Overslaan en naar de inhoud gaan

Kabinet scherpt cloudbeleid aan: minder afhankelijk van de VS

Het kabinet stelt strengere regels op voor het gebruik van clouddiensten door de Rijksoverheid. Het gebruik van een publieke cloud, zoals Microsoft en AWS, voor e-mail en documentenbeheer wordt bijvoorbeeld helemaal afgeraden. Dat liet Willemijn Aerdts, staatssecretaris Digitale Economie en Soevereiniteit, weten aan de Tweede Kamer.

Een cloud in een beschermend bolletje.
© shutterstock

In haar kamerbrief reageert Aerdts op het manifest ‘Een Open Cloud voor Nederland’ van de Open Cloud Alliantie (OCA). In dat manifest vroegen zeven Nederlandse IT-bedrijven (onder andere Centric, KPN en Uniserver) om bij overheidsopdrachten een expliciete voorkeur uit te spreken voor Nederlandse en Europese cloudoplossingen. Zo ver wil de staatssecretaris niet gaan, schrijft ze, omdat er volgens haar geen uniforme, afdwingbare definitie van een ‘soevereine cloud’ bestaat. Ze is ook bang dat het aanbieden van zelfbenoemde soevereine proposities zonder een gedegen veiligheidswaarborg, kan leiden tot zogenaamde ‘sovereignty washing’.

Exitplan verplicht

Het herziene Rijkscloudbeleid verplicht rijksorganisaties zoals de ministeries voortaan tot een vooraf opgestelde cloudstrategie waarin ze risico's als leveranciersafhankelijkheid en niet-EU/EER-jurisdictie nu expliciet moeten afwegen en beperken. Nieuw is de verplichting om een exitplan op te stellen, voor zowel een geplande overstap als een plotselinge uitval. De publieke cloud wordt sterk ontraden voor e-mail en documentbeheer, daar moeten interne servers voor worden gebruikt. Het gebruik van publieke cloud voor bijzondere persoonsgegevens wordt afgeraden. Is die publieke cloud toch nodig, dan moeten Privacy Enhancing Technologies worden ingezet. Voor bestaande contracten die rijksorganisaties hebben afgesloten met clouddiensten, geldt een overgangstijd van vier jaar, die eventueel kan worden verlengd.

Behoedzaamheid

Hoewel het kabinet voorstander is van meer Europese cloudsoevereiniteit, spreekt de staatssecretaris zich toch niet onomwonden uit voor een voorkeursbeleid voor Europese en nationale aanbieders van clouddiensten. iBestuur noemt de behoedzame toon: ondanks dat de Nederlandse en Europese cloudsector versterkt moeten worden om de afhankelijkheid van Amerikaanse diensten in te perken, kiest de staatssecretaris uiteindelijk voor een voorzichtigere koers door zich niet uit te spreken vóór Nederlandse en Europese oplossingen. Aerdts verwijst naar Europese instrumenten: het Cloud Sovereignty Framework (CSF) van de Europese Commissie, dat soevereiniteit meetbaar maakt via assurance-niveaus (SEAL) en een puntenscore, en de Cloud & AI Development Act (CADA), het bijbehorende wetsvoorstel om digitale soevereiniteit in de cloudsector te verankeren.

Ook op financieel vlak is kritiek: alle digitale ambities ten spijt komt er geen extra geld, de overstap naar alternatieve aanbieders moet uit bestaande budgetten worden betaald.

Defensie uitgezonderd

Het beleid geldt voor de hele Rijksoverheid, met uitzondering van Defensie en de Hoge Colleges van Staat zoals de Eerste en Tweede Kamer zelf. Defensie zal het beleid waar mogelijk wel volgen.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Melden als ongepast

Door u gemelde berichten worden door ons verwijderd indien ze niet voldoen aan onze gebruiksvoorwaarden.

Schrijvers van gemelde berichten zien niet wie de melding heeft gedaan.

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in