Staatssecretaris Szabó wijt de kritiek van de Algemene Rekenkamer op het cloudgebruik van de rijksoverheid aan het nieuwe beleid op dit onderwerp. Volgens de bewindspersoon is het cloudbeleid van de overheid ‘met twee jaar relatief jong en vindt nog niet alles plaats conform dit beleid’.
De Rekenkamer constateerde deze week dat de overheid ondoordacht in de cloud werkt en onvoldoende nadenkt over de risico’s. Bij twee derde van de belangrijkste clouddiensten werd geen risicoafweging gemaakt en er is slechts beperkt zicht op de diensten. Van een kwart is niet eens bekend om welke vorm van cloud het gaat. Dit alles brengt risico’s met zich mee voor de dienstverlening aan burgers en bedrijven, aldus de Rekenkamer. Het onderzoek spitste zich vooral toe op grote cloudtoepassingen, zoals kantoorautomatisering bij ministeries, klantgegevens in de zorg en weerdata van het KNMI.
Szabó erkent dat het inzicht in en de risicobeheersing van het cloudgebruik nog onvoldoende is. ‘De inventarisaties door de departementen en hun onderdelen zijn nog niet volledig, waardoor belangrijke inzichten ontbreken’, schrijft hij in een reactie (pdf). Ook worden inventarisaties niet altijd gedeeld, zelfs niet met de CIO Rijk. ‘Daarnaast ontbreken in veel gevallen vastgestelde risicoanalyses. Mede daardoor blijven de getroffen maatregelen achter.’
Rijksbreed cloudbeleid 2022
In het najaar van 2022 herzag de rijksoverheid het beleid voor het gebruik van commerciële clouddiensten. Sinds dit ‘Rijksbreed cloudbeleid 2022’ is het onder voorwaarden toegestaan dat overheden gebruikmaken van de platforms van bijvoorbeeld Amazon, Google of Microsoft. Eerder mochten ze alleen hun eigen clouddiensten gebruiken, zoals vastgelegd in het oude beleid uit 2011.
Een belangrijke voorwaarde bij de inzet van de publieke cloud is dat vooraf een risicoanalyse wordt gemaakt. Hieruit moet blijken dat alle opslag en verwerking van persoonsgegevens op een verantwoorde manier plaatsvindt, volgens de geldende privacy-vereisten. Voor die risicoafweging stelden de chief information officer van het Rijk samen met de cio’s van de betrokken ministeries eind 2022 een richtlijn op. De CIO Rijk moet de toepassing van het nieuwe beleid monitoren en wordt betrokken bij besluitvorming over uitzonderingen.
‘Niet altijd conform beleid’
De staatssecretaris erkent dat overheden het jonge cloudbeleid nog niet altijd volgen. ‘Ik constateer dat overheidsorganisaties de mogelijkheid om public clouddiensten in te zetten toegepast hebben, maar dat dit nog niet altijd (volledig) conform het beleid plaatsvindt.’ Dit constateerde hij afgelopen oktober ook al, toen de Auditdienst Rijk (ADR) vergelijkbare conclusies trok.
Szabó belooft beterschap: ‘Ik neem uw adviezen mee in de verbeteringen in en herzieningen van het cloudbeleid en het implementatiekader, de besturing en de dagelijkse praktijk.’ In zijn reactie noemt de bewindspersoon diverse verbetervoorstellen, zowel voor meer inzicht als risicobeheersing. Hij wil zich meer laten informeren door de CIO Rijk, bijsturen waar nodig en letten op de samenhang tussen onderdelen van de overheid. Net als de Rekenkamer pleit Szabó voor meer uniformiteit in het cloudbeleid over de diverse overheden heen, ook op het vlak van gezamenlijke inkoop en contractbeheer.
Ik weet nog toen 15 jaar geleden de Cloud opkwam dat organisaties als de overheid en banken zeiden dat ze dat niet konden gebruiken omdat zij gevoelige informatie van burgers hebben en dat deze in handen van buitenlandse mogendheid kunnen vallen als zij hun data daar neerzetten.
Nu zie ik dat zowel banken als overheid gevoelige data van klanten en burgers gewoon in de Cloud neerzet. De laatstgenoemde gaat helemaal los en het plaatsen gebeurt ad-hoc en bijna zonder enige sturing.
Wat is er veranderd in die vijftien jaar? Volgens mij helemaal niets! Maar de ICT’ers bij de banken en overheid konden zich niet inhouden omdat ze Cloud op hun CV willen hebben staan.
En die risico-analyse is gewoon een papieren exercitie die niets veranderd aan de risico’s die eraan kleven.