelijk meegenomen.
    Aanbeveling: Maak risicomanagement efficiënter door rijksbrede standaarden, zoals de Baseline Informatiebeveiliging Overheid (BIO) en de NORA (Nederlandse Overheid Referentie Architectuur), en gezamenlijke analyses te gebruiken.
  1. Inhoud en doelgroep cloudbeleid en -strategie: Er zijn geen duidelijke afspraken over wat het cloudbeleid precies moet bevatten op departementniveau, waardoor efficiëntie en samenwerking beter kunnen.
    Aanbeveling: Stel duidelijke richtlijnen op voor het cloudbeleid en de samenwerking binnen de verschillende departementen.
  1. Onduidelijke termen en begrippen: Het cloudbeleid bevat vakjargon en onduidelijke voorwaarden in bepaalde artikelen, wat kan leiden tot verwarring. Zo wordt in sommige passages gesproken over ‘data-soevereiniteit’ zonder duidelijke uitleg wat dit precies inhoudt of hoe organisaties dit in de praktijk moeten waarborgen.
    Aanbeveling: Versimpel het taalgebruik in het beleid om de toepasbaarheid te vergroten.
“Clouddiensten blijven belangrijk voor een innovatieve, flexibele en weerbare overheid, maar het gebruik ervan moet zorgvuldig en volledig in lijn met de nationale veiligheid worden ingericht.”

Conclusie

De evaluatie laat zien dat het cloudbeleid al goede stappen heeft gezet, maar ook dat er nog flinke uitdagingen zijn. De inzichten uit de evaluatie helpen beleidsmakers en IT-teams om de effectiviteit van het cloudbeleid verder te vergroten. Clouddiensten blijven belangrijk voor een innovatieve, flexibele en weerbare overheid, maar het gebruik ervan moet zorgvuldig en volledig in lijn met de nationale veiligheid worden ingericht.

Staatssecretaris Szabo heeft vanwege deze veiligheidszorgen de migratie van overheidsgegevens naar de cloud deels aan banden gelegd. Dit benadrukt het belang van minder afhankelijkheid van grote buitenlandse cloudaanbieders en de noodzaak om privacy en beveiliging strikter te waarborgen. Het vernieuwde cloudbeleid, dat in het tweede kwartaal van 2025 wordt verwacht, moet bijdragen aan een veiliger en meer toekomstbestendig gebruik van clouddiensten. Zo werkt de overheid aan een digitale infrastructuur die niet alleen innovatie stimuleert, maar ook de Nederlandse veiligheid versterkt.


Senior Adviseur Security & Privacy bij qeep IT safe.
r.schoemaker@qeep.nl