Het kabinet scherpt het Rijkscloudbeleid aan om de digitale soevereiniteit van de Rijksoverheid te vergroten. Rijksorganisaties moeten bij het gebruik van publieke clouddiensten voortaan rekening houden met geopolitieke risico's en afhankelijkheid van één leverancier. Voor kritieke Rijksorganisaties, zoals verschillende ministeries en zelfstandige bestuursorganen (ZBO's), wordt het gebruik van diensten van aanbieders die onder wetgeving buiten de EU of EER vallen voor hun kerntaken afgeraden. Voor e- mail en documentbeheer raadt het kabinet publieke clouddiensten helemaal af. 

Met clouddiensten kunnen organisaties online bestanden opslaan, applicaties draaien of grote hoeveelheden gegevens verwerken op servers van cloudleveranciers in plaats van op eigen computers of datacenters. Dat biedt veel voordelen, maar brengt ook risico's met zich mee. Die risico's verschillen per clouddienst, organisatie en dienstverlening waarvoor de clouddienst wordt gebruikt. Om ervoor te zorgen dat overheidsdiensten veilig zijn en beschikbaar blijven, moeten Rijksorganisaties voldoen aan de voorwaarden van het Rijkscloudbeleid.

"Digitale soevereiniteit betekent keuzes kunnen maken. Kiezen voor een andere leverancier
wanneer dat nodig is. Kiezen wie toegang heeft tot onze gegevens en wie niet. En kiezen voor dienstverlening die ook in lastige situaties betrouwbaar en beschikbaar blijft. Met het nieuwe Rijkscloudbeleid verminderen we onze afhankelijkheden en vergroten we onze keuzevrijheid," zegt staatssecretaris Aerdts (Digitale Economie en Soevereiniteit).

Cloudstrategie en exitplan

Organisaties binnen de Rijksoverheid die gebruikmaken van een publieke clouddienst, moeten vooraf een cloudstrategie opstellen. Daarin leggen zij vast waarom zij voor een publieke clouddienst kiezen, welke risico's daarbij horen en hoe zij die beperken. Het gaat onder meer om een afhankelijkheid van één leverancier en het risico dat een leverancier geheel of gedeeltelijk onder wetgeving buiten de EU of de Europese Economische Ruimte (EER) valt.

Voor organisaties die in de toekomst onder de wet voor kritieke entiteiten vallen, zoals meerdere ministeries en zelfstandige bestuursorganen (ZBO's), wegen deze risico's extra zwaar. Daarom gelden voor hen aanvullende afspraken binnen het Rijkscloudbeleid en wordt het gebruik van diensten van aanbieders die onder wetgeving buiten de EU of EER vallen voor hun kerntaken afgeraden.

Bij het gebruik van belangrijke clouddiensten moeten organisaties ook een exitplan opstellen.
Daarin staat welke maatregelen zij treffen om de dienstverlening voort te zetten als een
clouddienst (plotseling) uitvalt. Denk aan overstappen naar een andere leverancier of zelfstandig verdergaan. 

E-maildiensten en basisregistraties niet meer in de publieke cloud

E-mail- en documentdiensten worden in het nieuwe Rijkscloudbeleid aangemerkt als een nationaal belang. Daarom worden Rijksorganisaties afgeraden deze diensten in een publieke cloud onder te brengen. Ook brondata van basisregistraties, zoals de Basisregistratie Personen en de Basisregistratie Kadaster, mogen niet in een publieke cloud worden beheerd. Zo blijven deze gegevens veilig en beschikbaar voor burgers, bedrijven en overheden. 

Naar een overheidsbreed cloudbeleid

Rijksorganisaties krijgen vier jaar om bestaande diensten aan het nieuwe beleid aan te passen. In complexe gevallen, en om hoge kosten, risico’s en desinvesteringen te voorkomen, kan deze termijn worden verlengd. Het nieuwe Rijkscloudbeleid geldt voor alle Rijksoverheidsorganisaties. Alleen het ministerie van Defensie en de hoge colleges van staat, waaronder de Eerste en Tweede Kamer vallen buiten het beleid. Staatssecretaris Aerdts gaat de komende tijd met de medeoverheden in gesprek om te komen tot een overheidsbreed cloudbeleid.