De rijksoverheid is ondoordacht gaan werken in de cloud en denkt onvoldoende na over de risico’s. De Algemene Rekenkamer concludeert in het rapport Donkere wolken pakken samen dat het rijk maar beperkt zicht heeft op clouddiensten. Voor tweederde van de belangrijkste clouddiensten zijn niet de vereiste risicoafwegingen gemaakt. De Rekenkamer is bezorgd, omdat dienstverlening aan burgers en bedrijven daardoor te veel risico loopt. De mogelijke schade kan onze maatschappij ontwrichten.
Het rijk gebruikt steeds vaker de cloud (hardware, software en gegevens via internet). Dit doet het rijk om beter te presteren en te functioneren. Cloud kan de dienstverlening van de overheid verbeteren en de bedrijfsvoering efficiënter maken. De Algemene Rekenkamer onderzocht het gebruik van cloud door het rijk. Uit het onderzoek blijkt dat het rijk hier al volop gebruik van maakt. Elk ministerie werkt ermee. Er zijn verschillende kansen en risico’s verbonden aan het gebruik van cloud. Deze factoren zijn belangrijk voor alle (rijks)organisaties die gebruik maken van cloud. Kansen zijn: kostenbesparing, beschikbaarheid, innovatiekracht en beveiliging, Risico’s zijn: toegang statelijke actoren, afhankelijkheid, gegevensbescherming en continuiteit dienstverlening.
Uit het onderzoek blijkt dat het rijk beperkt zicht heeft op het gebruik van clouddiensten. Van de in totaal 1.588 in het onderzoek gerapporteerde clouddiensten bij het rijk is van ruim een kwart (26%) niet bekend om welke vorm van cloud het gaat. Dit is verontrustend: de soort cloud is een fundamenteel gegeven.
Onvoldoende risicoafwegingen
Het rijksbrede cloudbeleid stelt als voorwaarde dat het maken van een risicoafweging een vereiste is voor het werken in de cloud. Het is zaak dat ministeries zicht hebben op hun cloudgebruik en in de voorbereiding al risicoafwegingen maken. De Rekenkamer concludeert dat ministeries onvoldoende strategische risicoafwegingen maken bij de toepassing van public cloud. Van de 126 belangrijkste public cloud-diensten is er bij 84 (67%) geen risicoafweging gemaakt. Hierdoor blijft bijvoorbeeld het risico bestaan dat gegevens niet goed beschermd zijn of dienstverlening opeens ongewenst kan stoppen. Ook kan de staatssecretaris van Digitalisering moeilijk bijsturen op ministerieoverstijgende cloudrisico’s.
Risico’s niet beheerst in grote cloudcontracten
De Rekenkamer heeft met name de belangrijkste public clouddiensten onderzocht. Het gaat dan om diensten die betrekking hebben op de primaire taken van de organisatie, zoals kantoorautomatisering bij ministeries, weerdata van het KNMI en de klantgegevens in de zorg. We zien in de afgesloten contracten dat risico’s niet goed worden beheerst. Meer dan de helft van deze belangrijkste publieke clouddiensten wordt bij de Amerikaanse bedrijven Amazon, Microsoft en Google ingekocht. Het gebruik ervan brengt risico’s met zich mee voor de overheid zelf en voor burgers en bedrijven. Bijvoorbeeld als buitenlandse overheden gegevens opeisen bij de cloudaanbieder, of als zo’n bedrijf failliet gaat of gehackt wordt.
Beleid verschillend per ministerie
Het rijksbrede cloudbeleid stelt als voorwaarde bij gebruik van clouddiensten dat ministeries zowel een cloudstrategie als -beleid opstellen. Uit het onderzoek blijkt dat cloudstrategieën en cloudbeleid per ministerie verschillen. Door deze versnippering is het voor alle betrokken partijen lastig om afspraken te maken, bijvoorbeeld tussen ministeries, overheidsdatacentra en cloudleveranciers. De belangrijkste aanbeveling van de Rekenkamer is dan ook aan het kabinet: het rijk moet richting de grote clouddienstverleners als één samenwerkende overheid optreden. Door als één overheid kaders te stellen, regels te hanteren en risico’s te beheersen, kan het rijk zijn positie ten opzichte van leveranciers en andere gebruikers van de cloud versterken. Hiervoor is het nodig dat het rijk veel gerichter kansen, risico’s en alternatieven afweegt. Hiervoor kan gebruik worden gemaakt van centrale inkooppartijen zoals het Strategisch Leveranciersmanagement (SLM).
Collegelid van de Algemene Rekenkamer Ewout Irrgang is bezorgd over de bevindingen: ‘Laat ik het onomwonden zeggen: het risico bestaat dat buitenlandse regeringen, met name de VS, informatie van de Nederlandse rijksoverheid of van burgers kunnen inzien en wellicht zelfs aanpassen. Of ze dat doen is een tweede, maar als ze willen, dan kan het.’
Irrgang is daarnaast ongerust over de dienstverlening voor burgers en bedrijven:
‘Die is niet gegarandeerd wanneer bijvoorbeeld kantoorautomatisering het niet meer doet. Het is dan ook zaak dat de ministeries samenwerken om als één overheid grip te krijgen op hun cloudgebruik. Gelukkig heeft staatssecretaris Szabó van Koninkrijksrelaties en Digitalisering laten weten het rapport te onderschrijven. Hij wil graag aan de slag. Ik roep het kabinet als geheel op om de ministeries minder vrijblijvend te laten samenwerken.’
Lees het volledige rapport van de Algemene Rekenkamer via de volgende link:
🔗 Het rijk in de cloud.
Beeld PxHere
geen zegt
De kerntaak van de rekenkamer is om bezorgd te zijn.
Het onderzoek geeft mooi aan dat iets wat simpel begint, zoals als kantoorautomatisering, heel geleidelijk verandert in iets totaal anders. Een traag proces van bezuinigen, onvoldoende inhoudelijke (de markt kan immers alles beter) kennis (welk IT-project gaat bij de overheid wel goed?), de drang tot outsourcen en de verlokkingen van de technische mogelijkheden zijn er samen goed voor dat je iets krijgt wat niet goed doordacht is.
Gaat het bij de provincies en gemeentes beter?
Kan dat anders? En hoe dan? Of heeft de rekenkamer daar ook iets in gedachte?