Ambtenaren mogen naar de commerciële cloud

Ambtenaren mogen naar de commerciële cloud

Overheidsinstanties mogen gebruik gaan maken van commerciële cloud-diensten. Daaraan zijn weliswaar voorwaarden verbonden, maar het is een behoorlijke beleidswisseling. Tot nu toe mochten overheidsinstanties alleen eigen clouddiensten gebruiken. Staatssecretaris Alexandra van Huffelen (Digitalisering, D66) maakte het nieuwe beleid bekend in een brief die ze maandag naar de Tweede Kamer stuurde.

Achterstand bij overheid

Veel mensen en bedrijven gebruiken commerciële cloud-diensten al geruime tijd. Er is in de praktijk vaak al een hybride mix ontstaan van private cloud, public cloud en on-premise omgevingen. De overheid had in dat opzicht nog een weg te gaan, en verbood zelfs het gebruik van de bekende public clouds. Anders dan een paar jaar geleden winnen de voordelen het nu van de risico’s, aldus Van Huffelen.

Aantrekkelijk perspectief

Commerciële clouddiensten hebben zich de afgelopen jaren, mede onder invloed van de coronapandemie, razendsnel ontwikkeld. De kosten zijn relatief laag en risico’s zijn vaak beter te beheersen dan voorheen. Dat wordt mede veroorzaakt doordat leveranciers grote bedragen investeren en veel expertise inzetten bij het beveiligen van hun services. De cloud biedt daarmee een aantrekkelijk perspectief voor de ontwikkeling naar een meer innovatieve, transparante, flexibele en efficiënte digitale Rijksoverheid, is de overtuiging van de Staatssecretaris.

Om veiligheidsrisico’s te minimaliseren zijn overheidsinstellingen verplicht vooraf een risico-analyse te maken. Het gebruik van commerciële clouddiensten is bovendien niet toegestaan voor het opslaan of verwerken van staatsgeheime informatie. En er mogen geen diensten worden afgenomen van leveranciers uit landen met een actief cyberprogramma dat gericht is tegen Nederlandse belangen. Het ministerie van Defensie valt buiten de reikwijdte van dit nieuwe beleid.

Privacyvereisten

De nieuwe cloudstrategie vervangt het huidige beleid, dat dateert uit 2011. Daarbij werd nog geen gebruik gemaakt van commerciële clouddiensten. In de nieuwe situatie mogen overheidsorganisaties clouddiensten extern gaan afnemen. Alle opslag en verwerking van persoonsgegevens vindt plaats op een verantwoorde manier, die aansluit bij geldende privacyvereisten.