Evaluatie cloudbeleid: verschillen in risicowegingen per departement
Het Rijksbreed Cloudbeleid is nog niet overal binnen de Rijksoverheid geïmplementeerd. Dat schrijft de staatssecretaris van digitalisering in een brief aan de Tweede Kamer. Uit een eerste evaluatie blijkt dat de kwaliteit van registraties en risicoafwegingen uiteenloopt. De staatssecretaris hoopt in het tweede kwartaal van 2025 het hernieuwd cloudbeleid vast te stellen. Parallel daaraan wordt gewerkt aan een nieuw cloudbeleid dat voor de gehele overheid moet gelden.
‘Proces in uitvoering’
Het cloudbeleid werd in augustus 2022 vastgesteld. Er staat in dat public clouddiensten door de Rijksoverheid mogen worden gebruikt onder bepaalde voorwaarden en met enkele uitzonderingen, mits de departementen hun eigen cloudbeleid en -strategie ontwikkelen. Dat is nog maar deels gebeurd. De invoering van het cloudbeleid is ‘een proces in uitvoering’ staat in een nota bij de evaluatie.
Als een Rijksoverheidsorganisatie besluit om bestanden of software naar de cloud te verhuizen, dan moet er verplicht een risicoweging worden gemaakt. Elke organisatie moet zijn eigen risicoanalyse maken, met als gevolg dat het niveau van de uitwerking per departement nogal verschilt. De effectiviteit en efficiëntie van de risicoweging kan beter, concludeert de staatssecretaris.
Deels dubbel werk
Doordat er grote verschillen in het proces zijn, kan het gebeuren dat de departementen tot verschillende uitkomsten komen: waar het ene ministerie een bepaald risico acceptabel vindt, vindt het volgende ministerie in een eigen anlayse juist van niet. Afgezien daarvan doen ze deels dubbel werk, met vaak ook vergelijkbare uitkomsten. Het maken van een risicoweging kost veel kennis en capaciteit, die binnen de Rijksoverheid maar beperkt beschikbaar is.
De departementen geven zelf ook aan dat het beter kan. Er is nu bijvoorbeeld soms sprake van overlap tussen de risicoanalyse en de DPIA (data protection impact assessment). Ze zien graag dat er Rijksbrede afspraken komen over de processen. Best practices en uitgevoerde analyses zouden moeten worden gedeeld, zodat niet ieder departement het wiel opnieuw uitvindt.
Drie onderzoeken
De Auditdienst Rijk (ADR) deed onderzoek voor de evaluatie van het cloudbeleid. De CIO Rijk nam zelf informatiebeveiligingsrapportages van de departementen door en sprak met de CISO’s. Ook de Algemene Rekenkamer onderzoekt momenteel hoe de Rijksoverheid het cloudbeleid implementeert. Dit rapport wordt naar verwachting in januari 2025 gepresenteerd. De voorlopige resultaten zijn meegenomen in de evaluatie.
Wisselend niveau
Uit het onderzoek van de Algemene Rekenkamer blijkt onder meer dat de departementen cloud en cloudgebruik wel registreren, maar dat het niveau en detailniveau van de registraties nogal wisselend is. In het Implementatiekader risicoafweging cloudgebruik staat dat departementen materieel gebruik van clouddiensten (het gebruik van public cloudidensten voor het uitvoeren van de primaire taak van de organisatie) moeten bijhouden en opgeven aan CIO Rijk. De CISO’s geven echter aan dat ze onvoldoende informatie hebben om te rapporteren.
Volgend jaar herziend cloudbeleid
Op basis van de evaluatie van CIO Rijk en de verschillende onderzoeken is duidelijk waar het cloudbeleid kan worden aangescherpt, schrijft de staatssecretaris. Eind 2024 volgt een rapportage aan de Kamer. Hij verwacht in het tweede kwartaal van 2025 het hernieuwd cloudbeleid vast te stellen. Daarin moet onder meer nader worden bepaald voor welke onderdelen van departementen een eigen cloudbeleid en -strategie wenselijk zijn.
Daarnaast wordt gestart met het proces om samen met de medeoverheden tot een heel nieuw cloudbeleid te komen, schrijft Szabó aan de Kamer. Het uitgangspunt hiervan is dat het zal gelden voor de hele overheid.
Lees ook: