In 2022 herzag de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) het Rijksbreed cloudbeleid, waarmee public cloud-diensten onder bepaalde voorwaarden mogelijk werden voor de Rijksoverheid. Eén van de voorwaarden is dat ministeries inzicht hebben in hun cloudgebruik en strategische risicoafwegingen maken. Desondanks blijkt uit onderzoek van de Algemene Rekenkamer dat het Rijk onvoldoende grip heeft op het gebruik van cloudtechnologie, waardoor er zorgwekkende risico’s bestaan voor de overheidsdienstverlening en de gegevensbescherming.
Beperkt zicht
Uit het onderzoek blijkt dat de Rijksoverheid weinig zicht heeft op het gebruik van clouddiensten. Van de 1.588 clouddiensten die het Rijk afneemt, is 44% afkomstig van public cloud-aanbieders zoals Microsoft, Amazon en Google. Voor de overige diensten is vaak niet duidelijk of het om public cloud gaat. Dit gebrek aan overzicht belemmert de mogelijkheid van de overheid om te sturen op wet- en regelgeving, risico’s te beheersen en gegevensbescherming te waarborgen.
Risicoafwegingen
Een ander probleem is dat twee derde van de public cloud-diensten geen strategische risicoafwegingen heeft doorgemaakt. Dit betekent dat er onvoldoende aandacht is voor de potentiële risico’s van bijvoorbeeld gegevensverlies, cyberaanvallen of het stoppen van dienstverlening door faillissement van een cloudleverancier. Dit komt vooral voor bij materiële clouddiensten die essentieel zijn voor de primaire taken van de overheid, zoals belastinginning of visumverlening. Zonder risicoanalyse kunnen dergelijke risico’s de stabiliteit van de overheidsdienstverlening ernstig ondermijnen.
Onvoldoende waarborging
Daarnaast concludeert de Algemene Rekenkamer dat het Rijk onvoldoende maatregelen neemt om de drie belangrijkste principes van cloudgebruik – soevereiniteit, continuïteit en gegevensbescherming – te waarborgen in drie belangrijke public cloud-contracten. Het betreft onder meer het gebruik van Microsoft 365 bij het Shared Service Centrum ICT, systemen bij het Koninklijk Nederlands Meteorologisch Instituut en het klantcontactcentrumsysteem bij het CIBG. In deze contracten ontbreekt het aan waarborgen die de risico’s van faillissementen of datalekken beperken. Dit betekent dat de overheid onvoldoende beschermd is tegen externe dreigingen, zoals misbruik van gegevens door kwaadwillenden of het niet kunnen leveren van cruciale diensten aan burgers en bedrijven.
Versnipperd beleid
Het beleid rondom cloudgebruik verschilt per ministerie, wat leidt tot een versnipperde aanpak en moeilijkheden bij het maken van eenduidige afspraken tussen ministeries en cloudleveranciers. Dit is problematisch, omdat samenwerking en duidelijke richtlijnen essentieel zijn voor het effectief beheren van de risico’s die gepaard gaan met het gebruik van clouddiensten. Ook ontbreekt het aan een centrale partij voor strategisch leveranciersmanagement (SLM), die het Rijk kan helpen bij het afsluiten van cloudcontracten en het versterken van de positie tegenover leveranciers.
Aanbevelingen
De Algemene Rekenkamer doet een aantal aanbevelingen om het gebruik van cloud door het Rijk te verbeteren. Allereerst moet het Rijksbreed cloudbeleid uniformer en concreter worden, waarbij het Rijk duidelijkere richtlijnen opstelt voor het gebruik van de cloud en toezicht houdt op de naleving hiervan. Ook moet de handhaving van het cloudbeleid strikter worden, zodat ministeries daadwerkelijk risicoafwegingen maken en cloudgebruik kunnen sturen. Daarnaast wordt geadviseerd om strategisch leveranciersmanagement beter te organiseren, zodat het Rijk als grootste IT-afnemer sterker kan onderhandelen met cloudleveranciers en risico’s beter kan mitigeren. Ook moet de overheid de samenwerking met andere Europese landen over cloudstandaarden en certificeringen intensiveren, om zo de positie van Nederland te versterken en de privacy van burgers te waarborgen.
De staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, Zsolt Szabó, deelt de zorgen van de Algemene Rekenkamer over het cloudgebruik door de rijksoverheid en erkent de risico’s voor de vertrouwelijkheid van gegevens, digitale autonomie en continuïteit van de dienstverlening. Hij benadrukt dat cloudtechnologie met de juiste afwegingen belangrijk is voor het functioneren van de overheid. Hij stelt dat het cloudbeleid van de rijksoverheid, hoewel relatief jong, verbetering nodig heeft. Szabó kondigt aan dat hij samen met andere ministers actie zal ondernemen om het inzicht in cloudgebruik te verbeteren en risicobeheersing te versterken, met als doel meer grip te krijgen op het gebruik van public clouddiensten. Hij wil de departementen ondersteunen bij het verbeteren van hun risicobeheersing en benadrukt dat de overheid centraal moet sturen om de voortgang te monitoren en waar nodig bij te sturen.
Szabó ondersteunt de aanbeveling om het beleid uniformer en concreter te maken, vooral door meer samenhang te creëren tussen departementale beleidsstukken en de uitbreiding van het beleid naar de gehele overheid, inclusief medeoverheden en zelfstandige bestuursorganen (zbo’s). Hij is positief over het idee om bepaalde overheidsdiensten specifiek uit te sluiten van cloudgebruik. Szabó erkent echter dat er operationele verschillen zijn tussen rijksorganisaties die verschillende functionele behoeften met zich meebrengen, waardoor een evenwichtige benadering noodzakelijk is. Ten slotte benadrukt hij het belang van strategisch leveranciersmanagement (SLM) en samenwerking met de EU bij inkoop en contractbeheer, zodat de risico’s van cloudgebruik beter gemitigeerd kunnen worden.
Download hier het rapport.
Geef een reactie