Cloudbeleid overheid in 2025 op de schop?

In het tijdperk van digitale transformatie staat de overheid voor een stevige uitdaging: het balanceren tussen technologische innovatie en de strenge eisen op het gebied van informatiebeveiliging en privacy. Die uitdaging is alleen maar groter geworden met de overstap naar de cloud. Veel gemeenten gebruikten al langer cloud toepassingen en sinds de introductie van het Rijksbreed cloudbeleid in 2022 maken ook veel ministeries en andere overheidsinstellingen steeds vaker gebruik van publieke clouddiensten.

Bij die migratie naar de cloud lopen organisaties tegen allerlei vraagstukken aan. Welke (persoons)gegevens mag je eigenlijk laten verwerken op commerciële cloudplatforms? En waar moeten we op letten bij de keuze van leverancier? Het zijn zomaar wat van vragen op het bordje van IT-managers binnen de overheid.

Dit artikel verkent de issues waar gemeenten en andere overheden mee worstelen. We geven een schets van de cloud trends binnen gemeenten, zoomen dieper in op het bestaande Rijksbreed cloudbeleid en schetsen de lopende discussies om dat cloudbeleid aan te passen.

Cloud trends binnen de gemeente

Hoever staan we eigenlijk met de cloud penetratie bij gemeenten? Een onderzoek van de Vereniging Nederlandse Gemeenten (VNG) schetst de cloud-ontwikkeling binnen haar leden. Vrijwel alle gemeenten maken al gebruik van cloud toepassingen (97%) maar het cloudgebruik strekt zich uit over steeds meer domeinen, vooral bij SaaS (Software-as-a-Service) diensten. Koploper is uiteraard de kantoorautomatisering die nu al bijna volledig is ‘versaasd’. Maar ook primaire procesondersteuning (burgerzakensysteem, sociaal domein software en geo toepassingen), de interne bedrijfsvoering (o.a. financiële en personeelssystemen) en de midoffice (zaaksystemen) migreren steeds vaker naar de cloud. De VNG verwacht dat het aandeel SaaS binnen het totale applicatielandschap van gemeenten zal toenemen van 44% (peildatum 2021) naar 70% in 2025.

Daarbij is overigens niet iedere cloudmigratie een eigen keuze; ook leveranciers maken steeds vaker een strategische keuze voor een cloud-only model. Maar over de breedte investeren steeds meer gemeenten in een volwaardig gemeentelijk cloudbeleid en -strategie. Een mooi voorbeeld is de cloudstrategie 2021-2025 van de gemeente Amsterdam die is samengevat in een toegankelijke presentatie. Amsterdam kiest daarin voor een hybride IT landschap waarin (publieke) clouddiensten selectief worden ingezet op basis van hun toegevoegde waarde.

Indien er behoefte is aan een nieuwe of aangepaste applicatie, biedt een heldere beslisboom de mogelijkheid om te kiezen tussen een SaaS-, IaaS/PaaS- of een in-house oplossing. En ieder cluster – van stadsbeheer tot de sociale dienstverlening – voert de digitale strategieën op eigen tempo uit, waarbij tien cloud adoptie principes zijn vastgesteld om richting te geven aan het gebruik en de adoptie van clouddiensten.

Rijksbreed cloudbeleid 2022

Uit de VNG-inventarisatie blijkt dat veel gemeenten ondersteuning zoeken bij het opzetten van zo’n cloudbeleid en strategie. Nu is zo’n strategie maatwerk en afhankelijk van de gemeente en allerlei afhankelijkheden. Maar een cloudbeleid richt zich meer op algemene richtlijnen voor je cloudplannen en daarvoor leunen veel gemeenten tegenwoordig op het Rijksbreed cloudbeleid dat in 2022 is vastgesteld. Waar in het oude cloudbeleid van 2011 nog zoveel mogelijk gebruik moest worden gemaakt van private clouddiensten, is het nieuwe uitgangspunt dat publieke en commerciële clouddiensten onder strikte voorwaarden gebruikt mogen worden. Hoewel het beleid allereerst is geschreven voor de Rijksoverheid adviseert de minister ook onderdelen van de overheid die niet tot de Rijksdienst behoren – dus ook gemeenten – dit Rijksbeleid te volgen. Het Rijksbreed cloudbeleid 2022 geeft elf voorwaarden voor het gebruik van clouddiensten die we hieronder kort samenvatten.

Risicogestuurd cloudbeleid

Risicomanagement staat in het cloudbeleid centraal. Publieke clouddiensten mogen alleen worden gebruikt als er een DPIA (Data Protection Impact Analysis) is gemaakt – ofwel een gegevensbeschermingseffectbeoordeling – met een bijbehorende risicoafweging om alle risico’s te verlichten. Daarbij is er specifiek aandacht voor het zogeheten materieel publiek cloudgebruik. Dat zijn clouddiensten die van wezenlijk belang zijn omdat ze worden gebruikt voor de primaire taak van een organisatie.

