Veel overheidsorganisaties zijn voor het draaiend houden van hun (cloud)systemen volledig afhankelijk van een enkel bedrijf. Als die ene dienstverlener omvalt, dan komt de dienstverlening aan burgers direct in de problemen. Een overheidsbrede strategie om dit risico tegen te gaan, lijkt te ontbreken.
De Autoriteit Persoonsgegevens (AP) wijst op dit gevaar in het ‘Sectorbeeld Overheid‘. Daarin duidt de waakhond de ontwikkelingen op gebied van privacy die spelen bij de overheid. Het algemeen beeld is dat de overheid nog altijd worstelt ote voldoen aan alle privacyregels en daarvoor regelmatig op de vingers wordt getikt.
Wanneer de AP zwakke punten ontdekt in it-systemen bij de overheid, duurt het vaak lang om die systemen aan te passen. Mogelijk komt dit door gebruik van verouderde it-systemen, gebrek aan kennis, onvoldoende prioritering of een combinatie van deze zaken. Door deze traagheid blijven datalekken onnodig lang voortduren. Of kan het te lang duren voordat nieuwe, noodzakelijke verwerkingen veilig zijn op te starten.
Te wensen over
De kennis van de privacywet- en regelgeving binnen overheidsorganisaties laat soms te wensen over, vooral bij bestuurders. Overtredingen van de AVG zijn dan ook vaak terug te voeren op dit gebrek aan kennis. Het komt ook voor dat overheidsorganisaties bewust over de grenzen van de wet gaan, bijvoorbeeld bij het signaleren van fraude. Omdat er nog steeds zorgen bestaan over de naleving van de AVG door de Belastingdienst, heeft de AP onlangs besloten deze dienst onder een vergrootglas te leggen.
Ten onrechte denken enkele overheden dat zij niet alles tot in detail hoeven uit te zoeken als zij iets een ‘experiment’ of ‘pilot’ noemen. Bij experimenten geldt de AVG net zo goed. De AP houdt zijn hart vast als het gaat om generatieve ai. Veel ministeries en gemeenten willen daar mee experimenteren. Maar ook voordat zo’n systeem volledig in gebruik wordt genomen, geldt de privacywetgeving onverminderd.
Zowiezo hybrid cloud he, want dat vindt oudlid en die heb er verstand van. Maar goed, die heb overal verstand van, zegtie.
En multi cloud, want het ging om die afhankelijkheid.
Wel sovereign cloud natuurlijk, want anders krijg je daar weer gezeik over.
Heb je met al die multihybridclouds niet ook multihybrid points of failures ? Distributed, maar wel afhankelijk van elkaar ? Ben je nog verder van huis 🙁
Nu wordt het wel ingewikkeld, misschien een partner inhuren die dat multi/hybrid/sovereign gebeuren beetje onder de knie heeft. Maar is die partner eigenlijk wel te vertrouwen, hoe moet je die nu opdrachtgeven als je niet weet waar het over gaat ? De AP waakhond die zijn hart vast houdt, zo valt te lezen. Ook niet echt een veelbelovend beeld.
Volgens artikel kom je gelukkig nog makkelijk weg, door gebrek aan kennis, vooral als je bestuurder bent. Misschien daar maar aan vasthouden. Wat niet weet, wat niet deert.