Het Rijk in de Cloud: een Onbeheersbaar Risico?

Donkere Wolken Boven het Digitale Rijk

We vinden onze soevereiniteit steeds belangrijker, ook als het gaat over hoe en waar we onze data opslaan. Een onderwerp dat zeker met alle geopolitieke onrust versneld meer aandacht krijgt en daarom ook een belangrijkere rol zou moeten spelen bij cloudtransformaties. Dit wordt ook benoemd in het op 15 januari 2025 gepubliceerde rapport van de Algemene Rekenkamer “Het Rijk in de cloud.

De cloud: de belofte van een technologie die flexibiliteit, schaalbaarheid en efficiëntie biedt. Maar voor de Nederlandse rijksoverheid brengt het ook een storm aan risico’s. De Algemene Rekenkamer luidt de noodklok: de overheid heeft onvoldoende zicht op haar cloudgebruik, negeert strategische risico’s en laat grote techbedrijven de spelregels bepalen.

Hoe gevaarlijk is deze situatie en wat moet er veranderen? Laat me even inzoomen op de ankerpunten in het rapport.

Het Rijk zet vol in op cloud, maar mist de controle

Overheden wereldwijd maken steeds vaker gebruik van clouddiensten van grote internationale techbedrijven zoals Microsoft, Amazon en Google. Nederland is hier geen uitzondering op. Cloud biedt immers voordelen: flexibiliteit, kostenbesparing en innovatieve toepassingen. Maar de cloud is niet zonder gevaar, zeker wanneer het gaat om overheidsdiensten die cruciale data beheren.

Uit het onderzoek van de Algemene Rekenkamer blijkt dat het Nederlandse Rijk vol inzet op cloudgebruik, maar zonder voldoende grip op de risico’s. Van de 1.588 clouddiensten bij ministeries is van 26% niet eens bekend of ze publiek of privaat zijn. En dat terwijl bijna de helft (44%) bij Amerikaanse leveranciers wordt afgenomen.

Waarom is dat een probleem? Omdat digitale soevereiniteit, continuïteit en gegevensbescherming niet zomaar gegarandeerd zijn. Als de cloudprovider failliet gaat of onder druk van buitenlandse wetgeving gegevens moet overdragen, kunnen overheidsdiensten ernstig worden verstoord.

Onvoldoende risicoafwegingen: een tikkende tijdbom?

De Rekenkamer ontdekte dat bij twee derde van de onderzochte public cloud-diensten geen gedegen risicoafweging is gemaakt. En dat terwijl deze diensten essentieel zijn voor de primaire taken van de overheid, zoals belastinginning, zorgadministratie en meteorologische voorspellingen.

Dit betekent dat gevoelige gegevens mogelijk niet goed beschermd zijn. Denk aan patiëntgegevens, belastingaangiftes of zelfs kritieke infrastructuurdata. Zonder duidelijke strategie voor databeheer en contractuele afspraken met cloudproviders, loopt het Rijk het risico de controle te verliezen.

Bovendien is er nauwelijks sprake van gezamenlijke inkoopkracht. Ministeries sluiten zelfstandig contracten af met techreuzen, zonder gebruik te maken van collectieve onderhandelingen. Hierdoor missen ze de kans om sterkere voorwaarden te bedingen op het gebied van beveiliging en gegevensbescherming.

Wat moet er veranderen?

Het rapport is helder: er moet een omslag komen in de manier waarop het Rijk cloudtechnologie gebruikt. De belangrijkste aanbevelingen zijn:

  1. Uniform en streng rijksbeleid Ministeries moeten zich houden aan één duidelijke richtlijn. Verplicht stellen van risicoafwegingen vóór cloudgebruik. Duidelijk vastleggen welke data niet in de public cloud mag.
  2. Betere grip op contracten en inkoop Een centrale rijksbrede strategie voor cloudcontracten met grote techbedrijven. Actieve controle op naleving van contractuele afspraken.
  3. Bewustwording en expertise vergroten Ministeries moeten meer kennis opbouwen over cloudrisico’s. Gebruik maken van strategisch leveranciersmanagement om grip te houden op cloudproviders.

Leren van het buitenland: digitale soevereiniteit als prioriteit

Landen als Estland en Oekraïne hebben blijkbaar laten zien hoe belangrijk digitale soevereiniteit is. Estland heeft een “data-ambassade” in Luxemburg waar alle staatsdata wordt opgeslagen, zodat deze altijd toegankelijk blijft. Oekraïne heeft zijn cruciale overheidsgegevens naar de cloud verplaatst vlak voordat Rusland het land binnenviel, waardoor de digitale infrastructuur intact bleef.

De strategische overweging hierbij is toch om zo weinig mogelijk afhankelijk te worden van Amerikaanse techgiganten.

Conclusie: De Cloud is geen wondermiddel

Cloudtechnologie kan de Nederlandse overheid dan wel efficiënter maken, maar niet zonder een gedegen strategie. De Rekenkamer waarschuwt terecht dat het huidige beleid te vrijblijvend is en dat de risico’s groter zijn dan de voordelen als er geen duidelijke kaders worden gesteld. Dit staat los van eerder beveiliging en architectuur gerelateerde zaken (vb. zero trust architectuur) die de brug kunnen maken tussen beleid en uitvoering. Maar de meerwaarde hiervan is lager als de cloudoplossing niet beschermt tegen de provider. Zelfs de meest geavanceerde trusted computing laat nog steeds een beperkte interceptie door de provider toe.

Een cloud strategie vereist pragmatisme en start altijd bij enkele essentiële kernvragen:

  • Wat is nodig? Zijn de middelen gekozen op basis van de behoefte van een specifieke verwerking? Zijn ze louter gedreven door efficiëntie of gewoonte? Zijn ze gedreven door een zelf gecreëerd probleem?
  • Zijn de risico’s beoordeeld vanuit het perspectief van de betrokkenen?
  • Is Public Cloud de enige en correcte oplossing voor alles? Er bestaat geen “one size fits all”

Wil Nederland een digitale overheid die bestand is tegen geopolitieke dreigingen en cyberaanvallen? Dan is het tijd om digitale soevereiniteit serieus te nemen en een rijksbrede aanpak op basis van duidelijk omschreven concepten voor cloudgebruik te hanteren. Anders riskeert de Nederlandse overheid dat zij haar meest waardevolle bezit – data – uit handen geeft. Dit leermoment is zeker niet anders voor ons Belgen, de dappersten onder de Galliërs!