In 2022 werd met het rijksbrede cloudbeleid de deur opengezet naar het gebruik van publieke clouddiensten. De Auditdienst Rijk, de Algemene Rekenkamer en de Tweede Kamer spraken in de jaren erna hun zorgen uit over de verregaande afhankelijkheid van het Rijk van niet-Europese techbedrijven en het gebrek aan grip op het cloudgebruik.
Rijksbreed cloudbeleid aangescherpt
Nog net voor het zomerreces is de herziening van het rijksbrede cloudbeleid goedgekeurd door de ministerraad. De aanscherping van het beleid is gericht op het voorkomen van risico’s en het zelf beheren van belangrijke data.
Die boodschap is mede dankzij het aantreden van de tweede regering-Trump aangekomen. Rijksorganisaties moeten minder afhankelijk worden van Amerikaanse techbedrijven en altijd een achtervang hebben voor als er iets misgaat, schrijft staatssecretaris Willemijn Aerdts (Digitale Economie en Soevereiniteit, D66) in een brief aan de Tweede Kamer. Overheidsorganisaties krijgen vier jaar de tijd om de aanpassingen door te voeren. Er is geen extra geld beschikbaar voor de omslag.
E-mail en documentbeheer 'bij voorkeur' niet in cloud
E-mailservers en documentbeheer moeten bij voorkeur op interne servers gaan draaien in plaats van in de publieke cloud van bedrijven als Microsoft en AWS. Hetzelfde geldt voor het werk van een aantal kritieke ministeries en instanties, zoals het UWV en de Sociale Verzekeringsbank.
Gebruik van publieke cloud voor verwerking van bijzondere persoonsgegevens wordt afgeraden. Wanneer dit toch noodzakelijk is, moeten Privacy Enhancing Technologies worden toegepast.
Voor e-mail- en documentbeheer wordt specifiek afgeraden om de publieke cloud te gebruiken.
'Bestaande publieke cloudoplossingen zullen, met een overgangstermijn, worden gemigreerd', schrijft Aerdts. 'E-mail en documenten bevatten een grote hoeveelheid overheidsinformatie die, zelfs wanneer individuele e-mails of documenten niet hoog gerubriceerd zijn, door de combinatie van hun inhoud en grote hoeveelheid toch een risico kunnen vormen. Daarnaast is de bedrijfsvoering vaak in grote mate afhankelijk van dit e-mail en documentbeheer.'
Verplichte risicoanalyse met extra aandacht voor afhankelijkheden
Voor materieel cloudgebruik, waarbij de cloud wordt ingezet voor de primaire of kerntaak van een organisatie, moeten rijksoverheidsorganisaties een integrale risicobeoordeling maken. Het maken van een risicoanalyse voor materieel cloudgebruik was al verplicht, maar uit een onderzoek dat de Algemene Rekenkamer in 2025 uitvoerde, bleek dat dit in 67 procent van de gevallen niet gebeurde.
In de risicoanalyse moeten de risico’s van cloudgebruik worden afgewogen. Het gaat dan onder meer over het mitigeren van het risico dat een leverancier bij data kan, het risico op afhankelijkheid, maar ook om veiligheidsrisico’s, zoals datalekken en inmenging door een buitenlandse overheid. Er wordt extra aandacht gevraagd voor de mogelijke risico’s van een te grote leveranciersafhankelijkheid en die van andere jurisdicties.
‘Als er sprake is van een risico op inmenging door een buitenlandse overheid moet dit expliciet worden meegewogen en zoveel als mogelijk worden gemitigeerd’
Uit het herzienen rijksbrede cloudbeleid
‘Als er sprake is van een risico op inmenging door een buitenlandse overheid op de vertrouwelijkheid en beschikbaarheid moet dit expliciet worden meegewogen en zoveel als mogelijk worden gemitigeerd’, stelt het cloudbeleid onomwonden.
Exitplannen voor geplande exit en onderbreking dienstverlening
Ook het opstellen van een exitstrategie is verplicht bij materieel cloudgebruik. Nieuw is het verplichte exitplan, dat meer details biedt. Niet alleen voor een geplande exit, maar ook voor een scenario van ‘disruptieve onderbreking van de dienstverlening’. Wat doe je als de clouddienst onverwachts niet beschikbaar is? Heb je dan bijvoorbeeld een back-up buiten de cloudomgeving staan? Beide plannen moeten jaarlijks opnieuw worden beoordeeld en zo nodig aangepast.
Voordat een rijksoverheidsorganisatie met materieel cloudgebruik begint, moet dit worden gemeld aan CISO Rijk. Zo wil het kabinet beter grip houden op het cloudgebruik van het rijk. De rijksoverheidsorganisatie blijft zelf verantwoordelijk voor de risicoanalyse en het exitplan. CISO Rijk geeft wel een beoordeling van het cloudgebruik, de risicoafweging en -mitigatie en het exitplan, met eventueel aanwijzingen om het beter te doen. Jaarlijks rapporteren departementen aan CIO Rijk over het cloudgebruik van henzelf en de onder het ministerie vallende organisaties.
Leidend voor bijna alle onderdelen
Het rijksbrede cloudbeleid is voortaan leidend voor alle onderdelen van de Rijksoverheid, exclusief de Hoge Colleges van Staat en het ministerie van Defensie. Hoge Colleges van Staat en andere overheidsorganisaties wordt geadviseerd om het beleid te volgen. Binnen de kaders van het rijksbrede cloudbeleid maken alle departementen en uitvoeringsorganisaties hun eigen cloudstrategie.
De aanscherpingen werden al aangekondigd onder de voorgangers van Aerdts, maar liet lang op zich wachten. Staatsecretaris Aerdts wil zo snel mogelijk met de medeoverheden aan de slag om te komen tot een overkoepelend overheidsbreed cloudbeleid. ‘De problematiek en uitdagingen op het niveau van gemeenten, provincies en waterschappen is immers niet anders’, schrijft ze.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.