Overheidsinstanties mogen onder strikte voorwaarden gebruik gaan maken van commerciële clouddiensten. Het biedt voordelen, schrijft staatssecretaris Van Huffelen in een brief aan de Tweede Kamer, maar er zijn ook risico's als het gaat om de bescherming van persoonsgegevens en staatsgevoelige informatie.
Departementen moeten zelf een risicoafweging maken bij inzet van commerciële cloudiensten. | Beeld: Shutterstock
Kostenvoordeel
‘Anders dan een paar jaar geleden winnen de voordelen het nu van de risico’s’, schrijft de staatssecretaris. Met voordelen doelt ze onder andere op de kostenbesparing die mogelijk is. Commerciële clouddiensten hebben een grote klantenkring en zijn daarmee goedkoper dan zelf ontwikkelde diensten van de overheid. Ook telt mee dat commerciële cloudbedrijven flink hebben geïnvesteerd in de beveiliging.
Strikte voorwaarden
Overheidsorganisaties die gebruik willen maken van commerciële clouddiensten moeten voldoen aan ‘strikte voorwaarden’, vooral op het gebied van beveiliging en privacy. Zo mogen ambtenaren geen staatsgeheimen opslaan in de cloud. Bovendien mogen ze geen gebruik maken van diensten uit landen met ‘een actief cyberprogramma dat gericht is tegen Nederlandse belangen’, zoals Rusland en China. Ook mag het ministerie van Defensie hier nog steeds geen gebruik van maken.
In de Kamerbrief worden 11 voorwaarden geschetst waaronder overheden gebruik kunnen maken van publieke clouddiensten, waaronder een relevante risicoafweging, het formuleren van een exitstrategie, cyberveiligheid de bescherming van bijzondere persoonsgegevens.
Klik HIER om de Kamerbrief Rijksbreed cloudbeleid 2022 te downloaden
Eigen verantwoordelijkheid
Departementen moeten zelf een risicoafweging maken bij inzet van commerciële cloudiensten. De CIO Rijk gaat samen met de departementale CIO’s nog dit jaar een ‘implementatierichtlijn risicoafweging cloudgebruik’ opstellen, mede op basis van de Baseline Informatiebeveiliging Overheid (BIO).
De CIO Rijk kan deze gegevensbeschermingseffectbeoordeling met daarin een samenhangende risicoanalyse opvragen bij de betreffende overheidsorganisatie. Dit past volgens de staatssecretaris binnen de bestaande coördinerende verantwoordelijkheid en het instrumentarium van CIO Rijk.
Andere overheden
Onderdelen van de overheid die niet tot de Rijksdienst behoren wordt geadviseerd om dit Rijksbeleid te volgen.
Aan de departementen wordt gevraagd dit voor de onder hun minister vallende ZBO’s en eventueel andere organisaties te stimuleren.
Met de aandacht voor persoonsgegevens zijn we er nog niet.
Ook de rechtsgrond en de eisen / waarborgen bij het gebruik van het digitale kanaal vraagt om aandacht.
Zodra het gebruik van externe cloud samengaat met functionaliteit is de toepassing van afdeling 2.3 Algemene wet bestuursrecht aan de orde.
Het is een uitzondering (althans, behoort dat te zijn) als belanghebbenden (wettelijk) gedwongen kunnen worden hun recht of plicht uit te oefenen via een website van een niet-overheid partij.