De Nederlandse overheid wil al sinds 2017 het Toeslagen Verstrekkingen Systeem (TVS) op Microsoft Azure draaien. Echter duurt het veel te lang voordat deze cloudtransitie is voltooid, concludeert het Adviescollege ICT-toetsing. Men biedt de betrokken partijen verschillende adviezen om veel slagvaardiger te zijn.
TVS wordt door de Dienst Toeslagen gebruikt om toeslagen toe te kennen en uit te betalen. 95 procent van alle vereiste verwerkingen vinden binnen dit programma plaats, terwijl het restant grotendeels handwerk is. Ondanks dat gebruikers spreken over een ‘stabiel systeem’, klaagt men over arbeidsintensieve, foutgevoelige handelingen en verschillende workarounds voor een aantal problemen.
De transitie naar Azure zou soelaas moeten bieden. De hoop is dat een cloudgebaseerd TVS wendbaarder, productiever en hoogwaardiger wordt. Het automatiseren van processen zou daarnaast de Informatievoorziening van de Belastingdienst (IV) een aantrekkelijkere werkplek kunnen maken. Echter stelt het Adviescollege dat er nog veel werk aan de winkel is voordat de Dienst Toeslagen de cloudtransitie kan voltooien.
Te weinig betrokkenheid
Allereerst ziet het Adviescollege dat er nog geen DPIA (Data protection impact assessment) gedaan is. Dit is een verplichte stap voor organisaties die gevoelige informatie (in dit geval persoonsgegevens) verwerken. Momenteel vindt dit dataverkeer plaats binnen het Hosting Platform voor Toeslagen (HPT) op de omgeving van Data Center Services (DCS) van de Belastingdienst. De verplaatsing richting Microsofts public cloud zou alleen mogelijk zijn als de veiligheid en privacy gegarandeerd kan worden, maar zonder DPIA is dat niet geverifieerd.
Het Adviescollege stelt dat er binnen zes maanden uitsluitsel op dit gebied moet zijn. Immers kunnen betrokkenen bij een eventueel negatief advies kijken naar verbeteringen voor de huidige on-prem omgeving. In dat geval dient er een “terugvalscenario” gereed te zijn, aldus het advies.
Ook zou de Dienst Toeslagen sterker betrokken moeten zijn bij de cloudtransitie. Er moet volgens het Adviescollege duidelijk worden welke verbeteringen precies moeten plaatsvinden. Tevens wil de Belastingdienst graag de 133 componenten grotendeels vervangen door services, maar dit spant volgens het advies de kar voor de wagen. Eerst moet het volledige TVS draaien op de public cloud in een testvorm, vervolgens is er te kijken naar verbeteringen, aldus het Adviescollege.
Dit vat men samen onder een ‘voortvarende’ en ‘verantwoorde’ productie, met “een goede CI/CD ontwikkelstraat” om ontwikkeling continu bij te houden.
Opvallend traag
De omschreven problemen lijken overbrugbaar, maar dat maakt het des te curieuzer dat er in de zeven jaar sinds de uitgesproken wil voor een cloudtransitie zo weinig voortgang is geboekt. Een DPIA is verplicht op basis van de AVG (GDPR), die in 2016 werd goedgekeurd door de EU en sinds 2018 in werking is gesteld. Momenteel is de veiligheid en privacy van persoonlijke data in de public cloud nog altijd een groot vraagstuk, zeker omdat de drie voornaamste cloudspelers (Microsoft, AWS en Google Cloud) allemaal Amerikaans zijn.
Het is nog altijd een onbeantwoorde vraag of deze bedrijven verplicht zijn data van Europeanen voor de Amerikaanse overheid beschikbaar te stellen. Om deze zorgen weg te nemen, heeft Microsoft inmiddels het Cloud for Sovereignty-aanbod op poten gezet. Als de beoogde cloudtransitie van de Belastingdienst al duidelijker in kaart was gebracht, hadden oplossingen als deze al doorslaggevend kunnen zijn.
Lees verder: Microsoft Cloud for Sovereignty lijkt wassen neus
18 uur geleden
Expert bijdrage
