26 643 Informatie- en communicatietechnologie (ICT)

Nr. 179 BRIEF VAN DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 20 april 2011

Inleiding

Uw Kamer heeft in de motie Van der Burg c.s. (TK 26 643, nr. 157) gevraagd om een cloud strategie. Het kabinet wordt gevraagd in navolging van landen als Japan, het Verenigd Koninkrijk en de Verenigde Staten een strategie voor de hele Nederlandse overheid te ontwikkelen voor cloud computing en een «cloud first» strategie waarbij mogelijkheden voor de inrichting van de overheidscloud duidelijk zijn omschreven met bijbehorende voor- en nadelen. Daarbij moeten ook de veiligheidsrisico’s en afhankelijkheidsrisico’s in ogenschouw worden genomen.

In de brief van 31 januari jl. (TK 26 433, nr. 172) heb ik u de resultaten geschetst van een verkenning naar de voor- en nadelen van cloud computing, de mogelijkheden en beperkingen in de context van de taak van de rijksoverheid en de uitgangspunten voor de inrichting van een «overheidscloud». In deze brief informeer ik uw Kamer over een cloud computing strategie en een cloud first strategie als reactie op de motie. De strategieën zijn tot stand gekomen na overleg met het ICT bedrijfsleven, de wetenschappelijke wereld en de Europese Unie. Daaraan ten grondslag ligt een aantal gerichte studies (waaronder KPMG1 en RAND2) dat breed is gedragen vanuit het ICT bedrijfsleven, consultaties met vele betrokken partijen binnen en buiten de overheid en raadpleging van het internationale netwerk.

Wat is cloud computing?

Cloud computing is volgens de NIST3een model om op afroep op een gemakkelijke manier via een netwerk toegang te krijgen tot een gedeelde verzameling van configureerbare computer resources (bijvoorbeeld netwerken, servers, opslag, applicaties en diensten) die snel kunnen worden geleverd en vrijgegeven met minimale inspanning of interactie met leveranciers. De bedoelde verzameling kan «gesloten» zijn of «open». In geval van een gesloten verzameling kan de eigenaar en beheerder een commerciële leverancier zijn of een interne, bijvoorbeeld een «shared service» organisatie binnen het Rijk. Het verschil met de gangbare manier waarop van ICT gebruik wordt gemaakt is, dat bij cloud computing de gebruiker met «lichte» randapparatuur (denk aan simpele laptops, palmtops of zelfs smartphones) op iedere willekeurige plek en ieder willekeurig moment van de zwaarste toepassingen gebruik kan maken en alleen betaalt voor het daadwerkelijke gebruik. Cloud computing is dus niet iets geheel nieuws. Het is een verdere ontwikkeling in de wijze waarop ICT wordt toegepast.

Onvolwassenheid cloud computing voor de overheid op dit moment

Uit de verkenning die de afgelopen maanden is gedaan blijkt dat er mogelijkheden zijn voor de inzet van cloud computing binnen het Rijk. Tegelijkertijd moet ik vaststellen dat de argumenten tegen het toepassen van open cloud computing op dit moment globaal zwaarder wegen dan de voordelen. Deze argumenten hebben te maken met de onvolwassenheid van de markt en de eisen die worden gesteld aan de informatiebeveiliging.

Het aanbod van «open» cloud computing met voor de overheid toepasbare ICT-oplossingen is, mede als gevolg van die geconstateerde bezwaren, nog beperkt. Het aantal leveranciers en cloud diensten is vrij groot, maar slechts een klein deel daarvan is bedrijfsmatig volwassen genoeg om daadwerkelijk ingezet te kunnen worden voor de Nederlandse overheid4. De huidige «open» cloud toepassingen komen nog niet tegemoet aan de specifieke wensen en verantwoordelijkheden van de overheid. Dit is ook de ervaring van andere landen5.

Wat informatiebeveiliging betreft blijkt dat het via een «open» cloud uitbesteden van ICT diensten, dan wel opslag van informatie buiten Nederland, risico’s met zich meebrengt die nog niet voldoende kunnen worden afgedekt. Zo is privacybescherming nog geen integraal onderdeel van de wijze waarop «open» cloud toepassingen nu worden vormgegeven. Dit wordt bevestigd door het kennisinstituut ENISA van de EU, dat overheden adviseert derhalve voorzichtig te zijn met gebruik van cloud computing6. ENISA dringt aan op een planmatige en fasegewijze aanpak gericht op risicomitigatie.

Strategie overheidscloud en cloud first strategie

Naar aanleiding hiervan kiest het kabinet voor een aanpak waarbij de mogelijkheden van cloud computing gericht in «gesloten» vorm worden ingezet met als doel hogere prestaties tegen lagere beheerkosten en een groter gebruikersgemak. In eerste instantie richt het kabinet zich op de inzet van deze mogelijkheden binnen het Rijk. Deze keuze is gemaakt vanwege de nog vele bestaande vragen en daaruit voortvloeiende risico’s. Op basis van de opgedane ervaringen bij het Rijk en de verwachting dat door verdere ontwikkeling van het concept (en de markt) betere oplossingen beschikbaar komen zal cloud technologie breder worden ingezet.

