‘Donkere wolken pakken samen’. De ondertitel van het rapport ‘Het Rijk in de cloud’ liegt er niet om. Waar de onderzoekers van de Algemene Rekenkamer intern nog weleens grappen dat journalisten íeder rekenkameronderzoek ‘vernietigend’ noemen, is het in dit geval de rekenkamer zelf die de conclusies maar vast als ‘zorgelijk’ bestempelt.
Afhankelijkheid
De Algemene Rekenkamer onderzocht het cloudgebruik van de diverse ministeries en komt tot de conclusie dat het Rijk hier onvoldoende grip op heeft. ‘Het Rijk is in de afgelopen tien jaar ondoordacht de cloud in gegaan, in de meeste gevallen zonder de risico’s af te wegen,’ zegt Ewout Irrgang, collegelid van de Algemene Rekenkamer. ‘Dat is op zichzelf al zorgelijk, maar daar is de veranderende geopolitieke situatie bijgekomen, met toenemende cyberaanvallen, zoals de Chinese hack van Microsoft. We zijn steeds afhankelijker van Amerikaanse cloudpartijen.’ Dat brengt risico’s met zich mee voor soevereiniteit, continuïteit van de dienstverlening en bescherming van gegevens van burgers en bedrijven.
Voorwaarden cloudbeleid
In het herziene Rijksbreed cloudbeleid uit 2022 werd vastgelegd dat de departementen voortaan onder een aantal voorwaarden mochten gebruikmaken van public cloud (een cloud die door meerdere partijen wordt gebruikt). In de praktijk deden ze dat soms al langer, onder meer omdat ze door softwareleveranciers weinig keuze werd gelaten. Het onderzoek van de Algemene Rekenkamer richt zich op de vraag of de departementen zich aan de voorwaarden uit het cloudbeleid houden. Zo moeten ministeries zicht hebben op hun cloudgebruik en risicoafwegingen maken voor ‘materieel’ public cloudgebruik. Dat is cloudgebruik voor de primaire taak van de organisatie, zoals belastinginning of visumverlening.
Elk ministerie maakt gebruik van public cloud. Het Rijk gebruikt 700 public clouddiensten (44 procent) en 477 private clouddiensten (bijvoorbeeld een overheidsdatacenter of een hybrid cloud, een mengvorm). Meer dan de helft van de materieel public cloud-diensten wordt bij Microsoft, Amazon en Google ingekocht.
Volgens het cloudbeleid moet een ministerie een overzicht hebben van zijn clouddiensten, zodat het kan sturen op alle verplichtingen. Van 411 clouddiensten (26 procent) is echter onbekend welke vorm het is. ‘Daar schrokken wij ook van,’ zegt Irrgang. ‘En minstens zo erg schrok ik ervan dat voor de belangrijkste contracten in tweederde van de gevallen het risico überhaupt niet eens afgewogen is. Eén van onze aanbevelingen luidt om dat alsnog te doen. Daar heeft de staatssecretaris van Binnenlandse Zaken een rol in.’
Risicoanalyses ontbreken
De rekenkamer vroeg de departementen om in het overzicht aan te geven of het ‘materieel’ public cloudgebruik betrof, dus bedoeld voor de primaire taak. Die vraag was voor sommige departementen al niet eenvoudig te beantwoorden. Irggang: ‘De definitie van ‘materieel’ is niet duidelijk. Die verschilt per ministerie. Wij zien ook contracten waarvan wij denken: is dit niet materieel?’
Van de 700 public clouddiensten zijn er 126 aangeduid als ‘materieel’. Hiervoor moet verplicht een risicoanalyse worden gemaakt. In 84 gevallen (67 procent) is dit niet gebeurd. ‘Hierdoor blijft bijvoorbeeld het risico bestaan dat gegevens niet goed beschermd zijn of dienstverlening ongewenst kan stoppen’ schrijft de rekenkamer. Het maakt het ook nogal lastig voor de staatssecretaris Digitalisering om – via CIO-Rijk – bij te sturen op risico’s die een individueel ministerie overstijgen. Uit een eerder onderzoek van de Auditdienst Rijk bleek al dat de kwaliteit van de gemaakte risicoanalyses sterk varieert.
Weinig contact met SMLM
De Nederlandse overheid kan zulke risico’s verkleinen door centrale afspraken te maken met cloudleveranciers, maar dan is het wel de bedoeling dat ministeries daar ook gebruik van maken. Uit het onderzoek blijft dat ministeries weinig contact zoeken met hun strategisch leveranciersmanagement (SLM), dat hiervoor juist in het leven is geroepen. Irrgang heeft geen verklaring waarom ze dat niet doen. ‘Door de vrijheid, blijheid die op dit terrein heerst, gebeurt het gewoon niet altijd. Terwijl het vaak betere contractvoorwaarden zijn.’
