Waarschuwing voor 'stille verhuizing' overheids-ict

De overheid verhuist stilletjes cruciale ict-diensten naar de servers van (met name) Microsoft. Daarvoor waarschuwt Bert Hubert, cybersecurity-ondernemer en voormalig toezichthouder op de geheime diensten, in een blogpost. Hij slaat alarm, omdat het gaat om politieke beslissingen die weloverwogen moeten worden gemaakt.

Verhuizing van plan of in gang

Hubert baseert zijn uitspraken op recente gesprekken met onder meer demissionair minister van EZK Micky Adriaansens, demissionair staatssecretaris digitalisering Alexandra van Huffelen, cloudaanbieders, (top-)ambtenaren, onderzoekers en politici. Uit die gesprekken maakt hij op dat diverse overheidsorganisaties en departementen voornemens of bezig zijn met een verhuizing van hun communicatie en bestanden naar Amerikaanse clouddiensten. Tweede Kamerlid Babara Kathmann (GroenLinks-PvdA) heeft een debat over de kwestie aangevraagd, kondigt ze aan op X.

Eerder concludeerde Forum Standaardisatie al dat een meerderheid van de aanbestedingen uit 2022 betrekking had op cloudsystemen. Het gaat soms om grote migraties. Zo zijn er concrete signalen dat het Shared Service Center ICT (SSC-ICT), beheerder van de werkplekken van 50.000 ambtenaren en zeven ministeries, van plan is om alle applicaties naar Microsoft te verhuizen.

Noodsignalen

‘Van allemaal kanten bereiken me noodsignalen dat de trein richting zo’n Microsoft-monopolie goed doorrijdt,’ schrijft Hubert. Om de overstap soepel te laten verlopen, heeft Nederland het Strategisch Leveranciers Management Rijk (SLM Rijk) in het leven geroepen, wat in het buitenland al spottend ‘The ministry for Microsoft’ zou worden genoemd.

Uit onderzoek van de NOS blijkt dat de Eerste en Tweede Kamer, de Rekenkamer, de Nationale Ombudsman, de Nederlandse Zorgautoriteit, de Kamer van Koophandel, de Nederlandse Bank en de Autoriteit Financiële Markten (gedeeltelijk) gebruikmaken van clouddiensten van Microsoft. De departementen zouden volgens het Rijkscloudbeleid een gedegen risicoafweging moeten maken, maar deze hoeven ze niet openbaar te maken. Hubert stelt dat niemand die hij heeft gesproken, zo’n document heeft gezien.

Digitale soevereiniteit

Een overstap naar een Amerikanse cloudleverancier is onder meer aantrekkelijk omdat de zorg voor de ICT-infrastructuur uit handen wordt genomen en omdat het financieel interessant is. Maar het komt de Nederlandse digitale soevereiniteit niet ten goede als de overheid in grote getalen informatie over Nederland op Amerikaanse servers zet. Daar maken experts zich om verschillende redenen zorgen over. Zo raakt de Nederlandse overheid steeds meer ICT-kennis kwijt, waardoor de afhankelijkheid van buitenlandse leveranciers groeit. Amerikaanse inlichtingendiensten hebben het wettelijk recht om informatie die bij Amerikaanse cloudleveranciers staat opgeslagen op te vragen, zelfs al staat de informatie fysiek in Nederland. Een ander punt van zorg zijn de beveiligingsproblemen bij Microsoft. De kans dat Chinese, Russische of Iraanse staatshackers bij de Nederlandse overheidsinformatie kunnen, is niet denkbeeldig.