Het rijksbrede cloudbeleid wordt herzien. Het kabinet komt met een serie aanscherpingen en vervolgstappen om (geopolitieke) risico’s terug te dringen. Ook de afhankelijkheid van Amerikaanse leveranciers moet minder.
Het aangescherpte beleid zal gelden voor vrijwel de gehele rijksoverheid. Hoge Colleges van Staat en andere overheidsorganisaties wordt geadviseerd om het beleid te volgen.
Staatssecretaris Willemijn Aerdts (Economische Zaken en Klimaat) kondigt de plannen aan in een brief aan de Tweede Kamer. Voor het gewijzigde cloudbeleid is geen extra geld beschikbaar. De implementatie kan hierdoor langere tijd in beslag nemen, tempert Aerdts de verwachtingen.
Aanscherpingen
Voor bestaand cloudgebruik dat nu niet voldoet aan de eisen van het herziene rijkscloudbeleid, geldt een overgangstermijn van 4 jaar na vaststelling van dit beleid. Bestaande overeenkomsten met een langere looptijd mogen gerespecteerd worden. Wanneer migratie of aanpassing hoge kosten of risico’s met zich meebrengen, mag de aanpassing of migratie worden ingepast op een logisch moment in de levenscyclus van de betrokken toepassing. Kortom, de maatregelen zijn zeer vrijblijvend.
De voornaamste aanscherpingen zijn:
- een uitbreiding van het aantal overheidsorganisaties die onder het cloudbeleid gaan vallen;
- bij gebruik van publieke cloud zijn opslag en verwerking beperkt tot de landen van de EER en worden data versleuteld (behalve wanneer het openbare data betreft);
- meer toepassingen die niet langer van publieke cloud gebruik kunnen maken;
- een scherpere formulering voor de exit-strategie.
Exit-plan
Verplicht wordt het opstellen van een meer gedetailleerd exit-plan. Nu geldt soms alleen de eis dat een cloudleverancier bij een exit de data overhandigt en, na vertrek, deze zal vernietigen. Het gevraagde noodplan zorgt voor meer inzage in de benodigde doorlooptijd en kritische randvoorwaarden bij een exit. Het exit-plan geeft inzage in de mate waarin een overheidsorganisatie in staat is bij verstoringen in de digitale keten toch te functioneren.
Materieel cloudgebruik en de bijbehorende risicoanalyse en exit-plannen moeten gemeld worden bij de CIO Rijk. Het gaat hier om cloudgebruik dat er feitelijk toe doet voor de digitale autonomie, veiligheid en continuïteit van een organisatie.
Niet doen!
Een aantal zaken wordt afgeraden:
- voor kritieke en essentiële entiteiten de ondersteuning van kerntaken over te laten aan niet-Europese leveranciers;
- e-mail- en documentbeheer in de publieke cloud te verwerken.Bestaande publieke cloudoplossingen worden, met een overgangstermijn, gemigreerd;
- publieke cloud te gebruiken voor verwerking van bijzondere persoonsgegevens. Indien toch noodzakelijk, moet Privacy Enhancing Technologie worden toegepast.
Basisregistraties van de rijksoverheid mogen publieke cloud toepassen om redenen van performance en schaalbaarheid. De brondata mogen niet in de publieke cloud worden beheerd.
Eerder kondigde staatssecretaris Eric van der Burg (Koninkrijksrelaties en Slagvaardige Overheid) aan om een zo soeverein mogelijke cloudomgeving in te richten die onder centrale regie wordt opgezet.
Staatssecretaris Aerdts wil met gemeenten, provincies en waterschappen aan de slag om te komen tot een overkoepelend overheidsbreed cloudbeleid. Daarnaast zal de impact van EU-regelgeving, zoals voorgesteld in de Cloud and AI Development Act (Cada) ook een impact hebben op het toekomstige beleid.
