Het Rijk in de cloud – donkere wolken pakken samen

De Rekenkamer is bezorgd omdat dienstverlening aan burgers en bedrijven daardoor te veel risico loopt. De mogelijke schade kan onze maatschappij ontwrichten. Werken in de cloud kan de overheid efficiënter maken en haar dienstverlening verbeteren. Uit het onderzoek blijkt dat het Rijk hier al volop gebruik van maakt. Elk ministerie werkt ermee. Van de in totaal 1.588 in het onderzoek gerapporteerde clouddiensten bij het Rijk is van ruim een kwart (26%) niet bekend om welke vorm van cloud het gaat. Dit is verontrustend: de soort cloud is een heel basaal gegeven.

Van de door de ministeries gerapporteerde clouddiensten is van een kwart onbekend welke vorm het is

Risico’s vaak niet afgewogen, sturing moeilijk

De Rekenkamer heeft met name de belangrijkste public cloud-diensten onderzocht. Het gaat dan om primaire taken van de organisatie. Denk aan kantoorautomatisering bij ministeries, weerdata van het KNMI en de klantgegevens in de zorg. Meer dan de helft van deze belangrijkste public cloud-diensten wordt bij de Amerikaanse bedrijven Amazon, Microsoft en Google ingekocht. Het gebruik ervan brengt risico’s met zich mee voor de overheid zelf en voor burgers en bedrijven. Bijvoorbeeld als buitenlandse overheden gegevens opeisen bij de cloudaanbieder, of als zo’n bedrijf failliet gaat of gehackt wordt. Het is zaak dat ministeries zicht hebben op hun cloudgebruik en in de voorbereiding al risicoafwegingen maken. De Rekenkamer ziet dat ministeries onvoldoende strategische risicoafwegingen hebben gemaakt om public cloud te gaan gebruiken. Van de 126 belangrijkste public cloud-diensten is er bij 84 (67%) geen risicoafweging gemaakt. Hierdoor blijft bijvoorbeeld het risico bestaan dat gegevens niet goed beschermd zijn of dienstverlening opeens ongewenst kan stoppen. Ook kan de staatssecretaris van Digitalisering moeilijk bijsturen op ministerie-overstijgende cloudrisico’s.

Het Rijk heeft bij twee derde van de belangrijkste public cloud-diensten geen risicoafweging gemaakt

Beleid verschillend per ministerie

De cloudstrategie en het cloudbeleid verschillen per ministerie. Door deze versnippering is het voor alle betrokken partijen lastig om afspraken te maken, bijvoorbeeld tussen ministeries, overheidsdatacentra en cloudleveranciers. De belangrijkste aanbeveling van de Rekenkamer is dan ook aan het kabinet: het Rijk moet richting de grote clouddienstverleners als één samenwerkende overheid optreden. Door als één overheid kaders te stellen, regels te hanteren en risico’s te beheersen kan het Rijk zijn positie ten opzichte van leveranciers en andere gebruikers van de cloud versterken. Hiervoor is het nodig dat het Rijk veel gerichter kansen, risico’s en alternatieven afweegt.

Aanpak van onderzoek

Voor dit onderzoek hebben wij een inventarisatie over cloudgebruik uitgezet bij alle departementen. Ook hebben we medewerkers van die ministeries geïnterviewd, evenals externe experts. Daarnaast hebben we drie grote public cloud-contracten onderzocht om te zien of zij voldoen aan waarborgen op het gebied van soevereiniteit, continuïteit van dienstverlening en gegevensbeveiliging.

Reactie minister en nawoord Algemene Rekenkamer

De staatssecretaris van Koninkrijksrelaties en Digitalisering heeft bestuurlijk gereageerd op de conclusies en aanbevelingen. Hij geeft in zijn reactie aan dat hij onze hoofdconclusie deelt dat het cloudgebruik van het Rijk zorgelijk is en dat verbetering nodig is. Hij geeft aan dat inderdaad meer sturing en toezicht van zijn kant nodig is. Wij hebben het onderzoek in een briefing aan de Tweede Kamer toegelicht en gepresenteerd op 15 januari 2025. (bron) (link volledige rapport)