Afgelopen week heeft de Algemene Rekenkamer het rapport 'Het Rijk in de cloud' gepubliceerd, met als veelzeggende ondertitel 'Donkere wolken pakken samen'. De conclusies die de Rekenkamer trekt over het gebruik van clouddiensten door het Rijk zijn zorgwekkend.
Conclusies
In het onderzoek trekt de Algemene Rekenkamer de volgende belangrijkste conclusies:
1. Het Rijk heeft beperkt zicht op clouddiensten.
2. Het Rijk maakt onvoldoende strategische risicoafwegingen.
3. Het Rijk waarborgt onvoldoende de principes (digitale) soevereiniteit, continuïteit van de dienstverlening en de gegevensbescherming in drie onderzochte public cloud-contracten.
Gebrek aan risicobewustzijn
De Algemene Rekenkamer uit forse kritiek op het gebruik van clouddiensten door de landelijke overheid. Uit een inventarisatie blijkt dat ministeries in 1588 gevallen gebruikmaken van clouddiensten, waarvan 700 keer via grote Amerikaanse techbedrijven zoals Amazon, Microsoft en Google. Bij twee derde van de belangrijkste diensten is onvoldoende stilgestaan bij risico’s, zoals het niet afgeschermd zijn van gegevens of de gevolgen van een faillissement van een cloudaanbieder.
Risico's bij buitenlandse dienstverlening
De Rekenkamer benadrukt dat (contractuele) afspraken met cloudaanbieders tekortschieten en dat buitenlandse overheden, met name de Verenigde Staten, mogelijk toegang hebben tot gegevens van de Nederlandse rijksoverheid en burgers, ze kunnen inzien en mogelijk manipuleren. Ewout Irrgang van de Algemene Rekenkamer waarschuwt: 'Of ze dat doen is een tweede, maar als ze willen dan kan het.' (de CLOUD Act verschaft de Amerikaanse overheid wél de bevoegdheid). Verder is de overheid door het gebruik van clouddiensten kwetsbaar als een clouddienstverlener – om welke reden of door welke oorzaak dan ook – de dienstverlening staakt. De overdraagbaarheid van data (en software-as-a-service) naar een andere aanbieder is niet verzekerd, onder andere door gebrekkige standaardisatie.
Advies: organiseer Europese alternatieven en voer beleid
De Rekenkamer dringt aan op stevigere maatregelen en pleit voor een gezamenlijke aanpak door de ministeries om meer grip te krijgen op hun cloudgebruik. Uniform en concreet cloudbeleid is nodig, een betere handhaving van het Rijksbrede cloudbeleid en goede risicoafwegingen voor alle 'materieel public clouddiensten. Staatssecretaris Szabó voor Digitalisering erkent de kritiek en belooft beterschap. Ze steunt daarnaast het idee om meer gebruik te maken van Europese alternatieven voor Amerikaanse clouddiensten, zoals dat reeds was voorgesteld door haar voorganger.
Bronnen: Security.nl, NOS, rapport Rekenkamer