Overheidsdiensten en -organisaties mogen voorlopig hun gegevens niet meer overzetten naar clouddiensten van bedrijven als Google en Amazon. Staatssecretaris Zsolt Szabó van Digitalisering heeft die zogeheten cloudmigratie stilgelegd totdat de Tweede Kamer er een debat over heeft gevoerd.
is nieuwsverslaggever van de Volkskrant, met tech als specialisme.
Al zo’n twee jaar lang verhuizen delen van de Rijksoverheid hun bestanden, systemen en mailarchieven naar de dataparken van grote Amerikaanse techbedrijven, vooral vanwege efficiëntie en gebruiksgemak. Maar experts vrezen dat de staat zo de digitale autonomie uit handen geeft.
Waarom zijn de cloudmigraties van de Rijksoverheid juist nu gestaakt?
Directe aanleiding is een verzoek vanuit de Tweede Kamer. Tweede Kamerlid Barbara Kathmann (GroenLinks-PvdA) heeft staatssecretaris Szabó vorige week gevraagd om de cloudmigratie stil te zetten totdat er een debat over is gevoerd. Ze vindt dat er nu ‘klakkeloos’ gegevens worden overgeheveld naar clouddiensten, terwijl een debat erover volgens haar nodig is. ‘Dit gaat om de Nederlandse veiligheid, dus moeten we praten over welke informatie we wel en niet in de cloud willen hebben.’
Staatssecretaris Szabó heeft gehoor gegeven aan haar oproep: geen enkele overheidsdienst mag de cloudmigratie op dit moment voortzetten. Na het Kerstreces gaat de Kamer over deze kwestie in debat.
In hoeverre maakt de Rijksoverheid gebruik van clouddiensten?
Volgens Szabó is er maar een beperkt overzicht over welke delen van de overheid gebruikmaken van welke clouddiensten. Dit komt omdat ministeries zelf verantwoordelijk zijn voor hun ict-beheer. Keuzes over verhuizingen naar clouddiensten vallen hier ook onder. Hierdoor is de overgang van veel overheidsdiensten naar de cloud – die al zeker twee jaar aan de gang is – grotendeels zonder centrale coördinatie en zonder toezicht gebeurd.
Zo gebruiken Tweede Kamerleden clouddiensten van Microsoft voor mailwisselingen en de opslag van documenten. Ook elders binnen de overheid huren diensten en organisaties digitale opslagruimte van Microsoft, Google of Amazon voor hun bestanden.
Zo gebruikt de Nederlandse Zorgautoriteit (NZa) Microsoft-clouddiensten om onder meer declaratiegegevens op te slaan die zijn ingediend bij zorgverzekeraars. Het zou ‘zeer veel tijd en technische expertise’ kosten om deze ict-infrastructuur zelf te blijven uitbreiden, onderhouden en beveiligen, schreef de NZa in een persbericht in mei.
Een woordvoerder van de NZa vertelt dat de gegevens zijn gepseudonimiseerd, wat wil zeggen dat ze niet te herleiden zijn naar individuele personen. De gegevens staan bovendien op servers binnen Europa, en worden niet doorgegeven aan landen buiten Europa.
De verhuizing van overheids-ict naar publieke cloudomgevingen is een wereldwijd fenomeen: onder meer Duitsland, het Verenigd Koninkrijk en Frankrijk zetten vergelijkbare stappen.
Waarom is de cloud zo populair?
Het voordeel van clouddiensten is dat ze flexibele en schaalbare ict-capaciteit bieden, vertelt Cokky Hilhorst, hoogleraar informatiesystemen aan de Nyenrode Business Universiteit. Wat dit betreft zijn de cloudomgevingen van Amazon, Google en Microsoft de wereldwijde koplopers.
‘Wanneer je deze diensten gebruikt, hoef je geen specialistische expertise zelf in huis te halen of dure dataparken te onderhouden’, vertelt Hilhorst. Veel grote organisaties en buitenlandse overheden als Duitsland, Frankrijk en het Verenigd Koninkrijk, kiezen daarom voor de cloud.
Wat is de kritiek op deze online diensten?
Het is simpel: wie zelf hardware en expertise heeft, heeft meer controle over de eigen digitale infrastructuur. ‘Als je clouddiensten gebruikt, zet je je gegevens op de computer van iemand anders’, vertelt Bart Jacobs, hoogleraar cybersecurity aan de Radboud Universiteit Nijmegen. ‘In de basis is dat een slecht idee.’
Deze zomer sloegen ict-experts en Kamerleden alarm over de cloudmigratie van de gehele overheid. Zo’n 80 procent van de wereldwijde cloudmarkt is in handen van Amerikaanse bedrijven. Het gebruik van Amerikaanse computerkracht zou een afhankelijkheid introduceren: zo moet de Rijksoverheid er maar op vertrouwen dat Microsoft, Google en Amazon hun digitale beveiliging op orde hebben.
Hilhorst, Jacobs én voormalig AIVD-toezichthouder Bert Hubert noemen bovendien de oplopende geopolitieke spanningen met de Verenigde Staten als risicofactor: ‘Als we volledig afhankelijk zijn van de diensten van Amerikaanse clouds, moeten we op onze woorden gaan passen. Trump deinst er niet voor terug sancties toe te passen, en dat kan ook zo met Amerikaanse clouddiensten,’ aldus Hubert.
Alle drie de experts noemen wat deze spanningen betreft de Amerikaanse Cloud Act, een wet waarmee het Witte Huis Amerikaanse cloudleveranciers kan verplichten om gegevens over te dragen – zelfs wanneer die in Europa staan opgeslagen.
Dit klinkt als een abstract risico, maar ook SSC-ICT, de grootste leverancier van ict-diensten voor de Rijksoverheid, erkent het gevaar, blijkt uit documenten uit een Woo-verzoek: het valt volgens SSC-ICT ‘niet uit te sluiten dat inzage gevraagd wordt [in Nederlandse gegevens] door de Amerikaanse overheid.’
Voor Kamerlid Kathmann is het beschermen van de Nederlandse digitale soevereiniteit niet alleen belangrijk vanuit veiligheidsperspectief, maar ook om economische redenen. Ze verzet zich tegen het argument waarmee de Rijksoverheid het gebruik van de cloudomgevingen motiveert: dat er geen Nederlandse of Europese alternatieve aanbieders zijn. ‘Door die keuze zal er ook nooit een Nederlands bedrijf opspringen om die taak op zich te nemen.’
Geselecteerd door de redactie
Source: Volkskrant