Nieuws 16 januari 2025

Rekenkamer: Rijk is ondoordacht in de cloud gaan werken

De Rijksoverheid is ondoordacht ‘in de cloud’ gaan werken en denkt onvoldoende na over de risico’s daarvan. Bij twee derde van de belangrijkste clouddiensten zijn niet de vereiste risicoafwegingen gemaakt.

De Algemene Rekenkamer concludeert in het rapport ‘Het Rijk in de cloud; Donkere wolken pakken samen’, dat het Rijk maar beperkt zicht heeft op clouddiensten. De Rekenkamer is bezorgd, omdat de dienstverlening aan burgers en bedrijven daardoor te veel risico loopt. De mogelijke schade kan onze maatschappij ontwrichten.

Werken in de cloud kan de overheid efficiënter maken en haar dienstverlening verbeteren. Uit het onderzoek blijkt dat het Rijk hier al volop gebruik van maakt; elk ministerie werkt ermee. Van de in totaal 1.588 in het onderzoek gerapporteerde clouddiensten bij het Rijk, is van ruim een kwart (26 procent) niet bekend om welke vorm van cloud het gaat. Dit is verontrustend: de soort cloud is een heel basaal gegeven.

Primaire taken

De Rekenkamer heeft met name de belangrijkste public cloud-diensten onderzocht. Het gaat dan om primaire taken van de organisatie, zoals de kantoorautomatisering bij ministeries, weerdata van het KNMI en klantgegevens in de zorg.

Meer dan de helft van deze belangrijkste public cloud-diensten wordt bij de Amerikaanse bedrijven Amazon, Microsoft en Google ingekocht. Het gebruik ervan brengt risico’s met zich mee voor de overheid zelf en voor burgers en bedrijven. Bijvoorbeeld als buitenlandse overheden gegevens opeisen bij de cloudaanbieder, of als zo’n bedrijf failliet gaat of gehackt wordt.

Geen risicoafweging

Het is zaak dat ministeries zicht hebben op hun cloudgebruik en in de voorbereiding al risicoafwegingen maken. De Rekenkamer ziet dat ministeries onvoldoende strategische risicoafwegingen hebben gemaakt om public cloud te gaan gebruiken.

Van de 126 belangrijkste public cloud-diensten is er bij 84 (67 procent) geen risicoafweging gemaakt. Hierdoor blijft bijvoorbeeld het risico bestaan dat gegevens niet goed beschermd zijn, of dienstverlening opeens ongewenst kan stoppen. Ook kan de staatssecretaris van Digitalisering moeilijk bijsturen op ministerie-overstijgende cloudrisico’s.

Kaders en regels

De cloudstrategie en het cloudbeleid verschillen per ministerie. Door deze versnippering is het voor alle betrokken partijen lastig om afspraken te maken; bijvoorbeeld tussen ministeries, overheidsdatacentra en cloudleveranciers. De belangrijkste aanbeveling van de Rekenkamer is dan ook aan het kabinet: het Rijk moet richting de grote clouddienstverleners als één samenwerkende overheid optreden.

Door als één overheid kaders te stellen, regels te hanteren en risico’s te beheersen kan het Rijk zijn positie ten opzichte van leveranciers en andere gebruikers van de cloud versterken. Hiervoor is het nodig dat het Rijk veel gerichter kansen, risico’s en alternatieven afweegt.

Ongerust

Collegelid Ewout Irrgang van de Algemene Rekenkamer is bezorgd over de bevindingen. “Het risico bestaat dat buitenlandse regeringen, met name de VS, informatie van de Nederlandse rijksoverheid of van burgers kunnen inzien en wellicht zelfs aanpassen. Of ze dat doen is een tweede, maar als ze willen, dan kan het.”

Irrgang is daarnaast ongerust over de dienstverlening voor burgers en bedrijven: “Die is niet gegarandeerd wanneer bijvoorbeeld kantoorautomatisering het niet meer doet. Het is dan ook zaak dat de ministeries samenwerken, om als één overheid grip te krijgen op hun cloudgebruik.”

De Rekenkamer is blij dat staatssecretaris Szabó van Koninkrijksrelaties en Digitalisering aangeeft het rapport te onderschrijven. “Hij wil graag aan de slag”, aldus Irrgang. “Ik roep het kabinet als geheel op om de ministeries minder vrijblijvend te laten samenwerken.”

Rapport Algemene Rekenkamer: ‘Het Rijk in de cloud’