Vicepresident Algemene Rekenkamer: 'Rijksoverheid ondoordacht in cloudgebruik, vaak niet eens risicoafweging'

De 'cloud' is een verzamelwoord voor allerlei diensten die bestanden en software via internet toegankelijk maken. Op die manier kunnen gebruikers er vanaf meerdere apparaten bij. Het gaat bijvoorbeeld om OneDrive, een dienst die documenten in de cloud opslaat, maar ook om diensten voor visumverlening of belastingen. De cloud kan makkelijk en goedkoop zijn, maar levert ook risico's op.

In totaal zeiden ministeries in 1588 gevallen clouddiensten te gebruiken, waarvan zevenhonderd keer openbare diensten van bijvoorbeeld Amazon of Microsoft, blijkt na onderzoek van de Algemene Rekenkamer. Irrgang waarschuwt voor de gevaren. Niet alleen kunnen clouddiensten omvallen, ook bestaat het risico dat andere mogendheden bij de gegevens kunnen.

'Terughoudendheid op zijn plaats'

In de cloud mogen geen staatsgeheimen worden opgeslagen, maar voor andere gevoelige informatie is geen duidelijke richtlijn, constateert de Rekenkamer. "Een van onze aanbevelingen aan het kabinet is om te overwegen welke data misschien ook sowieso niet op de cloud moeten gaan. Denk aan basisregistraties met heel gevoelige gegevens van burgers, maar ook aan data over bepaalde kritieke infrastructuur."

Het gaat dan bijvoorbeeld over informatie over waterkeringen en kerncentrales, zegt Irrgang. "Het is de vraag of je die informatie nog moet opslaan in de cloud. Die vraag moet door het kabinet worden beantwoord in overleg met de Kamer. Wij denken dat meer terughoudendheid op zijn plaats is."

'Onvoldoende de risico's afgewogen'

Dat is volgens hem geen "rocket science". Irrgang waarschuwt voor de "veranderende geopolitieke situatie". "Het probleem met toegang door Amerikaanse geheime diensten is ook al zeker tien jaar bekend. De Rijksoverheid is gewoon ondoordacht de cloud ingegaan en heeft zich onvoldoende de risico's daarvan afgewogen. Dat kunnen we onszelf aanrekenen."

In tweederde van de gevallen waarin de overheid in de cloud is gegaan, is er geen risicoafweging gemaakt, zegt de vicepresident van de Rekenkamer. "Dan heb je dus niet in de gaten welke risico's je neemt. Eén van onze aanbevelingen aan het kabinet is om die risicoafweging alsnog te maken."

Ook moet er een beter kader komen voor wanneer gegevens wel of niet in de cloud mogen, denkt de Rekenkamer. "En als departementen zich daar niet aanhouden, moet je ze daarop aanspreken. De cultuur is toch te veel om daarover te vergaderen en dan blijft het daar een beetje bij", zegt Irrgang.

Dat er risico's verbonden zijn aan het gebruik van de cloud, werd al eens duidelijk. "Grote Amerikaanse cloudproviders hebben vaak veel geld over voor beveiliging, maar we hebben bij Microsoft gezien dat de Chinezen ingebroken hebben en de e-mails van het Amerikaanse ministerie van Buitenlandse Zaken hebben buitgemaakt. Dat soort risico's zijn bij dit soort cloudproviders groter."

'Hoe veilig is het?'

De Rekenkamer adviseert om te kijken naar Europese cloudaanbieders. "Het is niet zo dat cloud per definitie slecht is, wij zijn ook niet tegen. Maar je moet wel goed kijken: hoe veilig is het? Hoe zit het met gegevensbescherming? Hoe zit het met soevereiniteit en hoe zit het met continuïteit van dienstverlening?"

Bovendien is in veel gevallen nu geen 'backupplan' als een cloudaanbieder dreigt om te vallen of de overheid toegang tot informatie zou ontzeggen, bijvoorbeeld omdat wetgeving wordt aangepast, zegt Irrgang. "En de overdraagbaarheid moet op orde zijn, als je van cloudaanbieder wil wisselen. Ook op dat punt zagen we dat de contracten daar vaak niet goed in voorzien."

Daarmee staat de continuïteit van dienstverlening onder druk. "Als bijvoorbeeld de weerkaarten van het KNMI niet beschikbaar zijn, die ook in de cloud zitten, stort de maatschappij niet morgen in. Maar als het niet beschikbaar is, leidt het wel tot problemen voor burgers en bedrijven, zoals boeren."