Inloggen
Open menu
Digitale weerbaarheid
Nieuws

Waarom het cloudbeleid van de Nederlandse overheid veiliger kan

25 oktober 2024

Het cloudbeleid van de Nederlandse overheid biedt onvoldoende bescherming tegen wetgeving van andere landen. Dit blijkt uit de prijswinnende scriptie van Machiel van der Wal, die de Brinkhof Internetscriptieprijs 2023/2024 in de wacht sleepte.

In de scriptie staat centraal hoe wetgeving en beleid de Nederlandse datasoevereiniteit beschermen bij het hosten van overheidsgegevens in een publieke cloud. De jury prees Van der Wal’s scriptie vanwege de uitzonderlijke diepgang en zijn kennis van zowel de juridische als technische aspecten.

Amerikaanse jurisdictie

Van der Wal legt uit waarom de beveiliging van Nederlandse data bij met name Amerikaanse partijen beter kan. Volgens hem vormt de Amerikaanse jurisdictie een extra beveiligingsrisico in vergelijking met zelfgehoste oplossingen. De VS kan op basis van wetgeving Amerikaanse clouddiensten, hun dochterondernemingen en bedrijven met voldoende Amerikaanse contacten dwingen om klantgegevens te overhandigen, ook als deze gegevens van de Nederlandse overheid zijn.

Aanvullende maatregelen, zoals encryptie en adequaat sleutelbeheer, kunnen het risico verminderen, maar volgens Van der Wal is dit niet altijd haalbaar of mogelijk voor alle soorten cloudservices, zoals SaaS. Bovendien is de effectiviteit van deze maatregelen afhankelijk van de implementatie van de clouddienst. Daarnaast is het mogelijk dat de VS in de toekomst bedrijven dwingt hun services aan te passen, zodat klantgegevens alsnog kunnen worden gedeeld.

Aanvullende maatregelen

Van der Wal schrijft dat het huidige juridische en beleidsmatige kader voor het hosten van overheidsdata in een publieke cloud een risicogebaseerde benadering hanteert. ‘Op advies van de AIVD kan informatie die als staatsgeheim is geclassificeerd, niet in een publieke cloud worden opgeslagen. Dit garandeert effectief datasoevereiniteit voor staatsgeheimen. Voor persoonsgegevens gelden aanvullende maatregelen.’

Echter, volgens Van der Wal is het onduidelijk hoe het risico voor datasoevereiniteit moet worden afgewogen in deze risicobeoordeling, vergeleken met bijvoorbeeld de vermeende voordelen van zelfgehoste oplossingen. Dit zou mogelijk een politieke kwestie zijn, afhankelijk van de bereidheid om te investeren in beveiliging voor een zelfgehoste oplossing, of een alternatief dat de datasoevereiniteit van de overheid beter beschermt, maar duurder is en mogelijk minder functionaliteiten biedt.

Strengere eisen

In zijn conclusie beveelt Van der Wal aan dat het invoeren van strengere eisen voor datasoevereiniteit bij extra gevoelige gegevens zou kunnen leiden tot betere bescherming. In zo’n geval zou een clouddienst niet onder de wetgeving van een niet-EU-land mogen vallen. Nederland zou in dat geval de huidige risicogebaseerde aanpak moeten herzien.

De scriptie is hier te lezen.

Lees meer:

 

Over Sjoerd Hartholt
Journalist en onderzoeker bij Sijthoff Media, werkzaam voor iBestuur en Binnenlands Bestuur
Lees meer van Sjoerd Hartholt »

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren

Lees ook

Markt en Overheid | Nieuws
Topsectoren willen alternatief voor uitgefaseerd Nationaal Groeifonds
Data en AI | Blog
Feit of afweging
Digitale Weerbaarheid | Congres
Security & Overheid 2024: ecosystemisch denken over cybersecurity