Het Rijk heeft geen totaaloverzicht van de locaties waar vertrouwelijke gegevens van Nederlandse overheidsorganisaties en semi-publieke instellingen zijn opgeslagen. Dat kan zelfs buiten de Europese Unie zijn. Voor de Rijkscloud, die de komende jaren vorm moet krijgen, is wel vastgelegd dat de opslag van de gegevens alleen in Nederland plaatsvindt. Dat schrijft minister Ronald Plasterk van Binnenlandse Zaken en Koninkrijksrelaties als antwoord op Tweede Kamer-vragen van de VVD over de vertrouwelijke opslag van overheidsdata.
De bewindsman stelt dat het niet mogelijk is een overzicht te geven van in welke landen en bij welke of organisaties de vertrouwelijke data van alle ministeries, provincies, gemeenten en de semi-publieke instellingen worden opgeslagen. Dat valt buiten zijn verantwoordelijkheid. Maar ook voor de Rijksdienst kan hij geen compleet en dekkend beeld geven. Dat zal wel mogelijk worden met de ontwikkeling van de Rijkscloud. Plasterk wijst er op dat binnen de Rijksdienst gekozen is voor inbesteding en onderbrenging in de eigen datacenters, maar dat bij andere overheidsorganisaties sprake kan zijn van uitbestedingen. Daarbij gelden de Europese aanbestedingsregels.
De VVD-Kamerleden De Liefde, Moors, Dijkhoff en Litjens wilden van de minister weten welke stappen hij onderneemt om te voorkomen dat buitenlandse inlichtingen- en veiligheidsdiensten zich toegang verschaffen tot vertrouwelijke data van de Nederlandse overheid.
Plasterk wijst in zijn schriftelijk antwoord op de Rijkscloudstrategie. ‘De Rijkscloud wordt een voorziening die generieke diensten gebaseerd op cloudtechnologie levert binnen de Rijksdienst. Deze voorziening wordt ingericht binnen een eigen beveiligd netwerk. Er is dus gekozen voor een community/private clouddienst in eigen beheer. Binnen de Rijkscloud kunnen diensten zoals dataopslag, servercapaciteit, infrastructuurcapaciteit en diensten zoals e-mail, werkplekomgeving, samenwerkingsfunctionaliteit en aansluiting op applicaties worden afgenomen.’
Overheidsdatacenters
De Rijkscloud wordt ondergebracht in de vier Overheidsdatacenters. Strikte eisen hierbij zijn dat de gegevens in Nederland blijven met een adequate beveiliging voor alle afnemers, benadrukt hij. Bij het realiseren van de Rijkscloud worden marktpartijen ingeschakeld (zo kreeg Atos onlangs een opdracht van het EZ-onderdeel Dictu om een eerste clouddienstenmodel op te zetten), maar de regie op de inrichting en het beheer zal binnen de rijksoverheid blijven, aldus de bewindman.
De Rijkscloud en alle ondersteunende functionaliteiten en componenten worden ingericht volgens de Baseline Informatiebeveiliging Rijksdienst (BIR). Dit is vergelijkbaar met het opslaan en verwerken van informatie met het Departementaal Vertrouwelijk (Dep.V)-niveau, blijkt uit de brief van de minister.
In fasen
Momenteel zijn drie van de vier Overheidsdatacenters gereed; nummer vier wordt eind dit jaar in Rijswijk opgeleverd. Daarna zullen gefaseerd de data(systemen) van het Rijk die nu nog deels verspreid zijn over kleinere datacenters in deze vier datacentra (en die van Defensie) ondergebracht gaan worden. Ook Rijksoverheidspartijen die hun data nu op externe locaties hebben staan, zullen deze in principe migreren naar de Rijkscloud, schrijft Plasterk.
Het ministerie onderzoekt daarnaast of ook andere overheidspartijen, zoals provincies en gemeenten, gebruik kunnen maken van de nog in te richten basisinfrastructuur van de Rijkscloud. In het Overheidsdatacenter Noord maken bijvoorbeeld al de provincie en gemeente Groningen gebruik van de housing-faciliteiten.
Geen overzicht
Uit het antwoord van Plasterk op de vragen van de Kamerleden komt verder naar voren dat op dit moment Nederlandse overheidsdata, waaronder vertrouwelijke gegevens, op diverse plaatsen en bij diverse dienstverleners is opgeslagen, zowel in het binnen- als buitenland. Een bekend voorbeeld is het UWV dat gebruikmaakt van het IBM-datacenter in Brussel. De minister schrijft: ‘Daarbij is ook sprake van outsourcing en situaties waarbij leveranciers ook onderdelen van de dienstverlening verder hebben uitbesteed. In alle gevallen geldt dat outsourcing door het Rijk plaatsvindt met in achtneming van het Besluit Voorschrift Informatiebeveiliging.’
Maar, zo stelt hij, er ontbreekt een totaaloverzicht van waar overheidsdata precies staan. Plasterk wijst bijvoorbeeld op provincies, die bij aanbestedingen eisen dat dataverwerking en -opslag binnen de EU moet plaatsvinden. ‘Sommige provincies maken gebruik van commerciële diensten waarbij niet altijd duidelijk is waar de datacenters staan. Daarbij valt niet uit te sluiten dat er ook data buiten de EU wordt opgeslagen.’
Waarborg
Op basis van een aantal informatiebeveiligingsrichtlijnen, waaronder ook de Wet bescherming persoonsgegevens, is het mogelijk om persoonsgegevens naar een land buiten de Europese Unie voor verwerking door te geven, indien dat land een passend beschermingsniveau garandeert. Ontbreekt die waarborg dan moet het College Bescherming Persoonsgegevens onder strikte voorwaarden een aparte vergunning verlenen.
