Nieuw cloudbeleid

Overheden mogen commerciële clouddiensten gaan gebruiken

29 augustus 2022 om 21:59
Laatste update: 29 augustus 2022 om 22:12

Overheden mogen onder strikte voorwaarden gebruik gaan maken van clouddiensten van commerciële bedrijven. Dat schrijft staatssecretaris Alexandra van Huffelen (Digitalisering) aan de Tweede Kamer. Tot nu toe mocht dat niet vanwege risico's rond privacy en beveiliging.

"Anders dan een paar jaar geleden winnen de voordelen het nu van de risico’s", aldus Van Huffelen. Clouddiensten van bedrijven, zoals WeTransfer of Dropbox, zijn vaak goedkoper dan diensten die de overheid zelf ontwikkelt. "Ook zijn de veiligheidsmogelijkheden uitgebreid en geeft de grootschalige uitrol van updates en patches de mogelijkheid veel sneller te reageren op fouten in software dan in het verleden", schrijft de staatssecretaris.

Voorwaarden

Overheidsinstanties die gebruik willen maken van commerciële clouddiensten moeten straks voldoen aan 'strikte voorwaarden', vooral op het gebied van beveiliging en privacy. Zo mogen ambtenaren geen staatsgeheimen opslaan in de cloud. Ook mag het ministerie van Defensie nog altijd geen commerciële clouddiensten gebruiken.

Verder mogen overheden geen gebruik maken van diensten uit landen met 'een actief cyberprogramma dat gericht is tegen Nederlandse belangen', zoals Rusland en China. Als bijvoorbeeld een Amerikaanse clouddienst later wordt overgenomen door een Chinees staatsbedrijf, dan moet het contractueel mogelijk zijn om direct uit die dienst te stappen.

Privacy-risico's

De opslag en verwerking van persoonsgegevens in de cloud moet binnen de privacywet AVG plaatsvinden. Ook moet er vooraf een analyse worden gemaakt van de privacy-risico's die aan het gebruik van een bepaalde clouddienst kleven. "Elk departement is zelf verantwoordelijk om de relevante risico’s van het gebruik van een publieke cloudtoepassing in beeld te hebben en tijdens het gebruik in beeld te houden."

Er komt voor het einde van het jaar een nieuwe richtlijn voor de afweging van de risico's van het cloudgebruik. De nieuwe cloudstrategie vervangt het huidige beleid, dat dateert uit 2011.