Werken ‘in de cloud’ wordt mogelijk voor Rijksoverheid

Staatssecretaris Alexandra van Huffelen (Digitalisering) gaat overheidsinstanties onder strikte voorwaarden meer ruimte bieden om gebruik te maken van commerciële clouddiensten. Dat staat in een brief die vandaag aan de Tweede Kamer is gestuurd. Tot nu toe mochten overheidsinstanties alleen eigen clouddiensten gebruiken.

Werken in ‘de cloud’, waarbij gebruik wordt gemaakt van externe opslagcapaciteit, applicaties, netwerken en andere ICT-voorzieningen, biedt potentiële voordelen. Dat schrijft staatssecretaris Van Huffelen in een brief aan de Tweede Kamer. “Voor veel mensen en bedrijven is de cloud al een vertrouwd gegeven. De overheid heeft daar bewust mee gewacht. Anders dan een paar jaar geleden winnen de voordelen het nu van de risico’s. Dat neemt niet weg dat we nog steeds strikte voorwaarden stellen, met name op het gebied van beveiliging en privacy”, aldus Van Huffelen.

Commerciële clouddiensten hebben zich de afgelopen jaren, mede onder invloed van de corona-pandemie, razendsnel ontwikkeld. De kosten zijn relatief laag en risico’s zijn vaak beter te beheersen dan voorheen. Dat wordt mede veroorzaakt doordat leveranciers grote bedragen investeren en veel expertise inzetten bij het beveiligen van hun diensten. De cloud biedt daarmee een aantrekkelijk perspectief voor de ontwikkeling naar een meer innovatieve, transparante, flexibele en efficiënte digitale Rijksoverheid.

Om veiligheidsrisico’s te minimaliseren zijn overheidsinstellingen verplicht vooraf een risico-analyse te maken. Het gebruik van commerciële clouddiensten is bovendien niet toegestaan voor het opslaan of verwerken van staatsgeheime informatie en er mogen geen diensten worden afgenomen van leveranciers uit landen met een actief cyberprogramma dat gericht is tegen Nederlandse belangen. Het ministerie van Defensie valt buiten de reikwijdte van dit nieuwe beleid.

Voor gegevens uit de basisregistratiepersoonsgegevens en bijzondere persoonsgegevens geldt het principe nee tenzij.

De nieuwe cloudstrategie vervangt het huidige beleid, dat dateert uit 2011. Daarbij werd nog geen gebruik gemaakt van commerciële clouddiensten. In de nieuwe situatie mogen overheidsorganisaties clouddiensten extern gaan afnemen. Alle opslag en verwerking van persoonsgegevens vindt plaats op een verantwoorde manier, die aansluit bij geldende privacyvereisten.

Voor die risicoafweging wordt door de chief information officer van het Rijk samen met de CIO’s van de betrokken ministeries voor het einde van 2022 een richtlijn opgesteld. CIO Rijk monitort de toepassing van dit beleid en wordt betrokken bij besluitvorming over uitzonderingen. Toezicht op naleving van de regels valt onder de bestaande wettelijke taken van Algemene Rekenkamer, Auditdienst Rijk en Autoriteit Persoonsgegevens.