Ook voor andere Europese landen geldt dat er via outsourcing overheidsdata buiten de landsgrenzen worden opgeslagen. De minister stelt dat er binnen de Europese Commissie wordt gekeken naar een mogelijke herziening van de Richtlijn gegevensbescherming uit 1995. In zo’n herziening zou dan moeten worden vastgelegd dat vertrouwelijke overheidsdata alleen in datacenters binnen de grenzen van het betreffende land mogen worden opgeslagen.
En weer halen we fysieke opslag door elkaar met authentieke registers. Volgens mij is in Nederland toch iets als stelsel van basisregistraties, waar hele belangrijke informatie (persoons, inkomen, onroerend goed, etc…) eenmalig is opgeslagen? Daar heb je al een begin.
Natuurlijk alle lokale en provinciale, maar ook overgebleven rijksdiensten die niet onder die basisregistraties vallen, hebben een ratje toe van privacy gevoelige informatie. Daar zullen wel weer honderden copien van hetzelfde bestaan.
De enige manier om dat op te ruimen en inzichtelijk te krijgen, is dezelfde discipline en beschrijving en richtlijnen uit vaardigen als met de basisregistraties zelf.
Een idee is om alle “overige data” die maar iets van doen heeft met de basisregistraties, onder de loep te nemen. Daar buiten kan ik mij bijna nauwelijks iets voorstellen dat privacy gevoelig is. Als het niet aan een persoon, bedrijf of gebouw te linken is, zal de kans klein zijn dat er iets privacy gevoelig mee is.
Het is inderdaad elke keer weer hetzelfde verhaal. En het heeft niet met authentieke registers te doen. Het gaat om eigenaarschap (in 75% of meer is dit onbekend, dan wel niet geregeld)(onderdeel van CIA, Confidentiality, Integrity & Availability). Het is dus een kwestie van het inschalen van vertrouwelijkheid, helaas is de wetgeving hieromtrent (WBP) alleen maar schimmiger geworden. Weer is dit niet een ICT ding maar dient dit aan de Business kant te worden ingeregeld. Dit is grotendeels niet geregeld bij Rijksoverheid en ook niet bij de decentrale overheden, dus hoe wil je dan weten waar iets opgeslagen is. BEGIN BIJ HET BEGIN….. en niet aan het eind!
@atillav
En weer negeert iemand de data, het residu van elke digitaal proces dat neerslaat op wat voor opslagmedium dan ook. Het klink misschien raar maar als je de bedrijfsprocessen wilt ontstoppen begin je het beste bij het afvoerputje.
Misschien dat centraliseren van de opslag al helpt om middels bijvoorbeeld deduplicatie het aantal rondslingerende kopieén te reducren. Een datareductie programma zou zo maar eens een flinke IT besparing op kunnen leveren en gaat over het algemeen een stuk sneller dan al die spaghetti aan processen te ontvlechten.
Het is stuitend zoveel onzin te lezen die, 100% voorspelbaar is afkomstig van politici alleen al.
Dat deze vragen openlijk worden gesteld is al een ernstig feit maar het gegeven op zich in de publiciteit een faillure van de bovenste plank.
De antwoorden die Plasterk hier geeft zijn de personificatie van wat er telkens toch zo mis gaat in en met overheids IT. Hoef je als professional verder helemaal niets aan toe te voegen.
De informatiebeveiliging wordt gekoppeld aan de fysieke plaats van de data. Ik begrijp dat aangezien de landen zelf blijkbaar kunnen bepalen wat veiligingsdiensten mogen ‘bekijken’. Het lijkt mij niet zo heel ingewikkeld om de regels van de belangrijkste landen erop na te slaan. Dus waarom geen antwoord kunnen geven? Onwil!
Vervolgens is de oplossing: zelf doen! Dat is het omzeilen van een probleem met als gevolg een toename van de kosten. Weinig bedrijven worden op deze manier gemanaged. Waarom ons land dan wel?
De minister vind het niet zijn verantwoordelijkheid. Maar is er überhaupt wel een visie binnen de overheid over dit onderwerp? Of wordt vrolijk de boel de boel gelaten en mag iedereen het maar zelf uitzoeken?
Waar hebben wij (in naam van een hoger wezen) een kabinet voor?
Je zou op zijn minst een intentie verklaring willen horen die aangeeft dat het de bedoeling is dat het binnen eigen landsgrenzen wordt bewaard als het gaat om gegevens van burgers en als het wat minder privacygevoelig is binnen de grenzen van de EU onder het mom van safe harbour.
All,
Ik kan mij in de meeste reacties goed vinden.
Ewout haalt een zeer valide punt aan. Vanuit de storagelaag is heel veel te zien. Want hoe je het went of keert is de storagelaag vaak het afvoerputje van de ICT keten Zaken zoals latency, IO problematiek, back-up issues etc. etc. Zijn vanaf hier snel en gemakkelijk in kaart te brengen.
Het is natuurlijk wel erg apart te noemen dat men niet duidelijk in kaart heeft wat men nu daadwerkelijk heeft en gebruikt. Als dat al niet duidelijk is, hoe kan men dan de SLA’s en beschikbaarheid garanderen? Hoe wordt dit geborgd? Als je niet weet wat je hebt, hoe kan je het dan terugzetten? En zal de data geclassificeerd zijn op basis van prestatie en bewaartermijn? Ik ben bang van niet.
Er ligt hier dus nog een schone taak voor de overheid in het verschiet.