Innovatie & Strategie
Van Huffelen: overheid mag commerciële clouds gebruiken
Staatssecretaris Digitalisering verklaart cloud 'overheidsrijp'.
Staatssecretaris Digitalisering verklaart cloud 'overheidsrijp'.
Overheidsinstanties mogen onder strikte voorwaarden gebruik gaan maken van clouddiensten van commerciële bedrijven. Dat schrijft staatssecretaris Alexandra van Huffelen (Digitalisering) in een brief aan de Tweede Kamer. Tot nu toe was dat niet toegestaan vanwege risico's op het gebied van privacy en beveiliging.
Clouddiensten als WeTransfer en OneDrive worden door bedrijven, maar ook privé, veel gebruikt om gegevens zoals foto's en tekstdocumenten online op te slaan en uit te wisselen. Ambtenaren mochten hier tijdens hun werk nog geen gebruik van maken en moesten zich wenden tot door de overheid ontwikkelde alternatieven. De vrees was dat vertrouwelijke gegevens niet veilig waren voor bijvoorbeeld diefstal of spionage als ze zijn opgeslagen op een cloudserver van een externe, commerciële aanbieder.
'Meer voordeel dan risico'
"Anders dan een paar jaar geleden winnen de voordelen het nu van de risico’s", motiveert Van Huffelen haar besluit. Met voordelen bedoelt de staatssecretaris bijvoorbeeld de kosten van de clouddiensten, die vanwege de grote klantenkring lager zijn dan zelf ontwikkelde diensten van de overheid. Ook telt mee dat commerciële cloudbedrijven flink hebben geïnvesteerd in de beveiliging.
Overheidsorganisaties die gebruik willen maken van commerciële clouddiensten moeten voldoen aan "strikte voorwaarden", vooral op het gebied van beveiliging en privacy. Zo mogen ambtenaren geen staatsgeheimen opslaan in de cloud. Bovendien mogen ze geen gebruik maken van diensten uit landen met "een actief cyberprogramma dat gericht is tegen Nederlandse belangen", zoals Rusland en China. Ook mag het ministerie van Defensie nog steeds geen gebruik maken van commerciële clouddiensten.
Chinese overname
Ondanks de positieve woorden in de Kamerbrief van Van Huffelen zitten er nog risico's aan cloudgebruik, ook indirect. Dit is bijvoorbeeld het geval als een Amerikaanse clouddienst wordt overgenomen door een Chinees staatsbedrijf, dan zou dat gebruik ineens niet meer mogen. In zo'n geval moet het contractueel mogelijk worden om meteen uit de dienst te stappen, zo luidt het plan. "De digitale wereld is niet geheel zonder risico's", zegt Van Huffelen daarover. "Ook niet als we een volledig zelf beheerde cloud zouden hebben."
Techjournalist, ICT-kenner en contentproducent bij AG Connect.
Zolang het EU-Cloud bedrijf alles binnen de EU doet, en ook geen kantoor opent in de US is er een kans.
Alleen moet het verkeer dan niet langs bv. AMSIX... en dat is weer lastig, jaren geleden was het een discussie of AMSIX wel of geen kantoor in de US moest anhouden, nu is een kantoor in de US genoeg voor een evt, data verzoek.
Mensen focussen hier in de reacties iets teveel op filetransfer. We hebben het namelijk ook over de aanbesteding van complete dataplatformen, virtuele omgevingen, databases en werkomgevingen in de cloud et cetera. Het gaat echt wel iets verder dan DropBox.
En ja, met een hoop voorwaarden mag het. Dat was overigens al eerder dit jaar duidelijk geworden. Maar goed dat de staatssecretaris dit ook de rest van de overheid mededeelt, dan hoeft niet iedereen het juridische werk opnieuw te doen.
Is dit wel het goede moment om een dergelijke beslissing te nemen? In Europa is onder de noemer GAIA-X juist een stevig programma op poten gezet om afstand te nemen van de Amerikaanse dominantie op dit gebied. Volgens mij valt ook de office-omgeving onder dit programma.
Bovendien biedt de Pleio filesender nu al betere mogelijkheden en zijn er bovendien binnen de overheid andere oplossingen om bestanden uit te wisselen.
Mooi artikel - maar ik geloof dat er een uiterst cruciaal element ontbreekt. Namelijk de melding van de staatsecretaris dat bij dit type (US owned, etc) cloud de zaak encrypted moet zijn (niet alleen at rest; maar in flight). En dat de decryption key onder beheer van de overheid moet zijn; en wel aan de eisen moet blijven voldoen. Dus dat kan geen snelle cloud KMS zijn. Maar echt, landed, losstaand beheer at legal/practical/technical armslength in de EU zonder opties voor US (of ander non EU land) fully owned/controlled subsidaries; of met beheer/NOC/ops vanuit buiten de EU .
Het wordt echt tijd dat de overheid eens om zich heen kijkt.
Tuig een cluster op met Nextcloud en geen van de tools in dit artikel heb je meer nodig.
Grote bestanden aanleveren? Klik met recht, maak deellink, mail deellink. Je hoeft niet eens te uploaden!
Verkeerd bestand? Oeps, verwijder deellink. Controleer of de link gebruikt is. Zo niet? Niets aan de hand.
Geen accounts bij vreemde bedrijven. Je weet waar de bestanden blijven..
Dat is toch veel makkelijker dan een clouddienst gebruiken. Hoe ga je dat ooit controleren?