Het gebruik van Amerikaanse clouddiensten door de overheid brengt aanvullende strategische risico’s met zich mee, zo stelt staatssecretaris Szabo voor Digitalisering. "Door de concentratie van informatie bij enkele aanbieders is er een verhoogde dreiging op inbreuken. Dit risico zou in samenhang beoordeeld moeten worden", aldus de bewindsman in een Kamerbrief over de evaluatie van het Rijksbreed Cloudbeleid (pdf).
In 2022 maakte het kabinet bekend dat de Rijksoverheid voortaan ook van commerciële clouddiensten gebruik mag maken. Tot dan toe mochten overheidsinstanties alleen eigen clouddiensten gebruiken. Nederlandse overheidsdiensten kiezen steeds vaker voor clouddiensten. Eind vorig jaar is er begonnen met een evaluatie van het cloudbeleid. In deze evaluatie worden niet alleen Europese ontwikkelingen gemonitord, maar is er ook overleg met andere Europese landen.
Volgens Szabo bevestigt een eerste analyse van de gegevens het al bestaande beeld dat er in meerdere processen gebruikgemaakt wordt van de grote cloudaanbieders. "Dit kan mogelijk leiden tot een ongewenst afhankelijkheid en zou bij een verstoring bij een van deze aanbieders een gevolg kunnen hebben voor de continuïteit van overheidsprocessen. Dit moet nader onderzocht wordt om te beoordelen hoe groot die afhankelijkheid en het risico zijn om vervolgens een aanpak uit te werken om het risico te verminderen."
De evaluatie van het cloudbeleid is uitgevoerd door de Auditdienst Rijk (ADR). Ook die wijst naar het gebruik van Amerikaanse clouddiensten. "Een belangrijke casus op het gebied van public cloud is de (digitale) werkplek voor de Rijksoverheid met functionaliteit zoals bijvoorbeeld tekstverwerking, e-mail, chat etc. Op het moment verkeert de Rijksoverheid in een transitiefase waarbij voor een groot deel stapsgewijs wordt overgegaan naar onder meer MS 365, de public cloudoplossing van Microsoft voor de werkplek. Hiermee wordt de on-premises werkplek van de Rijksoverheid verplaatst naar de public cloud. De eerder in deze samenvatting genoemde bevindingen, bijvoorbeeld op het gebied van soevereiniteit en marktconcentratie, zijn ook zeker relevant voor deze casus."
De ADR stelt dat in de risicoafwegingen bij het gebruik van cloudproviders minder aandacht is gemaakt voor risico's op het gebied van marktconcentratie en soevereiniteit. "Het risico is dat op het beschouwingsniveau van individuele organisaties binnen de Rijksoverheid de veronderstelde praktische voordelen van public cloud al snel groter zijn dan de strategische risico’s (met kleine kansen maar grote gevolgen) op het gebied van marktconcentratie en soevereiniteit waardoor deze in de meeste gevallen geaccepteerd worden."
Volgens de ADR is het voor de Rijksoverheid een relevante vraag in hoeverre zij bij grootschalige inzet van public clouddiensten voor het uitvoeren van essentiële overheidstaken zich in economische en geopolitieke zin (te) afhankelijk maakt van Amerikaanse cloudproviders. Staatssecretaris Szabo stelt dat voor het eind van dit jaar herzieningsvoorstellen worden opgesteld voor het Rijksbreed Cloudbeleid, zodat in de eerste helft van volgend jaar het hernieuwd rijksbrede cloudbeleid kan worden vastgesteld. Daarnaast wordt er een proces gestart te komen tot een nieuw cloudbeleid met als uitgangspunt dat dit zal gelden voor de gehele overheid.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.