De rijksoverheid is zonder goed na te denken in de cloud gaan werken, heeft onvoldoende grip op zijn cloudgebruik en denkt onvoldoende na over risico's, wat allerlei grote gevolgen kan hebben. Dat stelt de Algemene Rekenkamer in het vandaag verschenen rapport 'Het Rijk in de cloud - Donkere wolken pakken samen' (pdf). Volgens de Rekenkamer heeft het Rijk beperkt zich op clouddiensten, maakt het onvoldoende strategische risicoafwegingen en worden de principes (digitale) soevereiniteit, continuïteit van de dienstverlening en gegevensbescherming onvoldoende gewaarborgd.

"Op basis van dit onderzoek concluderen we dat het Rijk ondoordacht cloud is gaan gebruiken en nu onvoldoende grip op heeft op zijn cloudgebruik. We beoordelen het cloudgebruik door het Rijk dan ook als zorgelijk", oordeelt de Rekenkamer. "De dienstverlening aan burgers en bedrijven en de continuïteit van het functioneren van de overheid lopen immers te veel risico. De mogelijke schade van verstoorde overheidsdienstverlening kan ons land en onze maatschappij ontwrichten."

Public cloud

Uit het onderzoek van de Rekenkamer blijkt dat alle ministeries gebruikmaken van public cloud. Het gaat in dit geval om een cloud die door meerdere partijen wordt gebruik. Als voorbeeld noemt de Rekenkamer clouddiensten van Amazon, Google en Microsoft. Meer dan de helft van de als 'materieel' aangemerkte public cloud-diensten van het Rijk wordt bij deze drie grote Amerikaanse bedrijven ingekocht.

Van de in totaal 1588 clouddiensten bij het Rijk zijn zevenhonderd (44 procent) public cloud en 477 (30 dertig procent) private cloud of hybrid cloud (mengvorm). Van 411 (26 procent) afgenomen clouddiensten is bij ministeries niet bekend of het om public cloud gaat. De Rekenkamer stelt ook dat ministeries, voordat ze besloten om public cloud te gaan gebruiken, onvoldoende strategische risicoafwegingen hebben gemaakt.

Van de zevenhonderd public cloud-diensten zijn er 126 aangeduid als ‘materieel’. Bij 84 (67 procent) van deze diensten is geen risicoafweging gemaakt. "Hierdoor blijft bijvoorbeeld het risico bestaan dat gegevens niet goed beschermd zijn of dienstverlening opeens ongewenst kan stoppen", stelt de Rekenkamer.

Buitenlandse regeringen

Een belangrijk soevereiniteitsrisico is volgens de Rekenkamer het risico dat buitenlandse (veiligheids) diensten data opvragen wanneer de clouddienst door een buitenlands techbedrijf wordt geleverd. "Zo geeft de CLOUD Act de Amerikaanse overheid vergaande bevoegdheden om toegang te krijgen tot data van Europese burgers." Daarbij maakt het Rijk vooral gebruik van Amerikaanse cloudproviders.

"Laat ik het onomwonden zeggen: het risico bestaat dat buitenlandse regeringen, met name de VS, informatie van de Nederlandse rijksoverheid of van burgers kunnen inzien en wellicht zelfs aanpassen. Of ze dat doen is een tweede, maar als ze willen, dan kan het", zegt Ewout Irrgang, collegelid van de Algemene Rekenkamer.

Om de situatie te verbeteren doet de Rekenkamer verschillende aanbevelingen. Zo moet het Rijksbreed cloudbeleid uniformer en concreter worden, moet de handhaving van het Rijksbreed cloudbeleid beter worden ingericht, moet het zicht op gebruikte clouddiensten worden verbeterd en moeten risicoafwegingen voor materieel public cloud-diensten die niet zijn gemaakt alsnog worden gemaakt.