Het Rijk in de cloud
Cloud computing is het via het internet gebruiken van hardware, software en gegevens. De fysieke cloudomgeving (hardware) kan zich overal in de wereld bevinden. Als meerdere partijen gebruikmaken van een cloud noemen we dat ‘public cloud’. In augustus 2022 heeft de minister van BZK het cloudbeleid van het Rijk herzien. Onder voorwaarden kan ook het Rijk nu gebruik maken van ‘public cloud’: bijvoorbeeld bij Google, Amazon en Microsoft.
Het gebruik van public cloud neemt toe. De IT-ontwikkelingen dwingen gebruikers zoals de Rijksoverheid richting de cloud. Een voorbeeld daarvan is de kantoorapplicatie Microsoft 365. Softwareontwikkelaars en IT-leveranciers investeren minder in ‘niet-cloud’-toepassingen. Het gaat zelfs zo ver dat nieuwe innovatieve functionaliteit alleen maar via cloud beschikbaar is. Een recent voorbeeld hiervan is ChatGPT.
Naast de voordelen zien wij ook risico’s bij cloudgebruik:
- Soevereiniteit. Zijn we (straks) nog wel eigenaar van onze eigen data? Kunnen we nog bepalen en controleren wie er toegang heeft tot onze data en hoe deze worden gebruikt? Kunnen wij ‘de cloud’ wel controleren?
- Continuïteit van dienstverlening. Is de dienstverlening aan burgers en bedrijven niet te afhankelijk geworden van één leverancier? Zijn er alternatieven en/of terugvalopties? Kunnen we nog wel overstappen?
- Gegevensbescherming. Zijn de gegevens van burgers en bedrijven bij de grote marktpartijen wel goed beschermd?
Deze risico’s zijn er altijd bij uitbesteding van IT-diensten. Maar de omvang van de risico’s kan bij cloud anders zijn. Daarom is het belangrijk om dit te onderzoeken.
Wat onderzoeken we?
Wij voeren dit onderzoek uit aan de hand van 2 hoofdvragen.
- In hoeverre handelen CIO-Rijk en de departementale CIO’s conform het beleid- en implementatiekader cloud?
- In hoeverre is de soevereiniteit, continuïteit van de dienstverlening en de gegevensbescherming gewaarborgd voor 3 geselecteerde public cloud-contracten?
Waarom onderzoeken we dit?
Wij willen met dit onderzoek inzicht bieden in de risicobeheersing van het cloudgebruik door het Rijk. Het onderzoek kan verbeterpunten opleveren voor beleid en uitvoering en handvatten bieden voor een betere risicobeheersing op cloudgebruik.
Bijdragen aan dit onderzoek?
De Algemene Rekenkamer nodigt u van harte uit om informatie te delen die wij kunnen gebruiken bij ons onderzoek. We stellen uw bijdrage, mededelingen of ervaringen over dit onderwerp dan ook op prijs. Informatie kunt u delen door een mail te sturen naar bijdrage@rekenkamer.nl.
We nemen alle bijdragen in overweging en zullen deze met zorg behandelen. Houd er wel rekening mee dat u niet automatisch feedback ontvangt over uw bijdrage.