Evaluatie cloud-aanbieders en exit-strategie

Bij de risico-inventarisatie maakt het uiteraard ook uit of er gebruik wordt gemaakt van publieke, private, hybride of community clouddiensten. Ook moet worden beoordeeld of er sprake kan zijn van een te grote marktconcentratie of dat er risico’s zijn, omdat gegevens in een andere geografische regio worden verwerkt. Om de afhankelijkheid van clouddiensten te beheersen is er altijd een exit-strategie nodig. Dit zorgt ervoor dat bij beëindiging van de overeenkomst de data correct worden overgedragen en goed is geregeld dat de data bij de leverancier worden vernietigd.

Cyberveiligheid

Uiteraard krijgt ook de cyberveiligheid veel aandacht in het beleid, en met name de risico’s van statelijke actoren zoals Rusland en China. Om risico’s door gegevensverwerking in het buitenland te minimaliseren hanteert men onder andere de zogeheten C2000 criteria en sluit het beleid aan op het Europese beleid dat waarborgen biedt tegen misbruik van de informatie die in de cloud wordt opgeslagen.

Welke gegevens in de cloud?

Bovenal mogen niet alle gegevens in de publieke cloud worden verwerkt en er kunnen afhankelijk van het type gegevens extra eisen worden gesteld. De opslag en verwerking van persoonsgegevens moeten plaatsvinden volgens de privacy-vereisten uit de AVG. Dat betekent onder andere dat in principe de opslag en verwerking alleen mogen plaatsvinden binnen de Europese Economische Ruimte (EER), in landen waarvoor een zogeheten adequaatheidsbesluit bestaat, of op basis van bijvoorbeeld een modelcontract of een ander geschikt doorgiftemechanisme dat voldoet aan de AVG-eisen.

Strengere criteria zijn er voor zogeheten bijzondere persoonsgegevens zoals informatie over iemands gezondheid, politieke opvattingen of etnische afkomst. En hetzelfde geldt voor de opslag en verwerking van de gegevens van een basisregistratie. In beide gevallen is het uitgangspunt voor gebruik van de publieke cloud in principe ‘nee, tenzij’. Staatsgeheimen mogen nooit in de cloud worden opgeslagen en voor het Ministerie van Defensie gelden sowieso andere richtlijnen.

Discussies over het cloudbeleid?

Toch zit het cloudbeleid binnen de overheid zeker niet in beton gegoten, want er zijn wel al sinds de invoering stevige discussies. Zoals we zagen besteedt het cloudbeleid veel aandacht aan wélke gegevens verwerkt mogen worden en wáár dat mag gebeuren. Datasoevereiniteit – het vermogen van een land om alle digitale middelen onafhankelijk en zelf te beheren – is immers cruciaal.

Tegelijkertijd weten we dat de technologiesector wordt gedomineerd door bedrijven buiten Europa, dat 92% van alle westerse data op servers van Amerikaanse bedrijven worden opgeslagen en dat de VS minder strenge privacyregels hebben. Sterker nog, met de CLOUD Act (Clarifying Lawful Overseas Use of Data Act) kan de Amerikaanse overheid technologiebedrijven soms zelfs dwingen gegevens van gebruikers te verstrekken, ook al staan de servers in Europa.

Er zijn wel allerlei initiatieven om de bescherming van Europese data beter te garanderen. Er is het Trans-Atlantic Data Privacy Framework met afspraken over een veilige data-uitwisseling tussen Europa en de VS. En een speler als Microsoft biedt haar EU Data Boundary waarmee het vastlegt dat privacygevoelige klantgegevens van clouddiensten als Microsoft 365 en Azure altijd binnen Europa worden opgeslagen.

Zulke maatregelen helpen maar ze nemen de zorgen niet weg. Sterker nog, de Europese privacy toezichthouder EDPS constateerde begin 2024 dat de Europese Commissie zelf de privacywetgeving schendt met haar gebruik van Microsoft 365; ze moeten dat voor 9 december herstellen of het doorsturen van gegevens staken. Dichter bij huis nam de Tweede Kamer al in februari 2023 een motie aan om het cloudbeleid te heroverwegen en te kiezen voor een Europees cloudalternatief. En NSC en GroenLinks-PvdA zijn in een recente initiatiefnota kritisch op de huidige afhankelijkheid van de grote internationale ‘hyperscalers’ en willen dat de overheid toewerkt naar een zwaardere rol voor lokale cloudbedrijven en een nationale cloud-infrastructuur.

Inmiddels zijn steeds meer organisaties aan de slag met het Rijksbreed cloudbeleid en heeft ook de Auditdienst Rijk de opdracht gekregen een evaluatie uit te voeren. Die zal worden gebruikt door het kabinet om in 2025 een voorstel te doen voor de herziening van het cloudbeleid. Dit voorstel stond oorspronkelijk gepland voor 2024, maar in de recente Rijksbegroting van het ministerie van Binnenlandse Zaken is aangegeven dat het kabinet pas begin 2025 met de herziening aan de slag gaat. Daarbij zal ongetwijfeld aandacht zijn voor onze strategische afhankelijkheid en de doorgifte van persoonsgegevens en overheidsdata naar landen buiten de EU.

Kortom, er is volop voer voor discussie de komende tijd en ook wij houden als Nederlandse IDaaS aanbieder onze vinger aan de pols.