Kabinet scherpt cloudbeleid aan: minder afhankelijk van de VS
Het kabinet stelt strengere regels op voor het gebruik van clouddiensten door de Rijksoverheid. Het gebruik van een publieke cloud, zoals Microsoft en AWS, voor e-mail en documentenbeheer wordt bijvoorbeeld helemaal afgeraden. Dat liet Willemijn Aerdts, staatssecretaris Digitale Economie en Soevereiniteit, weten aan de Tweede Kamer.
In haar kamerbrief reageert Aerdts op het manifest ‘Een Open Cloud voor Nederland’ van de Open Cloud Alliantie (OCA). In dat manifest vroegen zeven Nederlandse IT-bedrijven (onder andere Centric, KPN en Uniserver) om bij overheidsopdrachten een expliciete voorkeur uit te spreken voor Nederlandse en Europese cloudoplossingen. Zo ver wil de staatssecretaris niet gaan, schrijft ze, omdat er volgens haar geen uniforme, afdwingbare definitie van een ‘soevereine cloud’ bestaat. Ze is ook bang dat het aanbieden van zelfbenoemde soevereine proposities zonder een gedegen veiligheidswaarborg, kan leiden tot zogenaamde ‘sovereignty washing’.
Exitplan verplicht
Het herziene Rijkscloudbeleid verplicht rijksorganisaties zoals de ministeries voortaan tot een vooraf opgestelde cloudstrategie waarin ze risico's als leveranciersafhankelijkheid en niet-EU/EER-jurisdictie nu expliciet moeten afwegen en beperken. Nieuw is de verplichting om een exitplan op te stellen, voor zowel een geplande overstap als een plotselinge uitval. De publieke cloud wordt sterk ontraden voor e-mail en documentbeheer, daar moeten interne servers voor worden gebruikt. Het gebruik van publieke cloud voor bijzondere persoonsgegevens wordt afgeraden. Is die publieke cloud toch nodig, dan moeten Privacy Enhancing Technologies worden ingezet. Voor bestaande contracten die rijksorganisaties hebben afgesloten met clouddiensten, geldt een overgangstijd van vier jaar, die eventueel kan worden verlengd.
Behoedzaamheid
Hoewel het kabinet voorstander is van meer Europese cloudsoevereiniteit, spreekt de staatssecretaris zich toch niet onomwonden uit voor een voorkeursbeleid voor Europese en nationale aanbieders van clouddiensten. iBestuur noemt de behoedzame toon: ondanks dat de Nederlandse en Europese cloudsector versterkt moeten worden om de afhankelijkheid van Amerikaanse diensten in te perken, kiest de staatssecretaris uiteindelijk voor een voorzichtigere koers door zich niet uit te spreken vóór Nederlandse en Europese oplossingen. Aerdts verwijst naar Europese instrumenten: het Cloud Sovereignty Framework (CSF) van de Europese Commissie, dat soevereiniteit meetbaar maakt via assurance-niveaus (SEAL) en een puntenscore, en de Cloud & AI Development Act (CADA), het bijbehorende wetsvoorstel om digitale soevereiniteit in de cloudsector te verankeren.
Ook op financieel vlak is kritiek: alle digitale ambities ten spijt komt er geen extra geld, de overstap naar alternatieve aanbieders moet uit bestaande budgetten worden betaald.
Defensie uitgezonderd
Het beleid geldt voor de hele Rijksoverheid, met uitzondering van Defensie en de Hoge Colleges van Staat zoals de Eerste en Tweede Kamer zelf. Defensie zal het beleid waar mogelijk wel volgen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee