Staatssecretaris Digitalisering en Koninkrijksrelaties Van Huffelen stuurde de Tweede Kamer op 29 augustus jl. een Kamerbrief inzake het Rijksbreed Cloudbeleid 2022. De brief bevat een uitwerking van de nieuwe visie op gebruik van commerciële clouddiensten door de Rijksoverheid. Dit beleid vervangt het eerdere beleid uit 2011, waarin nog gestreefd werd naar gebruik van eigen clouddiensten (Kamerstuk 26 643, nr. 179). Het bouwen van een eigen cloud voor overheidsgebruik is te complex. De inzet op gebruik van commerciële clouddiensten is daarom een belangrijke stap, waarbij Staatssecretaris Van Huffelen in haar kamerbrief terecht opmerkt dat “gebruik van publieke [commerciële, red.] clouddiensten door de Rijksoverheid naast voordelen ook potentiële risico’s met zich meebrengt.”
Van Huffelen schrijft: “In de eerste plaats gelden voorwaarden voor de verwerking van persoonsgegevens in publieke [commerciële, red.] clouddiensten. Dit vergt een goedgekeurde pre-scan gegevens-beschermingseffectbeoordeling (ook wel pre-scan DPIA genoemd). Bij hoog risico wordt een volledige data protection impact assessment (of formele DPIA) uitgevoerd, waarin zowel de verwerking zelf als de geldende grondslagen, de aard van de verwerking en de bijbehorende risico’s en maatregelen zijn beschreven.” Ook dienen cloudproviders geen toegang te hebben tot opgeslagen data en deze data dienen daarom versleuteld te zijn.
Het FD benoemt in een artikel van 30 augustus jl. naar aanleiding van de Kamerbrief van Van Huffelen, de samenwerking tussen 25 EU-lidstaten om te werken aan een volgende generatie van een Europese cloud met de hoogste normen voor gegevensbescherming en cyberbeveiliging. “Ze [Van Huffelen, red.] ziet dit niet zozeer als een poging om daadwerkelijk een cloud te ontwikkelen voor Europese landen, ‘maar meer als een stelsel van onderlinge afspraken’ en zegt zich los van het nu voorgestelde cloudbeleid daarvoor in te zetten.”
De invulling daarvan is onder andere de Gaia-X referentie architectuur, gebaseerd op Europese waarden zoals datasoevereiniteit, veiligheid en transparantie. Daarmee kan interoperabiliteit worden gerealiseerd tussen verschillende cloudproviders en worden er op internationaal niveau afspraken gemaakt omtrent het soeverein uitwisselen van data, waarbij de controle over de data bij de eigenaar blijft liggen.
Alhoewel Van Huffelen vermeldt dat het nieuwe cloudbeleid niet tot doel heeft om de komst van een Europese cloud te stimuleren of de concurrentie op deze markt te versterken, draagt een federatieve data- en cloudinfrastructuur bij aan onze digitale soevereiniteit, waarmee we ons verdienvermogen een impuls geven en politiek en economisch minder kwetsbaar zijn.
