De Nederlandse overheid staat eindelijk het gebruik van de publieke cloud toe

De public cloud-markt heeft het afgelopen decennium enorme vooruitgang geboekt, waarbij de Covid-pandemie een belangrijke versneller is. Clouddiensten zijn betrouwbaarder geworden en worden inmiddels door een groot aantal burgers en bedrijven gebruikt. De beveiliging van publieke clouddiensten is toegenomen en de grootschalige inzet van updates en patches maakt het makkelijker dan ooit om bugs in software op te lossen. Om deze redenen is het tijd om het Nationaal Cloudbeleid 2011 te herzien.

Het nieuwe beleid stelt Nederlandse ministeries in staat gebruik te maken van publieke clouddiensten. “Publieke clouddiensten bieden een aantrekkelijk perspectief voor de ontwikkeling van een meer innovatieve, transparante, flexibele en efficiënte digitale overheid”, aldus de staatssecretaris voor Digitalisering. Alexandra Van Hafelen Schreef naar de Tweede Kamer. “Lage initiële kosten en pay-per-use maken de public cloud een voor de hand liggende oplossing.

“Bovendien zijn de risico’s beter beheersbaar dan ooit, aangezien aanbieders van openbare cloud grote investeringen hebben gedaan in het beveiligen van hun diensten. Dat is meer dan de overheid bereid is te investeren in informatiebeveiliging.

De weg naar public clouds is dus eindelijk vrij voor Nederlandse publieke diensten, zij het onder strikte voorwaarden.

De gebruiksvoorwaarden zijn geïntegreerd, bijvoorbeeld de verwerking van persoonsgegevens. Publieke clouds mogen niet worden gebruikt in het onderliggende register, noch mogen ze persoonlijke persoonsgegevens opslaan en verwerken. Alle opslag en verwerking van persoonsgegevens moet voldoen aan de Algemene Verordening Gegevensbescherming.

Ook mogen overheidsmedewerkers geen overheidsgeheimen opslaan in een openbare cloud. Ze mogen geen gebruik maken van clouddiensten uit landen met “cyberprogramma’s die tegen Nederlandse belangen ingaan”. Elke Nederlandse overheidsdienst is verantwoordelijk voor het beoordelen en monitoren van de risico’s van het gebruik van een openbare clouddienst. Het Nederlandse ministerie van Defensie is nog steeds uitgesloten van het nieuwe beleid en mag geen gebruik maken van openbare clouddiensten.

Ook al is Van Haaflen optimistisch over het nieuwe nationale cloudbeleid, hij weet dat er risico’s zijn, zelfs impliciet. Als bijvoorbeeld een Amerikaanse cloudserviceprovider wordt overgenomen door een Chinees staatsbedrijf, is het gebruik van die specifieke publieke cloud door Nederlandse publieke diensten niet meer toegestaan.

Alle afdelingen ontwikkelen hun eigen cloudbeleid en strategieën op basis van het nieuwe nationale cloudbeleid. Overheidsinstanties die geen deel uitmaken van de rijksdienst worden verzocht dit advies op te volgen. Bovendien moeten afdelingen een “exitstrategie” opnemen in hun contracten met openbare cloudproviders, zoals in het acquisitievoorbeeld hierboven, waar ze beloven de service onmiddellijk te annuleren. Deze exit-strategie moet ook aangeven hoe gegevens aan de kant van de provider worden geretourneerd en vernietigd.

“De digitale wereld is niet zonder risico’s”, zegt Van Hafelen. “Zelfs niet als we een volledig zelfbeheerde cloud hebben.”

Volgens het Centraal Bureau voor de Statistiek gebruikte in 2020 53% van de Nederlandse bedrijven de cloud, waarvan 39% de public cloud.

Die bedrijven eisen ook meer veiligheid en privacy, schrijft Van Haaflen in zijn brief. De Nederlandsche Bank (DNB) is een pionier in het beheersen van cloudrisico’s in de financiële sector.

Vandaag maakt 49% van de Nederlandse banken gebruik van de cloud, waarvan 38% de public cloud. Bijna 60% van de zorgorganisaties in Nederland gebruikt private clouds en 43% maakt gebruik van public clouds.

Ook blijkt uit onderzoek dat 50% van de overheidsorganisaties wereldwijd gebruik maken van kantoorapplicaties uit de cloud. Deze cijfers waren een belangrijke katalysator voor de herziening van het Nationale Cloudbeleid in 2011.

Van Haflen is van plan om vanaf 2023 te starten met de evaluatie van het nieuwe cloudbeleid.