De rijksoverheid komt begin volgend jaar met een herziening van haar cloudbeleid, mede ingegeven door toenemende zorgen over het gebruik van clouddiensten van Amerikaanse leveranciers zoals Microsoft, Google en Amazon. Staatssecretaris voor digitalisering, Zsolt Szabó, heeft in een Kamerbrief aangegeven dat er voor het einde van 2024 herzieningsvoorstellen zullen worden opgesteld op basis van een aankomende rapportage van de Algemene Rekenkamer. Het vernieuwde cloudbeleid zal naar verwachting in de eerste helft van 2025 worden vastgesteld.
Cloudbeleid
De zorgen richten zich met name op de concentratie van clouddiensten bij een beperkt aantal Amerikaanse bedrijven. Deze afhankelijkheid brengt risico’s met zich mee, zoals kwetsbaarheid bij verstoringen en beveiligingsincidenten. Daarnaast is er bezorgdheid over de controle van de Nederlandse overheid op haar data, aangezien deze vaak valt onder Amerikaanse wetgeving en niet onder Europese regelgeving. Dit kan invloed hebben op de bescherming van gevoelige informatie en privacy.
Afhankelijkheid
Naast deze zorgen zijn er ook vraagtekens bij de continuïteit en exitstrategieën van clouddiensten. De afhankelijkheid van enkele grote leveranciers maakt het lastig voor de overheid om van dienstverlener te wisselen zonder verstoringen in haar processen. Ook de opkomst van nieuwe technologieën zoals kunstmatige intelligentie en quantum computing, die vaak door deze grote cloudproviders worden aangeboden, verhoogt de afhankelijkheid en brengt nieuwe veiligheids- en privacyrisico’s met zich mee.
Publieke cloud
De herziening van het cloudbeleid komt op een moment dat een rapport van de Auditdienst Rijk laat zien dat de on-premises werkplek van de Rijksoverheid is verplaatst naar de publieke cloud van Microsoft. Deze stap heeft geleid tot kritiek van experts zoals Bert Hubert, die waarschuwt voor de risico’s van het overhevelen van overheidsdata naar Amerikaanse servers. Hubert stelt dat dit in strijd is met het zelf vastgestelde cloudbeleid van de overheid en wijst op de historische incidenten waarbij de Amerikaanse overheid Europese regeringen heeft afgeluisterd.
Met de aangekondigde herziening wil de overheid deze risico’s beter in kaart brengen en nieuwe richtlijnen opstellen om haar digitale soevereiniteit te waarborgen.
Lees ook: Microsoft 365 heeft ‘dreigingsaantrekkende werking’