Algemene Rekenkamer: Rijksoverheid denkt niet goed na over risico’s van werken in de cloud

De Rijksoverheid gebruikt steeds vaker de cloud – hardware, software en gegevens via internet – om beter te presteren en te functioneren. Cloud kan de dienstverlening van de overheid verbeteren en/of de bedrijfsvoering efficiënter maken. Maar het gebruik van cloud brengt ook risico’s met zich mee voor soevereiniteit van de overheid, continuïteit van de overheidsdienstverlening en bescherming van gegevens van burgers en bedrijven. Bijvoorbeeld als gegevens bij de cloudaanbieder opgevraagd worden door andere staten of als een cloudaanbieder failliet gaat of gehackt wordt

De Algemene Rekenkamer concludeert in het rapport Het Rijk in de cloud – Donkere wolken pakken samen dat het Rijk maar beperkt zicht heeft op clouddiensten.Voor twee derde van de belangrijkste clouddiensten zijn niet de vereiste risicoafwegingen gemaakt. De Rekenkamer is bezorgd omdat dienstverlening aan burgers en bedrijven daardoor te veel risico loopt. De mogelijke schade kan de maatschappij ontwrichten

Verantwoorde inzet

Een goed functionerende en presterende rijksoverheid vereist een verantwoorde inzet van cloud, waarbij de kansen benut worden en de risico’s beheerst. Volgens de Algemene Rekenkamer is zicht op het gebruik van cloud hierbij cruciaal. Alleen als bekend is hoe het Rijk cloud gebruikt en wat de kansen en de risico’s zijn, kunnen ministers en het parlement sturen op een verantwoorde inzet. Met het rapport Het Rijk in de cloud, gepresenteerd op 15 januari 2025 aan de Tweede Kamer, draagt de Algemene Rekenkamer daaraan bij.

In 2022 heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) het Rijksbreed cloudbeleid herzien. Waar het gebruik van public cloud eerst niet was toegestaan, is dat binnen het Rijk nu onder voorwaarden mogelijk. Deze voorwaarden zijn bijvoorbeeld dat ministeries zicht hebben op hun cloudgebruik en dat zij risicoafwegingen maken. De Rekenkamer heeft onderzocht of ministeries zich aan zulke voorwaarden houden. Er zijn bij het gebruik van cloud door het Rijk drie principes belangrijk voor de dienstverlening van de overheid aan burgers en bedrijven: soevereiniteit, continuïteit en gegevensbescherming.
De Rekenkamer heeft voor drie public cloud-contracten onderzocht of deze principes voldoende zijn gewaarborgd.
.
Wat is de cloud?

Cloudcomputing is het via het internet gebruikmaken van hardware, software en gegevens. De fysieke cloudomgeving (hardware) kan zich overal in de wereld bevinden. Wanneer de middelen in een cloud door één organisatie worden gebruikt, gaat het om private cloud. Een cloud die door meerdere partijen wordt gebruikt is een public cloud. Dit zijn IT-termen, die niet verward moeten worden met de Nederlandse aanduiding van publiek en privaat, bijvoorbeeld voor organisaties. Grote commerciële partijen – zoals Microsoft – bieden juist vaak public cloud aan en ‘eigen’ overheidsdienstencentra bieden juist vaak private cloud aan. Public cloud wordt bijvoorbeeld gebruikt bij kantoorautomatisering voor ministeries, systemen voor weerdata en systemen voor communicatie met burgers en bedrijven. Het borgen van soevereiniteit, continuïteit en gegevensbescherming is hierbij cruciaal.

Belangrijkste conclusies

1. Het Rijk heeft beperkt zicht op clouddiensten.
2. Het Rijk maakt onvoldoende strategische risicoafwegingen.
3. Het Rijk waarborgt onvoldoende de principes (digitale) soevereiniteit, continuïteit van de dienstverlening en de gegevensbescherming in drie onderzochte public cloud-contracten.

Op basis van het onderzoek concludeert de Rekenkamer dat het Rijk ondoordacht cloud is gaan gebruiken en nu onvoldoende grip op heeft op zijn cloudgebruik. De Rekenkamer beoordeelt het cloudgebruik door het Rijk dan ook als zorgelijk. De dienstverlening aan burgers en bedrijven en de continuïteit van het functioneren van de overheid lopen immers teveel risico. De mogelijke schade van verstoorde overheidsdienstverlening kan Nederland en de maatschappij ontwrichten. Daarnaast kan cloudbeleid – en de uitvoering hiervan – niet los worden gezien van een context waarin geopolitieke ontwikkelingen verontrustend zijn.

Aanbevelingen

Het rapport eindigt met een aantal aanbevelingen. Een algemene aanbeveling aan alle ministers luidt: Om soevereine, continue en veilige overheidsdienstverlening te borgen is het zaak dat het Rijk richting de grote clouddienstverleners als één samenwerkende overheid kaders stelt, regels hanteert, risico’s mitigeert en zijn positie ten opzichte van leveranciers en andere gebruikers van de cloud versterkt. Hiervoor is het nodig dat het Rijk beter zicht heeft op het eigen cloudgebruik en veel gerichter kansen, risico’s en alternatieven afweegt voorafgaand aan, maar ook tijdens cloudgebruik.

In december 2024 ontving de Rekenkamer van staatssecretaris Digitalisering Zsolt Szabó een reactie op het conceptrapport. Hij schrijft dat hij de hoofdconclusie van de Algemene Rekenkamer deelt, dat het cloudgebruik van het Rijk zorgelijk is en dat verbetering nodig is. Er is inderdaad meer sturing en toezicht van zijn kant nodig.
Eerder, in november 2024, heeft Szabo een nieuwe Nederlandse Digitaliseringsstrategie (NDS) aangeboden aan de Tweede Kamer.

Downloaden rapport Het Rijk in de cloud, Algemene Rekenkamer, 19 december 2024. Gepresenteerd aan de Tweede Kamer op 15 januari 2025: https://beroepseer.nl

Het Rijk in de cloud – Donkere wolken pakken samen, Algemene Rekenkamer 15 januari 2025: www.rekenkamer.nl/publicaties/rapporten/2025/01/15/het-rijk-in-de-cloud

Algemene Rekenkamer: www.rekenkamer.nl

Kamerbrief over uitgangspunten, het proces en de breedte van de Nederlandse Digitaliseringsstrategie (NDS), 7 november 2024: www.rijksoverheid.nl/documenten/kamerstukken/2024/11/07/tk-startbrief-digitalisering

Overheid herziet cloudbeleid wegens zorgen over leveranciers VS, door Pim van der Beek, Computable, 21 oktober 2024: www.computable.nl/2024/10/21/overheid-herziet-cloudbeleid-wegens-zorgen-over-leveranciers-vs/