Kabinet scherpt beleid voor gebruik clouddiensten door Rijksoverheid aan
Rijksorganisaties moeten bij het gebruik van publieke clouddiensten voortaan rekening houden met geopolitieke risico's en afhankelijkheid van één leverancier. Het kabinet scherpt het 'Rijkscloudbeleid' aan, om de digitale soevereiniteit van de Rijksoverheid te vergroten.
Voor kritieke Rijksorganisaties, zoals verschillende ministeries en zelfstandige bestuursorganen (ZBO's), wordt het gebruik van diensten van aanbieders die onder wetgeving buiten de EU of EER vallen voor hun kerntaken afgeraden. Voor e-mail en documentbeheer raadt het kabinet publieke clouddiensten helemaal af, zo meldt de Rijksoverheid.
Gebruik van clouddiensten biedt veel voordelen, maar brengt ook risico's met zich mee. Die risico's verschillen per clouddienst, organisatie en dienstverlening waarvoor de clouddienst wordt gebruikt. Om ervoor te zorgen dat overheidsdiensten veilig zijn en beschikbaar blijven, moeten Rijksorganisaties voldoen aan de voorwaarden van het Rijkscloudbeleid.
Cloudstrategie
Volgens staatssecretaris Willemijn Aerdts (Digitale Economie en Soevereiniteit) betekent digitale soevereiniteit dat de Nederlandse overheid kan kiezen voor een andere leverancier wanneer dat nodig is. "Kiezen wie toegang heeft tot onze gegevens en wie niet. En kiezen voor dienstverlening die ook in lastige situaties betrouwbaar en beschikbaar blijft. Met het nieuwe Rijkscloudbeleid verminderen we onze afhankelijkheden en vergroten we onze keuzevrijheid", aldus de staatssecretaris.
Organisaties binnen de Rijksoverheid die gebruikmaken van een publieke clouddienst, moeten vooraf een cloudstrategie opstellen. Daarin leggen zij vast waarom zij voor een publieke clouddienst kiezen, welke risico's daarbij horen en hoe zij die beperken. Het gaat onder meer om de afhankelijkheid van één leverancier en het risico dat een leverancier geheel of gedeeltelijk onder wetgeving buiten de EU of de Europese Economische Ruimte (EER) valt.
Aanvullende afspraken
Voor organisaties die in de toekomst onder de wet voor kritieke entiteiten vallen, zoals verschillende ministeries en zelfstandige bestuursorganen (ZBO's), wegen deze risico's extra zwaar. Daarom gelden voor hen aanvullende afspraken binnen het Rijkscloudbeleid en wordt het gebruik van diensten van aanbieders die onder wetgeving buiten de EU of EER vallen voor hun kerntaken afgeraden.
Bij het gebruik van belangrijke clouddiensten moeten overheidsorganisaties ook een exitplan opstellen. Daarin staat welke maatregelen zij treffen om de dienstverlening voort te zetten als een clouddienst (plotseling) uitvalt, zoals het kunnen overstappen naar een andere leverancier of zelfstandig verdergaan.
E-maildiensten en basisregistraties
E-mail- en documentdiensten worden in het nieuwe Rijkscloudbeleid aangemerkt als een nationaal belang. Daarom worden Rijksorganisaties afgeraden deze diensten in een publieke cloud onder te brengen.
Ook brondata van basisregistraties, zoals de Basisregistratie Personen en de Basisregistratie Kadaster, mogen niet in een publieke cloud worden beheerd. Zo blijven deze gegevens veilig en beschikbaar voor burgers, bedrijven en overheden.
Vier jaar tijd
Rijksorganisaties krijgen vier jaar de tijd om bestaande diensten aan het nieuwe beleid aan te passen. In complexe gevallen en om hoge kosten, risico's en desinvesteringen te voorkomen, kan die termijn worden verlengd.
Het nieuwe Rijkscloudbeleid geldt voor alle Rijksoverheidsorganisaties. Alleen het ministerie van Defensie en de hoge colleges van staat, waaronder de Eerste en Tweede Kamer, vallen buiten het beleid. Staatssecretaris Aerdts gaat de komende tijd met de medeoverheden in gesprek om te komen tot een overheidsbreed cloudbeleid.
DigiD
Het kabinet maakte eind mei bekend de overname van Solvinity door het Amerikaanse Kyndryl te blokkeren. Solvinity levert het platform waar DigiD op draait, het persoonlijk inlogsysteem dat door veel overheidsinstanties (waaronder de Belastingdienst en het UWV), zorgverleners en onderwijsinstellingen wordt gebruikt.
De VS zouden door de deal in bepaalde gevallen toegang kunnen krijgen tot de vertrouwelijke gegevens van veel burgers waarover DigiD beschikt. Het Nederlandse kabinet besloot daarom de overname tegen te houden. Solvinity stapte daarop naar de rechter; de rechtszaak hierover tegen de Nederlandse staat is op 6 juli gestart.
Gerelateerd
Begrotingstekort komt dit jaar boven EU-norm, economische groei lager dan verwacht
Het Nederlandse begrotingstekort komt dit jaar uit boven de norm vanuit de Europese Unie van 3 procent, verwacht De Nederlandsche Bank (DNB). Dat zou voor het eerst...
Nieuwe beveiligingseisen voor risicovolle rijksopdrachten
Bedrijven die vanaf dit jaar opdrachten uitvoeren voor de Rijksoverheid of politie waarbij risico's voor de nationale veiligheid spelen, moeten voldoen aan uniforme...
ADR gaf bij twee ministeries controleverklaring met beperking af
De Auditdienst Rijk (ADR) heeft bij twee van de onderzochte jaarverslagen van de verschillende ministeries een controleverklaring met beperking afgegeven. De ADR...
Rekenkamer: Rijksoverheid boekt weinig resultaat in 2025
Veel doelen die de Rijksoverheid voor de korte termijn had gesteld, zijn in 2025 niet gehaald. Veel langetermijndoelen zijn uit zicht. Onder meer op het gebied van...
Financieel Jaarverslag Rijk 2025: stabiele overheidsfinanciën in tijden van geopolitieke onzekerheid
2025 was een economisch stabiel jaar. Ondanks toenemende economische onzekerheid in de wereld, groeide de Nederlandse economie met 1,8 procent. Ook de overheidsfinanciën...
