De rijksoverheid komt begin volgend jaar met een herziening van haar cloudbeleid. Dat is ingegeven door de toenemende zorgen over clouddiensten van Amerikaanse leveranciers als Microsoft, Google en Amazon. Volgens critici is data-soevereiniteit in het spel doordat de weg openligt voor bijvoorbeeld werkplekbeheer in de publieke cloud van Microsoft.
Staatssecretaris voor digitalisering Zsolt Szabó schrijft in een Kamerbrief, dat voor het eind van 2024 op basis van aandachtspunten uit een aankomende rapportage van de Algemene Rekenkamer, herzieningsvoorstellen worden opgesteld. Het doel is het vernieuwde cloudbeleid in de eerste helft van 2025 vast te stellen. De staatssecretaris meldt dat de overheid in toenemende mate gebruikmaakt van diensten van een aantal Amerikaanse cloudleveranciers, voornamelijk Microsoft, Amazon en Google. Hij stelt dat die concentratie risico’s met zich meebrengt, zoals verhoogde afhankelijkheid van deze bedrijven en kwetsbaarheid bij verstoringen of beveiligingsincidenten.
Het gebruik van Amerikaanse clouddiensten kan bovendien de controle van de Nederlandse overheid op haar data beperken, schrijft de onderminister. Critici wijzen al langer op het risico dat gevoelige informatie niet onder Nederlandse of Europese regelgeving valt, maar onder Amerikaanse wetgeving, wat invloed kan hebben op de bescherming van data en privacy.
Ook zijn er zorgen over de continuïteit en exitstrategie. De afhankelijkheid van enkele grote cloudleveranciers maakt de Nederlandse overheid volgens bijvoorbeeld kwetsbaar als er de behoefte ontstaat om snel van leverancier te veranderen. Bovendien kan het gebrek aan gestandaardiseerde exitstrategieën de continuïteit van overheidsprocessen in gevaar brengen. Ook het gebruik van technologieën zoals ai en quantum computing, die vaak door grote cloudproviders worden aangeboden, verhoogt de afhankelijkheid van deze bedrijven en brengt onbekende veiligheids- en privacyrisico’s met zich mee, zeggen critici. De staatssecretaris belooft dat de uitkomsten van verschillende onderzoeken gewogen zullen worden en worden omgezet in een herziening van het cloudbeleid.
Publieke cloud
De aankondiging van de geplande herziening van het rijksbrede cloudbeleid komt op het moment dat er een rapport is vrijgegeven van de Auditdienst Rijk waarin de bevindingen worden gedeeld van de ‘Evaluatie public cloudbeleid Rijksoverheid’. Daarin staat dat de on-premises werkplek van de Rijksoverheid verplaatst is naar de publieke cloud van Microsoft.
Expert op het gebied van internetinfrastructuur en privacy en ontwikkelaar van opensource-dns-toepassingen, Bert Hubert, is kritisch over die stap. ‘Hiermee kiest de Nederlandse overheid er voor dat hun gehele documentatie- en bestandsbeheer verhuist naar Microsoft-servers, dit is grotendeels in strijd met het zelf vastgestelde cloud-beleid’. In een kritisch stuk stelt Hubert dat overheidsonderdelen zoals de AIVD en waarschijnlijk Defensie niet mee zullen gaan in die transitie. Hij schrijft ook dat de Amerikaanse overheid ‘historisch gezien’ vaak genoeg EU-regeringen heeft afgeluisterd.
heel voorspelbaar,, maar men zag niks anders dan de voordelen van deze diensten en blind voor de down side.
het zal toch eerst goed fout moeten gaan wil er echt wat gaan veranderen en ondertussen worden we steeds afhankelijker van deze techniek
Als er zorgen zijn over de continuïteit en exitstrategie moet je je zorgen maken over de kwaliteit van het technisch beleid, niet over continuïteit en exitstrategie.