Rijk heeft geen grip op cloudgebruik

‘Donkere wolken pakken samen’. De ondertitel van het rapport ‘Het Rijk in de cloud’ liegt er niet om. Waar de onderzoekers van de Algemene Rekenkamer intern nog weleens grappen dat journalisten íeder rekenkameronderzoek ‘vernietigend’ noemen, is het in dit geval de rekenkamer zelf die de conclusies als ‘zorgelijk’ bestempelt.

Onvoldoende grip

De Algemene Rekenkamer onderzocht het cloudgebruik van de diverse ministeries en komt tot de conclusie dat de rijksoverheid hier onvoldoende grip op heeft. ‘Het rijk is in de afgelopen tien jaar ondoordacht de cloud in gegaan, in de meeste gevallen zonder de risico’s af te wegen,’ zegt Ewout Irrgang, collegelid van de Algemene Rekenkamer. ‘Dat is op zichzelf al zorgelijk, maar daar is de veranderende geopolitieke situatie bijgekomen, met toenemende cyberaanvallen, zoals  de Chinese hack van Microsoft. We zijn steeds afhankelijker van Amerikaanse cloudpartijen.’ Dat brengt risico’s met zich mee voor soevereiniteit, continuïteit van de dienstverlening en bescherming van gegevens van burgers en bedrijven.

In het herziene Rijksbreed cloudbeleid uit 2022 werd vastgelegd dat de departementen voortaan onder een aantal voorwaarden mochten gebruikmaken van public cloud (een cloud die door meerdere partijen wordt gebruikt). In de praktijk deden ze dat soms al langer, onder meer omdat ze door softwareleveranciers weinig keuze werd gelaten. Het onderzoek van de Algemene Rekenkamer richt zich op de vraag of de departementen zich aan de voorwaarden uit het cloudbeleid houden. Zo moeten ministeries zicht hebben op hun cloudgebruik en risicoafwegingen maken voor ‘materieel’ public cloudgebruik. Dat is cloudgebruik voor de primaire taak van de organisatie, zoals belastinginning of visumverlening.

Kwart is onbekend

Elk ministerie maakt gebruik van public cloud. Het rijk gebruikt 700 public clouddiensten (44 procent) en 477 private clouddiensten (bijvoorbeeld een overheidsdatacenter of een hybrid cloud, een mengvorm). Meer dan de helft van de materieel public cloud-diensten wordt bij Microsoft, Amazon en Google ingekocht.

Cloudtype onbekend

Volgens het cloudbeleid moet een ministerie een overzicht hebben van zijn clouddiensten, zodat het kan sturen op alle verplichtingen. Van 411 clouddiensten (26 procent) is echter onbekend welke vorm het is. ‘Daar schrokken wij ook van,’ zegt Irrgang. ‘En minstens zo erg schrok ik ervan dat voor de belangrijkste contracten in tweederde van de gevallen het risico überhaupt niet eens afgewogen is. Eén van onze aanbevelingen luidt om dat alsnog te doen. Daar heeft de staatssecretaris van Binnenlandse Zaken een rol in.’

Definitie onduidelijk

De rekenkamer vroeg de departementen om in het overzicht aan te geven of het ‘materieel’ public cloudgebruik betrof, dus bedoeld voor de primaire taak. Die vraag was voor sommige departementen al niet eenvoudig te beantwoorden. Irggang: ‘De definitie van ‘materieel’ is niet duidelijk. Die verschilt per ministerie. Wij zien ook contracten waarvan wij denken: is dit niet materieel?’

Van de 700 public clouddiensten zijn er 126 aangeduid als ‘materieel’. Hiervoor moet verplicht een risicoanalyse worden gemaakt. In 84 gevallen (67 procent) is dit niet gebeurd. ‘Hierdoor blijft bijvoorbeeld het risico bestaan dat gegevens niet goed beschermd zijn of dienstverlening ongewenst kan stoppen’ schrijft de rekenkamer. Het maakt het ook nogal lastig voor de staatssecretaris digitalisering om – via CIO-Rijk – bij te sturen op risico’s die een individueel ministerie overstijgen. Uit een eerder onderzoek van de Auditdienst Rijk bleek al dat de kwaliteit van de gemaakte risicoanalyses sterk varieert.

Principes niet gewaarborgd

Voor drie belangrijke public cloud-contracten onderzocht de Algemene Rekenkamer of de overheid de principes soevereiniteit, continuïteit en gegevensbescherming voldoende had gewaarborgd. De conclusie luidt dat de betreffende ministeries onvoldoende maatregelen nemen om die principes te beschermen. Dit betekent dat het rijk risico’s loopt, bijvoorbeeld als een cloudprovider failliet gaat en het rijk producten of diensten voor burgers en bedrijven niet meer kan leveren. Een ander risico is dat gegevens van burgers en bedrijven in handen vallen van hackers. Dit gebeurde recent bijvoorbeeld met de contactgegevens van alle Nederlandse politiemedewerkers.

Het gebrek aan grip op cloudcontracten komt onder meer doordat er veel schijven tussen het ministerie en de cloudprovider zitten en afspraken in meerdere contracten worden vastgelegd. Uit het rapport: ‘Kennis over die afspraken is binnen de ministeries beperkt aanwezig. Het ontbreekt aan een volledig overzicht van en inzicht in alle contractuele afspraken. Dit is problematisch, want juist die contractuele voorwaarden zouden de risico’s moeten beheersen.’

Eén overheid

De Algemene Rekenkamer doet een aantal aanbevelingen naar het rijk. De belangrijkste: stel je richting de grote clouddienstleveranciers op als één samenwerkende overheid, die kaders stelt, regels hanteert, risico’s mitigeert en zijn eigen positie versterkt ten opzichte van de leveranciers en andere gebruikers van de cloud. Hiervoor is het nodig dat het rijk zicht heeft op het eigen cloudgebruik en veel gerichter kansen, risico’s en alternatieven afweegt. Niet alleen voordat er een cloudleverancier wordt gekozen, maar ook tijdens het cloudgebruik.

Staatssecretaris Szabó van digitalisering kan zich goed vinden in de adviezen en neemt ze mee in de herzieningen van het cloudbeleid en het implementatiekader, schrijft hij in een reactie. ‘Ik sta voor de één overheidsgedachte en ik wil de medeoverheden en zbo’s betrekken in de vernieuwing van het cloudbeleid, en te komen tot één cloudbeleid voor de gehele overheid. Deze gedachte wordt ook meegenomen in de Nederlandse Digitaliseringsstrategie (NDS), welke momenteel uitgewerkt wordt.’ Irrgang noemt dat verstandig: ‘Tegen big tech helpt geen small government.’