Overheidsorganen die in de cloud willen werken, krijgen daarvoor meer ruimte. Onder strikte voorwaarden mogen zij gebruikmaken van clouddiensten van commerciële aanbieders als Google, Amazon en Microsoft. Tot nu toe mochten ze alleen eigen clouddiensten gebruiken.
Dat schrijft staatssecretaris van Digitalisering Alexandra van Huffelen in een brief aan de Tweede Kamer.
Staatssecretaris pleit voor strikte maatregelen
Gegevens opslaan op externe harde schijven is al lang niet meer van deze tijd. Bedrijven, maatschappelijke organisaties, het onderwijs en overheidsorganen gebruiken sinds jaar en dag de cloud om hun data op te slaan. Sterker nog, de cloud maakt tegenwoordig veelal onderdeel uit van een back-upstrategie.
“Voor veel mensen en bedrijven is de cloud al een vertrouwd gegeven”, zo schrijft Van Huffelen aan de Tweede Kamer. De Rijksoverheid en andere overheidsinstanties hebben daar volgens de staatssecretaris bewust mee gewacht. “Anders dan een paar jaar geleden winnen de voordelen het nu van de risico’s. Dat neemt niet weg dat we nog steeds strikte voorwaarden stellen, met name op het gebied van beveiliging en privacy”, aldus Van Huffelen.
Bescherming gegevens van Europese burgers
De staatssecretaris verwijst naar mogelijke privacyrisico’s die er bestaan bij commerciële aanbieders. De Autoriteit Persoonsgegevens en andere toezichthouders in Europa zeggen regelmatig signalen te ontvangen dat de aanbieders van clouddiensten zich niet aan de Algemene Verordening Gegevensbescherming (AVG) houden.
Zo worden gevoelige en vertrouwelijke gegevens bijvoorbeeld niet op servers in Europa opgeslagen, maar in de VS. Daar worden onze data niet even goed beschermd als hier in de EU. De Amerikaanse wet bepaalt namelijk dat inlichtingen- en veiligheidsdiensten het recht hebben om gegevens van Europese burgers in te zien.
Dat was voor het Europees Hof van Justitie de reden om in de zomer van 2020 een einde te maken aan het Privacy Shield. Eind maart sloten de EU en VS een principeakkoord over een opvolger om gegevens uit te wisselen. Het invullen van de details gaat echter mogelijk nog maanden duren.
‘Cloud biedt aantrekkelijk perspectief’
In de tussentijd onderzoekt de Autoriteit Persoonsgegevens welke risico’s het opslaan van data in de cloud met zich meebrengt. “Zijn die data daar [in het buitenland, red.] wel goed beschermd? Overheden hebben natuurlijk zeer veel gevoelige data over u en mij. Daar moeten hackers of buitenlandse overheden niet zomaar bij kunnen. Dus als overheden dit soort data in de cloud zetten, moeten ze daar vooraf goed over nadenken”, zo vertelde vicevoorzitter van de toezichthouder Monique Verdier over de kwestie.
Commerciële aanbieders van clouddiensten hebben zich volgens Van Huffelen de laatste jaren razendsnel ontwikkeld. Volgens haar liggen de kosten een stuk lager en zijn risico’s beter te beheersen dan voorheen. “Dat wordt mede veroorzaakt doordat leveranciers grote bedragen investeren en veel expertise inzetten bij het beveiligen van hun diensten. De cloud biedt daarmee een aantrekkelijk perspectief voor de ontwikkeling naar een meer innovatieve, transparante, flexibele en efficiënte digitale Rijksoverheid”, aldus de staatssecretaris.
Om veiligheidsrisico’s te minimaliseren, moeten overheidsinstellingen vooraf verplicht een risicoanalyse maken. De staatssecretaris stelt nog drie aanvullende eisen. Allereerst mag er geen staatsgeheime informatie in de cloud worden bewaard. Daarnaast mogen overheidsinstanties geen clouddiensten afnemen van leveranciers die hun hoofdkwartier hebben gevestigd in landen met een actief cyberprogramma dat tegen de Nederlandse belangen indruist. Tot slot mogen gegevens uit de basisregistratie persoonsgegevens en bijzondere persoonsgegevens in principe niet in de cloud worden bewaard.
Kabinet komt met richtlijn om risicoanalyse te maken
De nieuwe cloudstrategie vervangt de vorige, die dateert uit 2011. Toentertijd bepaalde de regering dat overheidsinstanties geen gebruik mochten maken van clouddiensten van commerciële aanbieders. Staatssecretaris Van Huffelen vindt dat met de nieuwe strategie de verwerking van persoonsgegevens “op een verantwoorde manier plaatsvindt, die aansluit bij geldende privacyvereisten”.
De Chief Information Officer (CIO) van de Rijksoverheid stelt samen met de CIO’s van de betrokken ministeries een richtlijn op. Overheidsorganen kunnen deze gebruiken om zelfstandig een risicoanalyse te maken. De staatssecretaris streeft ernaar om deze richtlijn voor het einde van het jaar gereed te hebben. Het is aan de Algemene Rekenkamer, Auditdienst Rijk (ADR) en Autoriteit Persoonsgegevens om toe te zien op de naleving van de regels.
