Overheidsinstanties krijgen van staatssecretaris Alexandra van Huffelen (Digitalisering) onder strikte voorwaarden meer ruimte voor het gebruik van commerciële clouddiensten. Tot nu toe mochten overheidsinstanties alleen eigen clouddiensten gebruiken.
Dit maakt staatssecretaris Van Huffelen bekend in een brief die aan de Tweede Kamer is gestuurd. “Voor veel mensen en bedrijven is de cloud al een vertrouwd gegeven. De overheid heeft daar bewust mee gewacht. Anders dan een paar jaar geleden winnen de voordelen het nu van de risico’s. Dat neemt niet weg dat we nog steeds strikte voorwaarden stellen, met name op het gebied van beveiliging en privacy”, aldus Van Huffelen.
Commerciële clouddiensten hebben zich de afgelopen jaren snel ontwikkeld, onder meer onder invloed van de corona-pandemie. Zo zijn de kosten relatief laag en risico’s vaak beter te beheersen dan voorheen. Dat komt onder meer door omvangrijke investeringen vanuit leveranciers en de inzet van veel expertise bij het beveiligen van hun diensten. De cloud biedt hierdoor een aantrekkelijke perspectief voor de ontwikkeling naar een meer innovatieve, transparante, flexibele en efficiënte digitale Rijksoverheid.
Voorwaarden
Aan het gebruik van commerciële diensten zijn echter wel voorwaarden verbonden. Met het oog op veiligheidsrisico’s moeten overheidsinstellingen vooraf verplicht een risico-analyse maken. Ook is het gebruik van commerciële clouddiensten niet toegestaan voor de opslag of verwerking van staatsgeheime informatie. Daarnaast mogen geen diensten worden afgenomen van leveranciers uit landen die een actief cyberprogramma kennen dat gericht is tegen Nederlandse belangen. Het ministerie van Defensie valt buiten de reikwijdte van dit nieuwe beleid.
Voor gegevens uit de basisregistratiepersoonsgegevens en bijzondere persoonsgegevens geldt het principe ‘nee tenzij’, meldt staatssecretaris Van Huffelen.
Richtlijn
De nieuwe cloudstrategie vervangt het huidige beleid, dat in 2011 is opgesteld. Hierin was het gebruik van commerciële clouddiensten door overheidsinstanties niet toegestaan. “Elk departement is zelf verantwoordelijk om de relevante risico’s van het gebruik maken van een publieke cloud toepassing in beeld te hebben en tijdens het gebruik in beeld te houden. Op basis van deze risicoafweging kan de betreffende minister voor tot en met departementaal vertrouwelijk gerubriceerde informatie besluiten tot gebruik van de publieke cloud.”, schrijft Van Huffelen in de Kamerbrief. De Chief Information Officer (CIO) van het Rijk stelt voor het einde van 2022 samen met de CIO’s van betrokken ministeries een richtlijn op voor het maken van deze risicoafweging.
Petra Claessen, CEO van BTG en BTG Services: “In de markt zijn veel commerciële clouddiensten beschikbaar, die zeer relevante mogelijkheden bieden. Mogelijkheden die ook via BTG Services worden aangeboden. Overheidsinstanties kunnen hier, net als het bedrijfsleven, veel profijt van hebben. Tegelijkertijd zijn de risico’s die het gebruik van deze diensten met zich meebrengen steeds beter beheersbaar. Het is dan ook een belangrijke stap dat overheidsinstanties – onder voorwaarden – gebruik mogen maken van deze commerciële diensten.”
De Kamerbrief is hier beschikbaar.