Principes niet gewaarborgd
Voor drie belangrijke public cloudcontracten onderzocht de Algemene Rekenkamer of de overheid de principes soevereiniteit, continuïteit en gegevensbescherming voldoende had gewaarborgd. De conclusie luidt dat de betreffende ministeries onvoldoende maatregelen nemen om die principes te beschermen. Dit betekent dat het Rijk risico’s loopt, bijvoorbeeld als een cloudprovider failliet gaat en het Rijk producten of diensten voor burgers en bedrijven niet meer kan leveren. Een ander risico is dat gegevens van burgers en bedrijven in handen vallen van hackers. Dit gebeurde recent bijvoorbeeld met de contactgegevens van alle Nederlandse politiemedewerkers.
Het gebrek aan grip op cloudcontracten komt onder meer doordat er veel schijven tussen het ministerie en de cloudprovider zitten en afspraken in meerdere contracten worden vastgelegd. Uit het rapport: ‘Kennis over die afspraken is binnen de ministeries beperkt aanwezig. Het ontbreekt aan een volledig overzicht van en inzicht in alle contractuele afspraken. Dit is problematisch, want juist die contractuele voorwaarden zouden de risico’s moeten beheersen.’
De Algemene Rekenkamer doet een aantal aanbevelingen aan het Rijk.
De hoofdaanbeveling:
- Stel je richting de grote clouddienstleveranciers op als één samenwerkende overheid, die kaders stelt, regels hanteert, risico’s mitigeert en zijn eigen positie versterkt ten opzichte van de leveranciers en andere gebruikers van de cloud. Hiervoor is het nodig dat het Rijk zicht heeft op het eigen cloudgebruik en veel gerichter kansen, risico’s en alternatieven afweegt. Niet alleen voordat er een cloudleverancier wordt gekozen, maar ook tijdens het cloudgebruik.
Aan de ministers:
- Maak gebruik van SML. Werk samen in EU-verband op het gebied van standaardisatie, certificering en het afdwingen van AVG-voorwaarden. Overweeg als Rijk realistische EU-alternatieven in combinatie met een uitvoerbare exitstrategie.
- Wees kansen risico’s af per clouddienst en acutaliseer risicoafwegingen ook. De afweging moet in ieder geval de principes soevereiniteit, continuiteit van dienstverlening en gegevensbescherming. Andere handige aspecten zijn kosten (vrijwel alle departementen doen geen kosten-baten-analyse!), innovatiekracht en veresite kennis en kunde.
- Verbeter het zicht op gebruikte clouddiensten. Maak alsnog risicoafwegingen waar dat eerder niet is gebeurd. Neem maatregelen om de risico’s te mitigeren.
Eén overheid
Staatssecretaris Szabó van digitalisering kan zich goed vinden in de adviezen en neemt ze mee in de herzieningen van het cloudbeleid en het implementatiekader, schrijft hij in een reactie. ‘Ik sta voor de één overheidsgedachte en ik wil de medeoverheden en zbo’s betrekken in de vernieuwing van het cloudbeleid, en te komen tot één cloudbeleid voor de gehele overheid. Deze gedachte wordt ook meegenomen in de Nederlandse Digitaliseringsstrategie (NDS), welke momenteel uitgewerkt wordt.’ Irrgang noemt dat verstandig: ‘Tegen big tech helpt geen small government.’
Szabó neemt de adviezen ook mee voor cloudgebruik dat in voorbereiding is, zoals de werkplekdiensten van SSC-ICT. ‘Hierbij zullen geen onomkeerbare stappen worden gezet conform de afspraken met de Kamer hierover,’ belooft hij.
Eisen stellen
De Algemene Rekenkamer is blij met de reactie, maar vindt dat ook dat het concreter en met meer urgentie kan. Szabó kan gewoon eisen dat de verplichte risicoafwegingen op korte termijn alsnog worden gemaakt. Uit het nawoord bij het onderzoek: ‘Leidt dat niet tot verbetering, dan kan op grond van het Coördinatiebesluit worden geëscaleerd naar de ministerraad.’
Irrgang vertelt dat er in de tussentijd een vertrouwelijk gesprek met de staatssecretaris heeft plaatsgevonden over dit onderwerp. ‘Zijn reactie laat zien dat hij onze conclusies onderschrijft en de aanbevelingen wil opvolgen. Zijn visie op de lange termijn is volgens ons de goede, namelijk de cloud moet worden gebruikt met meer terughoudend, zorgvuldig, niet in alle gevallen en meer met Europese partijen.’
Duidelijke kaders
Zorgen zijn er vooral over de uitvoering op de korte termijn. ‘Wat gaat er in de komende maanden en jaren veranderen? Daarvoor hebben we een aantal concrete suggesties gedaan, bijvoorbeeld om veel duidelijke kaders te stellen. Basisregistratie moet je gewoon niet in de cloud willen, maar dat is nu niet verboden. Ook gegevens over sommige fysieke infrastructuur zou je misschien eruit moeten houden. Dat is een politieke afweging.’ Op die duidelijke kaders moet vervolgens wel worden gehandhaafd, benadrukt hij.
Lees ook:
