Rijksbrede beweging naar de publieke cloud is juiste keuze

Beeld: Capgemini

Haar brief stelt dan ook: ‘Onder het nieuwe beleid mogen overheidsdiensten, met enkele uitzonderingen, onder voorwaarden publieke clouddiensten gebruiken.’ De brief deed nogal wat stof opwaaien. Want wat gebeurt er met gevoelige gegevens als we deze in handen geven van cloudproviders? Zetten we onze privacy en binnenlandse veiligheid niet op het spel? Hoe voorstelbaar deze zorgen ook zijn, wij denken dat ook in de publieke cloud onze data veilig kunnen zijn. Veiliger zelfs dan in de bestaande, on-premises situatie.

De voornaamste cloudaanbieders zijn Amerikaans: Microsoft (Azure), Amazon (Amazon Web Services) en Google¹. Europese spelers zijn er wel, maar hun oplossingen zijn minder volwassen en daarmee (nog) geen volwaardig alternatief. Het is daarmee mogelijk dat een Amerikaanse partij komt bovendrijven bij aanbestedingen van de Rijksoverheid. En daar ligt de crux van veel van de zorgen: op het moment dat het Rijk kiest voor zo’n Amerikaanse publieke cloud, staan we toe dat onze data worden opgeslagen binnen bereik van Amerikaanse wetgeving waarmee gegevens kunnen worden opgevraagd (US CLOUD Act). Daarmee, zo is de vrees, zijn we de controle kwijt. De Autoriteit Persoonsgegevens liet in een reactie weten dat de privacyrisico’s die (public) cloudoplossingen met zich meebrengen nadrukkelijker moeten worden onderkend en gemitigeerd.

Bescherming en bevoegdheid

Bij doorgifte in de EU – en daarmee in Nederland – zorgt de AVG voor juridische bescherming. Doorgifte van gegevens mag alleen onder strikte voorwaarden en doorgifte naar derde landen mag alleen op basis van voldoende waarborgen. De AVG stelt: ‘Een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer de Commissie heeft besloten dat het derde land, een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of de internationale organisatie in kwestie een passend beschermingsniveau waarborgt’. Binnen Nederland en binnen Europa is daarmee de bescherming qua regelgeving geborgd. Tussen de EU en de Verenigde Staten geldt die bescherming als er een adequaatheids­besluit bestaat. Met het nieuwe EU-US Data Privacy Framework zal hieraan worden voldaan. Tot die tijd kan gebruik gemaakt worden van modelcontractbepalingen of bindende bedrijfsvoorschriften op basis van de executive order die president Biden onlangs heeft ondertekend.

De nadelen van de publieke cloud zijn vooral theoretisch van aard.

De Amerikaanse overheid heeft de bevoegdheid om gegevens op te vragen bij Amerikaanse entiteiten. Ook als het daarbij gaat om niet-Amerikaanse data, en ook als die data buiten Amerika staan opgeslagen. Ook in Nederland bestaat een dergelijke juridische bevoegdheid, maar dan uitsluitend als het gaat om persoonsdata van Nederlanders. De Amerikaanse wetgeving is ruimer (extraterritoriale werking); alle data van Amerikaanse bedrijven kunnen in theorie lijdend voorwerp zijn van onderzoek, ook data die niet gerelateerd zijn aan inwoners van de VS.

Grootste voordeel

Laten we het een en ander in perspectief plaatsen: een organisatie als Microsoft krijgt vorderingen van de Amerikaanse overheid. Microsoft vecht die vorderingen stuk voor stuk aan en wordt meestal in het gelijk gesteld. Microsoft heeft ook nog nooit gegevens verstrekt die betrekking hebben op de (EU of NL) publieke sector. Ook ons eigen National Cyber Security Centre stelt vast dat er wellicht een theoretische kans bestaat dat de Amerikaanse overheid inzage krijgt in onze data, maar dat die kans in de praktijk bijzonder klein is². Het is in theorie bovendien mogelijk dat ook Europese bedrijven en Europese data vallen onder de Amerikaanse CLOUD Act, doordat bijvoorbeeld het Europese bedrijf ook zaken doet in de VS, of op andere wijze juridisch verbonden is aan de VS. Als er al een kans bestaat op inbreuk, dan geldt dat ook voor Europese cloud providers.

We hebben dus vastgesteld dat de nadelen van de publieke cloud vooral theoretisch van aard zijn. Daar tegenover staan allerlei voordelen, waarvan de belangrijkste paradoxaal genoeg is: veiligheid. On-premises-diensten zijn niet allemaal voldoende gewapend tegen cyberaanvallen. Als er in de publieke cloud een kwetsbaarheid ontstaat, dan kan die direct worden gedicht – voor alle gebruikers wereldwijd. Bij on-premises is het toch een kwestie van bringing a knife to a gunfight; je legt het vroeg of laat af. Daarnaast biedt de publieke cloud steeds meer mogelijkheden op het gebied van encryptie van data en om zelf het sleutelbeheer te doen.

Hybride model

Moeten we dan alle data overbrengen naar de publieke cloud? Dat nou ook weer niet. Rijksoverheidsdiensten mogen alleen vanuit een robuust data-assessment gebruikmaken van de publieke cloud. Sommige data zijn zo gevoelig dat er heel specifieke eisen voor gelden – en blijven gelden. Het is zaak dat elk departement steeds opnieuw bekijkt welke data wel en welke niet naar de cloud kunnen. Oplossingen gebaseerd op de public cloud bieden mogelijkheden voor hybride modellen waarbij de meest gevoelige data op on-premises systemen opgeslagen kunnen worden en andere data in de public cloud. Op die manier kun je gebruikmaken van alle flexibiliteit, beveiliging en de versnelling die de public cloud kan bieden, en tegelijkertijd aan de vereiste wet- en regelgeving voldoen.

Oproep

Vandaar deze oproep: ga eens met een cloudprovider en/of cloudpartner in gesprek. Wat voor oplossing u kiest en welke scope, dat bepaalt u zelf. Maak uw eigen afweging op basis van de specifieke context waarin uw organisatie opereert: wegen de voordelen van de publieke cloud op tegen de nadelen?

Sjoukje Zaal is Head of Microsoft Cloud Center of Excellence Capgemini
Annemarie Costeris is Government Affairs Director Microsoft.

[1] ACM: Market study into cloud services
[2] Cloud Act requests