Een fors rapport met de titel “Donkere wolken pakken samen” voorspelt weinig goeds. De Rekenkamer is uiterst kritisch over de cloudadoptie van het Rijk. Toch zijn er straaltjes licht door het wolkendek.
De conclusies van de Algemene Rekenkamer zijn in vogelvlucht als volgt. Het Rijk 1) heeft beperkt zicht op clouddiensten, 2) maakt onvolvoende risicoafwegingen en 3) waarborgt zelf opgestelde principes niet genoeg. Van de 1.588 clouddiensten die het Rijk telt, zitten er 700 in de public cloud en 477 in een private cloud. De overige 411? Daarvan is niet bekend of de dienst bij AWS, Microsoft, een overheidsdatacenter of op de pc van iemands grootmoeder draait. Ietwat gechargeerd (hopen we), maar het is stuitend dat een dergelijk percentage aan overheidsdiensten simpelweg niet op het cloudgebruik te traceren is.
Wispelturig beleid
Twee tijdlijnen spelen een belangrijke rol in de cloudadoptie van de Rijksoverheid, zo schetst de Algemene Rekenkamer. Allereerst was de public cloud tot 2016 nergens binnen de overheid toegestaan. Het rijksbreed beleid brokkelde af doordat individuele ministeries tussen 2016 en 2021 wél gebruik gingen maken van public clouddiensten. In 2022 was het hek van de dam: onder bepaalde voorwaarden konden alle ministeries aan de slag met onder meer Azure, AWS en Google Cloud.
Die voorwaarden zijn vrij consequent gelaten voor wat ze zijn. Terwijl VS-wetgeving sinds 2001 steeds meer bewegingsvrijheid gaf aan Washington om Europese data te bemachtigen, moesten EU-verdragen dit beperken. Maar Safe Harbor en Privacy Shield werden beide nietig verklaard door het Europese Hof in respectievelijk 2015 en 2020. Hoewel de EU-US-Data Privacy Framework momenteel werkzaam is, sluit de Rekenkamer een nieuwe nietigverklaring vanuit het Hof niet uit.
Kortom: doordat Amerika een wet als de CLOUD Act heeft geadopteerd, kan de overheid niet zeker zijn van de eigen dataprivacy. Soevereiniteit over de eigen gegevens geldt als één van de belangrijkste en meest veelzijdige vereisten voor een veilige public cloud-inzet. Desondanks is dit gevaar volgens onder meer het NCSC gering. Data wordt niet met grote regelmaat doorgespeeld aan de VS, of althans: daar is geen bewijs voor. Ook zouden allerlei encrypties en privileges bij de Amerikaanse hyperscalers toegang tot gevoelige data moeten voorkomen.
Dit alles klinkt geruststellend, ware het niet dat de controles op soevereiniteit en de noodzaak van de desbetreffende dienst regelmatig achterwege gelaten zijn. Bovendien nemen ministeries weinig contact op met verantwoordelijke partijen voor strategisch leveranciersmanagement (SLM), waardoor het overzicht zoek is. Met toenemende geopolitieke spanningen (zoals een Eurosceptische president Trump) komt de overheid onvoorbereid over in de digitale wereld van 2025. Het beeld van donkere wolken komt naar voren, en het Rijk loopt rond zonder paraplu of regenjas.
Wel goede voorbeelden
Desalniettemin zijn er ook positieve verhalen te vertellen. De Algemene Rekenkamer noemt bijvoorbeeld het ministerie van Defensie als goed voorbeeld. Defensie koos voor een hybrid cloud-strategie omdat enkel een on-prem datacenter niet meer paste bij de ontwikkeling van de IT-markt richting SaaS en cloud-only. Met behulp van beleidsdocumenten en een afwegingskader zou ex-minister Kajsa Ollongren (D66) het ministerie wendbaar hebben gemaakt voor nieuwe IT-ontwikkelingen.
Ook is de Rekenkamer te spreken over de uitrol van AWS-diensten bij het KNMI. SURF gold als dienstverlener richting het KNMI, terwijl laatstgenoemde wel de vrije keuze had om voor de clouddiensten van AWS te kiezen naar eigen inschatting. Het rapport stipt deze samenwerking aan als een goed voorbeeld van de krachtenbundeling die het Rijk tot betere beslissingen drijft. Dat zou vaker moeten gebeuren, zo suggereert de Rekenkamer.
Conclusie: voorbeelden genoeg van hoe het wel moet
Er is niet één pad dat te bewandelen is naar een volwassen cloudadoptie van de overheid. Maar de collectie aan geitenpaadjes en omwegen die het rapport schetst, is niet de juiste. De Rekenkamer merkt terecht op dat de vereisten van de overheid interpretabel en veranderlijk zijn. Zo haalt men aan dat Estland als buurman van Rusland ervoor koos om de eigen kritieke overheidsdata als back-up te huisvesten in Luxemburg. Ook dat is een teken van soevereiniteit, zelfs als de gegevens niet binnen de eigen landsgrenzen zitten.
Krampachtig of idealistisch hoeft het digitale overheidsbeleid dus niet te zijn. Maar eenduidig en controleerbaar zijn vereisten die het naleven van de gestelde principes reëel kan maken. Wellicht dat daar een minister voor Digitale Zaken bij van pas zou komen, niet alleen de staatssecretaris Digitalisering die een reusachtig takenpakket erbij moet krijgen. Aangezien elk ministerie volop gebruikmaakt van de public cloud en dat zelf heeft kunnen bepalen, is het wellicht tijd om die macht weg te trekken ten faveure van wat standaardisering.
Lees ook: Tweede Kamer slaat alarm over staat van digitale overheid