De Rijksoverheid mag binnenkort gevoelige data opslaan in commerciële public cloud-omgevingen. Ook is het straks toegestaan cloudgebaseerde diensten van de aanbieders te gebruiken. Dit geeft staatssecretaris voor Digitalisering Alexandra van Huffelen aan in brief aan de Tweede Kamer.

Volgens de staatssecretaris is voor het bedrijfsleven het werken in de public cloud inmiddels standaard. De Rijksoverheid heeft hier, onder meer vanuit veiligheids- en privacyoverwegingen nog mee gewacht, maar kan nu aan een inhaalslag beginnen.

Volgens haar winnen de voordelen nu het van de risico’s en wordt het tijd voor een nieuwe cloudstrategie voor de Rijksoverheid. Public clouddiensten kunnen tegen relatief lage kosten worden gebruikt en de risico’s zijn beter te beheersen dan voorheen. Van Huffelen geeft aan dat de grote cloud-aanbieders veel investeren en expertise inzetten voor het beveiligen van hun diensten. Hierdoor vindt zij dat public clouddiensten een aantrekkelijk perspectief zijn voor het ontwikkelen van een meer innovatieve, transparante, flexibele en efficiënte digitale Rijksoverheid.

Voorwaarden

Wel worden aan het gebruik van public clouddiensten voorwaarden gesteld. Zo is het gebruik van commerciële clouddiensten niet toegestaan voor het opslaan of verwerken van staatsgeheime informatie en er mogen geen diensten worden afgenomen van leveranciers uit landen met een actief cyberprogramma dat gericht is tegen Nederlandse belangen. Verder valt het ministerie van Defensie buiten de reikwijdte van het nieuwe beleid.

Daarnaast moeten alle ministeries voor het gebruik van public cloudiensten een risicoanalyse maken. Deze risicoanalyse moet beantwoorden aan een richtlijn die voor het einde van dit jaar door de CIO Rijk wordt opgesteld. De CIO Rijk monitort ook de toepassing van dit beleid en wordt betrokken bij besluitvorming over uitzonderingen.

Verder zijn belangrijke voorwaarden dat alle ministeries voor hun public clouddiensten een exit-strategie opzetten en de diensten in principe niet gebruiken voor het opslaan en verwerken van bijzondere persoonsgegevens en de basisregistratie persoonsgegevens. Alle opslag en verwerking van persoonsgegevens vindt plaats op een verantwoorde manier, die aansluit bij geldende privacy-vereisten.

Het toezicht op het gebruik van commerciële public clouddiensten door de Rijksoverheid komt te liggen bij de Autoriteit Persoonsgegevens.

Nieuwe strategie vervangt oude

De nieuwe cloudstrategie van de Rijksoverheid bevestigt eigenlijk al de dagelijkse praktijk. Ministeries gebruiken al jaren de systemen van Microsoft, waaronder Office en MS Teams. Via de nieuwe strategie kunnen de ministeries en aanverwante overheidsdiensten nu ook de public cloud-omgevingen en -diensten van andere aanbieders gebruiken, zoals AWS en Google Cloud.

In de oude strategie uit 2011 was dit nog niet mogelijk. In deze strategie werd nog sterk ingezet om private cloud-omgevingen voor de Rijksoverheid, in plaats van public cloud-omgevingen. Deze mogen dus nu ook worden ingezet.

Tip: Rijksoverheid staat Google Workspace onder overheidsinstellingen toe

Lees meer