4min Security

Rijk verplicht exitplan bij clouduitval overheidsdiensten

Rijk verplicht exitplan bij clouduitval overheidsdiensten

Nederlandse overheidsinstellingen die clouddiensten afnemen, moeten voortaan afhankelijkheidsrisico’s in kaart brengen en een exitplan opstellen voor als een dienst uitvalt. Dat staat in het herziene rijksbrede cloudbeleid voor 2026, dat nu naar buiten is gebracht.

Staatssecretaris Willemijn Aerdts van Digitale Economie en Soevereiniteit heeft de Tweede Kamer over de herziening geïnformeerd door middel van een brief. Het beleid beschrijft hoe overheidsinstellingen omgaan met clouddiensten die ze gebruiken of nog willen inkopen. De aanleiding zijn gewijzigde geopolitieke verhoudingen en twee kritische onderzoeken.

Die zorgen komen niet uit de lucht vallen. Uit onderzoek bleek eerder dat Amerikaanse cloud dominanter is bij de Nederlandse overheid dan gedacht. In dat onderzoek werden toen ter tijd 1722 overheidssites onderzocht. Slechts één gemeente bleek volledig vrij van Amerikaanse afhankelijkheid. De herziening lag bovendien al langer op de plank. Eerder werd het vernieuwde beleid al doorgeschoven naar 2025.

Afhankelijkheid en exitplannen

Een van de nieuwe regels verplicht overheden om afhankelijkheidsrisico’s te analyseren. Ze mogen niet te afhankelijk worden van een enkele leverancier of van ‘andere jurisdicties’. In de praktijk betekent dat vaker kijken naar Nederlandse of Europese alternatieven. Dit om te voorkomen dat data onder buitenlandse wetgeving zoals de Amerikaanse CLOUD Act valt.

Daarnaast wordt een gedetailleerd exitplan verplicht. Dat plan moet niet alleen gaan over een geplande exit, maar ook over een situatie waarin een clouddienst plotseling niet meer beschikbaar is. Zo weten overheden hoelang herstel duurt en wat daarvoor nodig is. De risicoanalyses en exitplannen moeten centraal gemeld worden bij CIO Rijk.

Lees ook: Is Office.eu het plug-and-play alternatief voor Big Tech?

Niet elke dienst valt onder dezelfde eisen. Kritieke en essentiële entiteiten wordt afgeraden voor hun kerntaken te leunen op leveranciers buiten de EU of EER. Voor e-mail- en documentbeheer geldt het advies deze niet in de publieke cloud te verwerken. Bestaande oplossingen worden met een overgangstermijn gemigreerd. Staatsgeheime informatie blijft logischerwijs verboden in de publieke cloud.

Het beleid geldt voortaan voor de gehele rijksoverheid, maar kent wel twee uitzonderingen. Defensie en de Hoge Colleges van Staat, zoals de Algemene Rekenkamer en beide Kamers, vallen er niet onder.

Vier jaar de tijd, maar geen extra geld

De regels gelden voor nieuwe en bestaande clouddiensten. Elke instelling krijgt vier jaar om zaken op orde te brengen. Er is echter geen extra budget beschikbaar om dit te bewerkstelligen. “Hierdoor kan de implementatie langere tijd in beslag nemen, moeten scherpe keuzes gemaakt worden en moet waar nodig herprioritering plaatsvinden”, schrijft Aerdts.

Aerdts wil op korte termijn ook met gemeenten, provincies en waterschappen tot een overkoepelend cloudbeleid komen. De uitdagingen op die niveaus zijn immers niet anders. Verder zal EU-regelgeving zoals de Cloud and AI Development Act (CADA) het toekomstige beleid beïnvloeden.

Wat merkt de IT-markt hiervan?

Hoewel dit herziene cloudbeleid specifiek is opgesteld voor de rijksoverheid, zal de impact ook voelbaar zijn in de private IT-sector. De overheid is immers een van de grootste IT-inkopers van Nederland. Managed Service Providers, SaaS-leveranciers en IT-consultancies die direct of indirect zakendoen met de publieke sector, moeten zich opmaken voor een aanzienlijk strengere selectie aan de poort.

Bij toekomstige aanbestedingen en contractverlengingen wordt het kunnen garanderen van digitale soevereiniteit waarschijnlijk een harde eis in plaats van een mooie extra. IT-leveranciers moeten voortaan zwart-op-wit kunnen aantonen waar data exact wordt opgeslagen, welke jurisdictie daarop van toepassing is en hoe een eventueel exit-scenario er in de praktijk uitziet.

Dit dwingt software- en cloud-vendors tot een benadering die we ‘exit-by-design’ kunnen noemen. Ze moeten hun softwarearchitectuur zo inrichten dat data en workloads relatief eenvoudig te migreren zijn naar een ander platform. Leveranciers die proactief zulke gestandaardiseerde frameworks of API’s voor dataportabiliteit kunnen meeleveren, hebben straks een enorme voorsprong bij het binnen hengelen van overheidsopdrachten.

Tegelijkertijd creëert dit strenge beleid een enorme groeimarkt voor lokale MSP’s en Europese cloudpartijen die onafhankelijk opereren van de bekende Amerikaanse hyperscalers. De vraag naar hybride scenario’s, waarbij kritieke overheidstaken op Europese bodem draaien en minder gevoelige applicaties in de publieke cloud blijven, zal hierdoor naar verwachting exploderen.

IT-bedrijven die denken dat ze de dans ontspringen omdat ze niet direct aan de overheid leveren, kunnen overigens bedrogen uitkomen. Er is namelijk sprake van een duidelijk doorsijpeleffect in de keten. Grote IT-dienstverleners die hoofdcontractant zijn bij het Rijk, zullen deze strenge eisen omtrent risicoanalyses en exitplannen per direct contractueel doorleggen naar hun eigen onderaannemers en softwareleveranciers.

Bedrijven die nu al inspelen op Europese compliance en flexibele datamigraties bouwen aan een sterke concurrentiepositie. Vasthouden aan Amerikaanse vendor lock-ins zorgt er alleen maar voor dat de kans op overheidsopdrachten geminimaliseerd wordt.