Overheidsinstanties krijgen meer ruimte voor het gebruik van commerciële clouddiensten. Wel moet daar een risicoanalyse aan vooraf gaan. Dat staat in een brief die staatssecretaris Alexandra van Huffelen (Digitalisering) aan de Tweede Kamer heeft gestuurd. Tot nu toe mochten overheidsdiensten en -instellingen alleen eigen clouddiensten gebruiken.
Om veiligheidsrisico’s te minimaliseren zijn overheidsinstellingen verplicht vooraf een risicoanalyse te maken. Het gebruik van commerciële clouddiensten is bovendien niet toegestaan voor het opslaan of verwerken van staatsgeheime informatie. Ook mogen er geen diensten worden afgenomen van leveranciers uit landen met een actief cyberprogramma dat gericht is tegen Nederlandse belangen. De clouds van bijvoorbeeld Huawei, Baidu en Alibaba zijn dus taboe. Verder valt het ministerie van Defensie buiten de reikwijdte van dit nieuwe beleid.
Voor gegevens uit de basisregistratie-persoonsgegev
Werken in ‘de cloud’, waarbij gebruik wordt gemaakt van externe opslagcapaciteit, applicaties, netwerken en andere ict-voorzieningen, biedt volgens Van Huffelen potentiële voordelen. Ze schrijft: ‘Voor veel mensen en bedrijven is de cloud al een vertrouwd gegeven. De overheid heeft daar bewust mee gewacht. Anders dan een paar jaar geleden winnen de voordelen het nu van de risico’s. Dat neemt niet weg dat we nog steeds strikte voorwaarden stellen, met name op het gebied van beveiliging en privacy.’
Richtlijn
De nieuwe cloudstrategie vervangt het huidige beleid, dat dateert uit 2011. Daarbij werd nog geen gebruik gemaakt van commerciële clouddiensten. In de nieuwe situatie mogen overheidsorganisaties clouddiensten extern gaan afnemen. Alle opslag en verwerking van persoonsgegevens vindt plaats op een verantwoorde manier, die aansluit bij geldende privacy-vereisten.
Voor die risicoafweging wordt door de chief information officer van het Rijk samen met de cio’s van de betrokken ministeries voor het einde van 2022 een richtlijn opgesteld. CIO Rijk monitort de toepassing van dit beleid en wordt betrokken bij besluitvorming over uitzonderingen. Toezicht op naleving van de regels valt onder de bestaande wettelijke taken van Algemene Rekenkamer, Auditdienst Rijk en Autoriteit Persoonsgegevens.
Hoezo privacy en digitale onafhankelijkheid 🙂
geen staatsgeheime informatie, geen defensie.
blijkbaar wordt nattigheid gevoeld.
basisregistratie-persoonsgegevens, nee tenzij. tenzij wat ?
rest is zowiezo geen probleem.
commerciële clouddiensten, extern afgenomen. tuurlijk.
de holle bolle gijs van papier hier.
“Anders dan een paar jaar geleden winnen de voordelen het nu van de risico’s.”
“Alle opslag en verwerking van persoonsgegevens vindt plaats op een verantwoorde manier, die aansluit bij geldende privacy-vereisten.” 😛
Gaat u maar rustig slapen
@Cor kiezen uit twee kwaden… zelf (binnen Europa, volledig Europees ontworpen met Europees eigenaarschap dus) een cloud ontwikkelen die qua mogelijkheden kan wedijveren met de spullen van Amazon, Microsoft of Google of de digitale onafhankelijkheid (die we toch al niet hadden) opgeven en pogen gegevens zo veel mogelijk te beschermen.
@Robert wat is er kwaad aan het ontwikkelen en benutten van de eigen vaardigheden? Er zijn denk ik genoeg professionele initiatieven in Europa die zich uitstekend lenen voor het opbouwen van die diensten. En omdat die open source zijn, biedt het niet alleen Europa, maar ook iedere gebruikende organisatie mogelijkheden (afhankelijk van de lengte van de polsstok) voor zeggenschap over eigen systemen.