Snelheid, flexibiliteit, schaalbaarheid en innovatiekracht van IT zijn voor de Rijksoverheid cruciaal om efficiënt te acteren. Daarom wil de overheid kernapplicaties naar de cloud migreren, al heerst er nog twijfel of het wel mag. De Microsoft clouddiensten zijn voorbereid om als departementaal vertrouwelijke gerubriceerde data te beschermen.
Beeld: Shutterstock
De Rijksoverheid draagt vervolgens zelf de zorg voor het gedegen inrichten en het veilig in gebruik nemen en houden van deze nieuwe technologie. Hiermee creëren we een gezamenlijke verantwoordelijkheid waarin we elkaar moeten ondersteunen.
Wil je nú een publiekscampagne opschalen of direct online samenwerken? De publieke cloud bewijst zich keer op keer als platform dat levert waar de overheid en de samenleving om vraagt. Het biedt, zonder grote investering vooraf, laagdrempelig toegang tot nieuwe technologie. Wil je snel inspelen op trends en ontwikkelingen verkregen door data? In de publieke cloud staan innovatieve tools tot je beschikking. Ook biedt het platform de nieuwste, automatische bescherming tegen de toenemende digitale dreiging. De vraag naar kennis en kunde op het gebied van beveiliging en beheer stijgt. De cloud neemt dit werk voor een groot deel uit handen. Deze nieuwe manier van werken levert waarde, maar kan ook zorgen voor onzekerheden.
De inrichting van governance in de publieke cloud is voor veel overheidsorganisaties nieuw terrein. Eerder waren álle data en het netwerk in eigen beheer. Bij cloudtechnologie neemt de cloudleverancier veel werk en verantwoordelijkheid uit handen op het gebied van beveiliging van gegevens, het netwerk en de toegepaste IT-systemen. Desondanks houden overheidsinstanties de eindverantwoordelijkheid over de privacy- en informatiebeveiliging van hun eigen data. Maar waar eindigt de verantwoordelijkheid van de cloudleverancier precies en waar begint die van de overheid? Het is natuurlijk van groot belang dat de governance in deze nieuwe situatie staat als een huis.
Hierin bevindt de overheid zich in een spagaat van snel leveren en tegelijkertijd veiligheid en privacy blijven waarborgen. De eisen vanuit de samenleving en de overheid veranderen pijlsnel, net als de technologische mogelijkheden. Om het serviceniveau voor burgers en ambtenaren gedegen te verbeteren, is het cruciaal om migratieprojecten parallel vanuit de risico’s en de waarde te benaderen. Hierdoor behoud je slagkracht, maar dan wel op een verantwoorde manier. Dit vraagt om continue toetsing op compliance en waarde zodat ze elkaar niet in de weg zitten, maar elkaar versterken.
Willen, kunnen, mogen en inzetten
Voor een succesvolle en goed beveiligde overgang zijn er vier stappen die je moet zetten. Welke innovatie helpt de overheidsorganisatie beter functioneren? Biedt de huidige IT of een cloudleverancier dan voldoende mogelijkheden om dit te leveren? Als je dan uitkomt bij cloudmigratie, is bij een volgende stap de vraag onherroepelijk: zijn kwaliteit, continuïteit, informatiebeveiliging en privacy goed geborgd?
Microsoft heeft uitgebreide technische mogelijkheden en waarborgen waardoor overheidsorganisaties clouddiensten op een compliant wijze in kunnen zetten. Daarbij is het echter niet aan ons om voor de Rijksoverheid te bepalen of iets wel of niet in de cloud mag. Wel bieden we hulpmiddelen die duidelijkheid scheppen bij het maken van de risico-inventarisatie. Hiermee kan elk overheidsorgaan dat naar de cloud wil de risico’s aftekenen. Samen brengen we de risico’s in kaart en zorgen we voor afdoende maatregelen. Maar wat mag nu wel en wat mag niet?
Departementaal vertrouwelijke informatie van het niveau BBN2 mag alleen naar de cloud als voldaan is aan hogere eisen en maatregelen zoals versleuteling.
Publiek toegankelijke, niet-gerubriceerde gegevens mogen zondermeer naar de publieke cloud. Dit geldt bijvoorbeeld voor data van openbare websites. Wel moet de informatie goed beveiligd zijn, zodat er geen mogelijkheid is voor manipulatie. Departementaal vertrouwelijke informatie van het niveau BBN2 mag alleen naar de cloud als voldaan is aan hogere eisen en maatregelen zoals versleuteling. Het moet voldoen aan bijvoorbeeld de AVG, het Voorschrift Informatiebeveiliging Rijk Bijzondere Informatie en diverse normen en standaarden zoals de Baseline Informatiebeveiliging Overheid. De huidige versie van het Verkenning Cloudbeleid biedt ministeries en Rijksdiensten nu al inzicht in de voorwaarden voor het migreren van data en applicaties. Zo ervaren ze snel en verantwoord de voordelen van de cloud.
Om overheidsinstanties te ondersteunen bij de inrichting van security- en privacymaatregelen, lieten we Capgemini een whitepaper schrijven. Deze whitepaper gaat in op de eisen voor de overheid ten aanzien van privacy en security binnen Azure en Microsoft 365. Daarnaast lees je waar je aan moet voldoen en welke controlemechanismen je moet hebben en welke technologie hierbij helpt. Bovendien biedt de whitepaper hulp bij de ingebruikname. Het artikel begeleidt overheden bij de inrichting van de cloud en processen, zodat ze voldoen aan de richtlijnen.
Als een Rijksdienst overgaat naar de cloud, dan raden we een integrale aanpak met een multidisciplinair team aan. Dit vraagt om een brug te slaan tussen de verschillende begrippenkaders. Betrek voor een succesvolle risico-evaluatie de informatiebeveiliging, architectuur en informatievoorziening. Vertegenwoordiging vanuit diverse diensten en de juridische afdeling is hierbij van groot belang.
Blijven leren
Elke overgang betekent een aanpassing en dat geldt zeker voor cloudmigraties. Cultuur en een tekort aan digitale vaardigheden in alle lagen van de organisatie remmen regelmatig vooruitgang. Dit is geen technologisch vraagstuk, maar de transformatie naar een lerende organisatie over de gehele breedte. Dit vraagt om een doorlopende investering in vaardigheden op het gebied van cloudtechnologie, cybersecurity, data en kunstmatige intelligentie. Microsoft biedt hulp met onder andere het Microsoft Enterprise Skills Initiative met certificeringsmogelijkheden voor medewerkers. Door samenwerking kan de overheid sneller innoveren, maar altijd op een gecontroleerde èn verantwoorde manier.