Het kabinet kiest er daarom voor een gesloten Rijkscloud in eigen beheer in te richten als een voorziening die generieke diensten levert binnen de Rijksdienst. Deze voorziening wordt ingericht binnen een eigen beveiligd netwerk en beheerd door een eigen, rijksbrede organisatie, zoals aangekondigd in het Uitvoeringsprogramma Compacte Rijksdienst (TK 31 490, nr. 54).

Bij positieve ervaringen met deze gesloten Rijkscloud gaan we breder gebruik van deze cloud bevorderen. Een gewenste ICT-voorziening die al beschikbaar is in de Rijkscloud kan door deze manier van beschikbaarheid makkelijker elders in de Rijksdienst worden benut. Uitgangspunt hierbij is dat gemeenschappelijke aanschaf van software en gebruik de norm is. Alvorens software te gaan ontwikkelen wordt eerst op rijksniveau vastgesteld dat er niet ergens in de rijksdienst een soortgelijke bestaande applicatie aanwezig is. Daartoe worden voornemens voor investeringen door de CIO’s collegiaal gewisseld in het interdepartementale overleg van de CIO’s. Dit leidt tot hergebruik en efficiency en sluit aan bij de uitgangspunten zoals geformuleerd in het Uitvoeringsprogramma Compacte Rijksdienst.

Aldus geeft het kabinet invulling aan de cloud first strategie.

Het voordeel van de gesloten rijksoverheid cloud is dat gebruik wordt gemaakt van moderne technologie en dat de Nederlandse overheid aansluit bij de heersende internationale ontwikkelingen binnen overheden èn voldoet aan alle eisen op het gebied van afhankelijkheid en veiligheid. Daardoor kan het Rijk optimaal profiteren van de voordelen van samenvoeging, bundeling en hergebruik binnen de rijksdienst.

Realisatie gesloten Rijkscloud

De implementatie van deze strategie krijgt op twee manieren vorm: in de eerste plaats door op korte termijn cloud computing methoden toe te passen op bestaande voorzieningen en die onder te brengen in de gesloten Rijkscloud. Deze zijn:

  • Dataopslag en server/infrastructuur-capaciteit: momenteel is in het kader van het Uitvoeringsprogramma Compacte Rijksdienst (project 4, ICT Infrastructuur) al een project «Krimp aantal datacenters» gestart, gebaseerd op een positieve kosten/baten analyse. Strikte eis hierbij is dat de data in Nederland blijven en veiligheid voor alle afnemers adequaat is en op een voor de gekozen toepassingen acceptabel niveau kan worden geregeld.

  • E-mail, werkplekomgeving, samenwerkingsfunctionaliteit en aansluiting op de informatiehuishouding: deze voorzieningen zijn al voor een gedeelte beschikbaar (Digitale werkomgeving Rijk). Dit zijn generieke voorzieningen die nu ingezet gaan worden in de vorm van cloud diensten in een gesloten Rijkscloud, inclusief alle benodigde regie en beheer.

Door het inmiddels brede gebruik in de samenleving van Cloud computing ontstaan er nieuwe gebruiksmogelijkheden. Het ligt voor de hand ons ook te oriënteren op de toepasbaarheid daarvan binnen een overheidscontext. Daarom krijgt de implementatie van de «cloud first» strategie mede vorm door experimenten met mogelijk kansrijke nieuwe cloud computing toepassingen binnen het Rijk, met andere overheden en – via beveiligd dataverkeer – met burgers en bedrijven buiten de gesloten Rijkscloud. Essentieel hierbij zijn informatiebeveiliging en de juridische inbedding. De experimenten zullen worden begeleid door een kosten/baten analyse die inzicht geeft in de financiële consequenties bij integrale invoering. Met de betrokken belanghebbenden (nadrukkelijk ook met de Europese Unie) zal actief worden samengewerkt. De gedachten gaan uit naar:

  • Open Data (zoals van de RijksDienst voor het Wegverkeer) beschikbaar stellen via de Open Data portal op Overheid.nl;

  • overheidsinformatiediensten voor burgers en bedrijven (zoals Overheid.nl);

  • wedstrijden waarin jonge ontwikkelaars gestimuleerd worden om nieuwe toepassingen te ontwikkelen (zoals Apps voor Amsterdam) en

  • toepassingen via sociale media (zoals Pleio).

Bij een gunstig verloop van de experimenten en bij positieve uitkomst van een kosten/batenanalyse wordt het «cloud» concept ook op deze onderwerpen toegepast en tevens bezien of inpassing in de gesloten Rijkscloud zinvol is.

Deze cloud strategie zal in de loop van de komende maanden in dialoog met de belanghebbenden (aanbieders en afnemers) nader worden uitgewerkt. Resultaten zullen wij rapporteren in het bedrijfsvoering jaarverslag 2012.

De minister van Binnenlandse Zaken en Koninkrijksrelaties,

J. P. H. Donner


X Noot
1

KPMG: Cloud computing voor de Nederlandse overheid, Oktober 2010.

X Noot
2

RAND Europe: Cloud Computing in the public sector: Rapid international stocktaking, August 2010.

X Noot
3

NIST is National Institute of Standards and Technology (USA).

X Noot
4

Zie het rapport van KPMG.

X Noot
5

Zie het RAND onderzoek.

X Noot
6

ENISA: Security & Resilience in Governmental Clouds, January 2011.

Naar boven