In een recente Kamerbrief grijpt staatssecretaris Knops terug op een visie van voormalig minister Donner. Een gemiste kans!
Afgelopen week stuurde Raymond Knops, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, een opmerkelijke brief naar de Tweede Kamer over datacenters in Nederland.
Opvallend is dat de brief twee totaal verschillende onderwerpen behandelt: een ruimtelijke ordeningskwestie in de gemeente Amsterdam en Haarlemmermeer en het gebruik van clouddiensten door de overheid. Blijkbaar gaf de term datacenter voldoende aanleiding om de vragen in dezelfde brief te beantwoorden.
Minstens zo opmerkelijk zijn de antwoorden op de gestelde Kamervragen. De staatssecretaris doet de kwestie over de beperking van de uitbreidingsmogelijkheden voor datacenters in de metropoolregio Amsterdam in een paar zinnen af als een ordinair lokaal belangenconflict tussen partijen die een beroep doen op schaarse stroom en ruimte. Maar het gaat natuurlijk om een veel groter belang. Groeimogelijkheden voor de digitale economie in ons land is randvoorwaardelijk voor digitalisering, digitale soevereiniteit en ons toekomstige verdienvermogen. Maar Knops legt die relatie met de NDS (Nederlandse Digitaliseringsstrategie), waar hij mede-verantwoordelijk voor is, niet. Op dit onderdeel wreekt zich blijkbaar de verdeling van het dossier over de drie bewindspersonen. Het is te hopen dat de Kamerleden het verband wel zien en zich niet met een kluitje in het riet laten sturen.
Gedateerde visie
Ook de beantwoording van de Kamervragen over opslag van overheidsdata is opmerkelijk. Knops herinnert de Tweede Kamer aan het IT-sourcingbeleid dat in 2011 werd vastgesteld door toenmalig minister Donner. Die kwam destijds tot de conclusie dat de cloud voor de overheid te riskant was. De visie in die tijd was: als ik zelf niet de regie over mijn hard- en software heb en servers en opslag in een ander land heb staan, dan kan ik de veiligheid niet garanderen. Het nettoresultaat van dat denken is dat de overheid zichzelf tien jaar geleden heeft veroordeeld tot gebruik van een gesloten rijkscloud, een private cloud die werd ontworpen, aanbesteed, gebouwd en opgeleverd volgens inmiddels verouderde inzichten.
In de loop der jaren is de markt gaan inzien dat de infrastructuren van gespecialiseerde aanbieders veel beter zijn dan die ontwikkeld in eigen beheer. Dat is logisch, want voor commerciële aanbieders is het, anders dan bij de interne IT-afdeling, van levensbelang om met technologische ontwikkelingen en veiligheidseisen mee te gaan. Ook weten we inmiddels dat veiligheid weinig met de locatie van de hardware te maken heeft. Want nergens ter wereld zijn we immuun voor hackers of spionage. Het is ook niet mogelijk om jezelf te onttrekken aan de bevoegdheden van overheden die data mogen vorderen, afluisteren of anderszins kunnen ingrijpen. Ze kunnen dat rechtstreeks doen, of via rechtshulpverzoeken of samenwerkingen met andere inlichtingendiensten. Ook de Nederlandse inlichtingen- en veiligheidsdienst AIVD mag bijvoorbeeld overal ter wereld digitaal afluisteren en inbreken als dat noodzakelijk wordt geacht.
Cloud-first visie
Sinds 2011 zijn veel regels voor persoonsgegevens, content en cybersecurity geharmoniseerd. De de digitale landsgrenzen binnen de Europese Unie (EU) zijn dan ook grotendeels weggevallen. Bij veiligheid gaat het uiteindelijk om de geldende wet- en regelgeving voor de partijen die toegang tot data hebben. Denk hierbij aan GDPR/AVG, NIS/Wbni, juridische afspraken zoals het privacy shield en de checks en balances van vorderingen en rechtshulpverzoeken. En, uiteraard hoe goed een leverancier zich weert tegen de cyberrisico’s, inclusief spionage. Daarom kunnen we nu ook de clouds van solide digitale aanbieders in de EU inzetten. Anders dan de brief suggereert gebruikt de overheid bijvoorbeeld zelf al volop de clouddiensten van Microsoft.
Inmiddels is ook meer dan bekend dat clouddiensten essentieel zijn voor digitalisering en digitale innovaties. Dat stelt de EU zelf helder in haar visie op digitalisering. Zonder moderne cloudtechnologie geen artificial intelligence (AI), Internet of Things (IoT) of slimme uitwisseling van data. En al helemaal geen moderne toepassingen, want die zijn zonder het (her)gebruik van de cloud, functies, data en API’s van anderen eenvoudigweg niet meer te realiseren. Alles zelf blijven doen staat, tenzij je de omvang van Google, Microsoft of Facebook hebt, vrijwel gelijk aan falen of het in het meest gunstigste geval voor innovatie in slakkentempo.
Het juiste antwoord in de brief had dan ook moeten zijn: ‘Goed dat u ons herinnert aan dat verouderde beleid. We zullen die brief van voormalig minister Donner met de gedateerde en door de ontwikkelingen ingehaalde visie verscheuren, en op korte termijn vervangen door een moderne cloud-first visie’. Want de overheid kan prima commerciële clouddiensten gebruiken, op voorwaarde dat er sprake is van bewezen conformiteit met de Europese wet- en regelgeving. En van voldoende, realistische waarborgen voor betrouwbaarheid, veiligheid en privacy. De markt hanteert deze risk- en evidence based benadering al langer. De EU, ENISA, en de Online Trust Coalitie (Nederlandse samenwerking van tientallen partijen) delen de visie dat vertrouwen in cloud, geborgd door voldoende zekerheden, essentieel is voor een florerende economische toekomst.
Omarm de cloud
Kortom, niets staat het vernieuwen van het sourcingbeleid voor de digitale infrastructuur van de overheid nog in de weg. Mijn advies aan staatssecretaris Knops luidt dan ook: innovatie vereist ook het loslaten van verouderde dogma’s rondom regie en projecten. Clouddiensten staan aan de basis van vrijwel alle digitale innovaties en wat we nodig hebben is een overheid die deze visie ook durft te omarmen.
Michiel Steltman is directeur van Stichting Digitale Infrastructuur Nederland
