Nieuw cloudbeleid van de rijksoverheid
De voordelen maar ook de voorwaarden
Overheden mogen onder strikte voorwaarden commerciële clouddiensten gaan gebruiken. Dat staat in een brief van Staatssecretaris van Huffelen (Digitalisering) aan de Tweede Kamer. Wat zijn hier de voordelen van? Aan welke voorwaarden moet je voldoen? En wat vinden de experts hiervan? Je leest het in deze blog.
Cloudbeleid op de schop
Werken in ‘de cloud’ houdt in dat er gebruik wordt gemaakt van externe opslagcapaciteit, applicaties, netwerken en andere ICT-voorzieningen. Momenteel mogen overheidsinstanties alleen eigen clouddiensten gebruiken, met name vanwege risico’s rond privacy en beveiliging bij commerciële clouddiensten. Dat gaat nu veranderen.
In 2010 is het kabinet gevraagd om een strategie voor de hele Nederlandse overheid te ontwikkelen als het gaat om cloud computing. Het kabinet heeft toen gekozen voor een strategie op basis van een ‘gesloten’ (=’private’) Rijkscloud’. Reden hiervoor was dat destijds de argumenten tegen het toepassen van ‘publieke’ cloud computing zwaarder wogen dan de voordelen. De private Rijkscloud die ingericht zou worden is uiteindelijk nooit gerealiseerd, omdat er geen gemeenschappelijke behoeftestelling heeft plaatsgevonden. In plaats daarvan hebben ministeries en uitvoeringsorganisaties zelfstandige private cloudoplossingen in gebruik genomen.
Voordelen winnen het van de risico’s
Inmiddels zijn we 12 jaar verder en hebben commerciële clouddiensten zich de afgelopen jaren, mede onder invloed van de corona-pandemie, razendsnel ontwikkeld. Anders dan een paar jaar geleden winnen de voordelen het nu van de risico’s, aldus Van Huffelen. Zo zijn commerciële clouddiensten, zoals WeTransfer of Dropbox, betrouwbaarder geworden en worden ze al op zeer grote schaal gebruikt door burgers en bedrijven. De hoogste tijd dus om het Rijksbrede cloudbeleid uit 2011 te herzien. De publieke cloud biedt een aantrekkelijk perspectief voor de ontwikkeling naar een meer innovatieve, transparante, flexibele en efficiënte digitale Rijksoverheid.
Een aantal voordelen
- Lagere instapkosten. Commerciële clouddiensten zijn vaak goedkoper dan diensten die de overheid zelf ontwikkelt. Gekoppeld aan het feit dat je betaalt naar gebruik zorgt dit ervoor dat de financiering van ICT-gebruik in de publieke cloud transparant is.
- Betere risicobeheersing. De veiligheidsmogelijkheden zijn uitgebreid en de grootschalige uitrol van updates en patches biedt de mogelijkheid veel sneller te reageren op fouten in software dan in het verleden. Dat komt doordat leveranciers grote bedragen investeren en veel expertise inzetten bij het beveiligen van hun diensten.
- Snelle innovatie. Cloudleveranciers hebben laten zien dat ze in staat zijn om snel vernieuwde technologieën beschikbaar te stellen (zoals bij ‘data science’). De introductie van dergelijke technieken gaat sneller en goedkoper dan normaal gesproken binnen de Rijksoverheid.
- Kortere doorlooptijd. Daarnaast vereist de inzet van de publieke cloud een hoge mate van standaardisatie. Dit kan in potentie kostenbesparend werken en de kwaliteit en implementatiesnelheid van ICT-projecten binnen het Rijk verhogen.
De voorwaarden
Geen voordelen zonder voorwaarden
Klinkt heel mooi allemaal! Maar dit neemt niet weg dat er nog steeds strikte voorwaarden gesteld worden op het gebied van informatiebeveiliging en privacy, aldus Van Huffelen. Vertrouwelijke gegevens moeten goed beveiligd zijn tegen bijvoorbeeld diefstal of spionage als ze zijn opgeslagen in de cloud. Als je als overheidsinstantie straks gebruik wil maken van commerciële clouddiensten moet je je o.a. aan de volgende regels houden:
- Het gebruik van commerciële clouddiensten is niet toegestaan voor het opslaan of verwerken van staatsgeheime informatie. Het ministerie van Defensie mag om die reden nog geen commerciële clouddiensten gebruiken.
- Er mogen geen diensten worden afgenomen van leveranciers uit landen met een actief cyberprogramma dat gericht is tegen Nederlandse belangen, zoals Rusland en China. Als bijvoorbeeld een Amerikaanse clouddienst later wordt overgenomen door een Chinees staatsbedrijf, dan moet het contractueel mogelijk zijn om direct uit die dienst te stappen.
- De opslag en verwerking van persoonsgegevens in de cloud moet binnen de privacywet AVG plaatsvinden. Voor gegevens uit de basisregistratiepersoonsgegevens en bijzondere persoonsgegevens geldt het principe ‘nee tenzij’.
- Bij de verwerking van persoonsgegevens in publieke clouddiensten wordt een goedgekeurde prescan gegevensbeschermingseffectbeoordeling (ofwel data protection impact assessment (DPIA) genoemd) uitgevoerd. Bij hoog risico wordt een volledige (of formele) DPIA uitgevoerd.
Risicobeheersing
Daarnaast zijn er diverse risico’s en technologie- en leveranciersafhankelijkheden verbonden aan het afnemen van publieke clouddiensten, waarvoor terecht wordt gewaarschuwd. De huidige markt voor cloudtechnologie wordt namelijk gedomineerd door buitenlandse technologiebedrijven (Google, Amazon, Microsoft). De Autoriteit Consumenten en Markt heeft daarom in mei 2021 een marktstudie, gedaan, waarbij ze hebben geïnventariseerd of er sprake is van marktimperfecties zoals marktmacht, lock-in effecten en informatie-asymmetrie. Ook de Cybersecurity Raad waarschuwt voor marktdominantie door, en afhankelijkheid van, buitenlandse partijen. Om zicht op stapeling en daaraan verbonden risico’s te houden, is daarom in het beleid o.a. opgenomen dat:
- Beleidsdepartementen geïnformeerd worden bij clouduitbestedingen en CIO Rijk hierover uitvragen kan doen.
- Het verplicht is om een ‘exit strategie’ op te nemen in de overeenkomst met de leverancier.
- Het maken van een risicoanalyse voor informatiebeveiliging verplicht is. Op basis van de risicoanalyse kun je beter beoordelen welke gegevens je wel en niet naar de cloud wil migreren. Ook kan je beter inschatten welke maatregelen genomen moeten worden, en op welke manier, om de geïdentificeerde risico’s te beheersen. CIO Rijk komt met een handreiking met voorbeelden, waarmee zo’n analyse te maken is.
Nieuwe cloudstrategie voor einde jaar
Voor het einde van het jaar wordt er door de Chief Information Officer (CIO) van het Rijk samen met de CIO’s van de betrokken ministeries een richtlijn opgesteld voor de afweging van de risico’s van het cloudgebruik. Deze nieuwe cloudstrategie vervangt het huidige beleid, dat dateert uit 2011. Maar, de strategie is er nog niet of er is al kritiek geuit op de wijzigingen in het cloudbeleid door experts.
Experts zijn kritisch
Niet iedereen vindt het toestaan van commerciële clouds een goed idee. Volgens enkele hoogleraren is het naïef om te denken dat we afspraken kunnen maken met de Amerikaanse techreuzen Google, Microsoft en Amazon over privacy, veiligheid en toegankelijkheid. Het hebben van alleen afspraken over de waarborging van privacy zijn namelijk onvoldoende. Zowel juridisch en technisch als ook politiek-bestuurlijk en qua digitale soevereiniteit zijn er beren op de weg vinden zij. Daarnaast zou het onvoorzichtig zijn qua timing. Hiermee doelen ze op twee relevante rapporten van het NCSC en het eerder genoemde rapport van de Autoriteiten Consumenten en Markt, die recentelijk zijn verschenen. Hierin staat o.a. dat de Amerikaanse techreuzen de cloudmarkt nagenoeg volledig in handen hebben en er geen enkele ruimte voor twijfel is voor wat betreft de veiligheid van gegevens die van Nederlandse overheidsdiensten in clouds van Amerikaanse aanbieders staan opgeslagen. Er zijn geen garanties te geven dat de informatie die zij verwerken voldoende beschermd is tegen het inzien door vreemde, en niet-Europese, overheden, aldus het NCSC. Alleen al deze twee rapporten, maken de wijzigingen in het cloudbeleid onbegrijpelijk vinden zij. Zullen we door deze tegenargumenten dan weer terugkeren naar het vorige cloudbeleid uit 2011?
“De digitale wereld is niet geheel zonder risico’s”, zegt Van Huffelen daarover. “Ook niet als we een volledig zelf beheerde cloud zouden hebben.” Kortom, dan kunnen we er maar beter gereguleerd en gewaarschuwd mee omgaan.