De vaste commissie voor Digitale Zaken heeft een aantal vragen en opmerkingen voorgelegd aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over de brief van 29 augustus 2022 over Rijksbreed cloudbeleid 2022 (Kamerstuk 26 643, nr. 904).

De vragen en opmerkingen zijn op 3 november 2022 aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties voorgelegd. Bij brief van 24 januari 2023 zijn de vragen beantwoord.

De voorzitter van de commissie, Kamminga

Adjunct-griffier van de commissie, Van Tilburg

Vragen en opmerkingen vanuit de fracties en reactie van de Staatssecretaris

Vragen en opmerkingen van de leden van de VVD-fractie

Kan de Staatssecretaris hierbij specifiek ingaan op de bevindingen van Greenberg Traurig in de Cloud Act memo en de bestaande eisen die gelden voor ICT-dienstverlening van de overheid?

In het voorgaande antwoord is reeds ingegaan op de bevindingen van Greenberg Traurig. In hoeverre het gebruik van Amerikaanse clouddiensten, gelet op onder andere de Cloud Act, zich verhoudt tot de AVG kan het volgende worden gesteld. Een gedegen risicoafweging voorafgegaan door een risico-impactanalyse (Data Transfer Impact Assessment) is in dit verband nodig. Een uitkomst van een dergelijke risicoafweging kan zijn dat er aanvullende waarborgen moeten worden genomen zoals encryptie, om ervoor te zorgen dat het door het Unierecht vereiste beschermingsniveau wordt gewaarborgd. Het European Data Protection Board (EDPB) heeft daar aanbevelingen voor opgesteld 3:«De bedoeling van de Aanbevelingen van het EDPB is om als richtsnoer te dienen voor exporteurs bij de rechtmatige doorgifte van persoonsgegevens naar derde landen, en tegelijkertijd om voor de doorgegeven gegevens een beschermingsniveau te waarborgen dat in wezen gelijkwaardig is aan het niveau dat binnen de EER wordt gewaarborgd», aldus Andrea Jelinek voorzitter van het EDPB.

De leden van de VVD-fractie vragen specifiek hoe het voornemen tot het gebruik van publieke (commerciële) clouddiensten, gelet op de implicaties van de Cloud Act, zich verhoudt tot de bestaande eisen krachtens de Algemene verordening gegevensbescherming (AVG), de Baseline Informatiebeveiliging Overheid (BIO) en het Voorschrift Informatiebeveiliging Rijksdienst (VIR). Kan de Staatssecretaris dit toelichten?

Ook het gebruik van public (commerciële) clouddiensten moet voldoen aan het VIR, het VIR-BI de BIO en de AVG.

In het verlengde hiervan, wordt gesteld dat bij de inkoop en aanbesteding van producten en diensten binnen de rijksoverheid eventuele risico’s voor de nationale veiligheid worden meegewogen. Hierbij zou in het bijzonder gelet moeten worden op mogelijke risico’s voor de continuïteit van vitale processen, de integriteit en exclusiviteit van kennis en informatie en de ongewenste opbouw van strategische afhankelijkheden. Gelet op de implicaties van de Cloud Act, hoe beoordeelt de Staatssecretaris specifiek de risico’s voor de nationale veiligheid en de mogelijke verstoring van continuïteit van onze vitale processen indien Nederlandse overheidsdiensten gebruik maken van Amerikaanse cloudinfrastructuur, zo vragen deze leden.

Het Rijksbreed cloudbeleid 2022 benoemt een aantal risico’s en verplicht daarom het uitvoeren van een risicoafweging. Het verplichte implementatiekader benoemt aan welke eisen een dergelijke risicoafweging moet voldoen. Als er uit de afweging blijkt dat uitbesteden aan cloud providers van ICT-dienstverlening een onacceptabel risico voor nationale veiligheid of continuïteit van vitale processen ontstaat, dan moeten hiervoor maatregelen getroffen worden of van uitbesteding worden afgezien. Sowieso is het niet toegestaan om staatsgeheime informatie in de cloud te plaatsen.

De leden van de VVD-fractie lezen daarnaast in de brief dat de BIO de inzet van publieke clouddiensten niet bij voorbaat uitsluit. Deze leden vragen de Staatssecretaris wat wordt bedoeld met «niet bij voorbaat uitsluit». Moet de BIO worden aangepast om gebruik te kunnen maken van publieke clouddiensten?

Nee, want zoals hiervoor aangegeven sluit de BIO het gebruik van publieke clouddiensten niet uit. Clouddiensten vallen in de huidige versie van de BIO onder leveranciersrelaties, hoofdstuk 15. Naleving van dit hoofdstuk draagt zorgt ervoor dat alle relevante informatiebeveiligingseisen een plaats krijgen in leveranciersovereenkomsten.

Is anderszins nog wijziging van wet- en regelgeving nodig? Zo ja, om welke wet- en regelgeving gaat het?

Nee, er zijn geen wijzigingen van wet- en regelgeving nodig om conform het Rijksbreed cloudbeleid 2022 gebruik te maken van de publieke cloud.

De leden van de VVD-fractie willen tevens wijzen op het lopende onderzoek van de Europese privacy toezichthouder European Data Protection Board (EDPB) naar cloudgebruik door de publieke sector waarvan de resultaten voor het eind van dit jaar verwacht worden. Gelet op de mogelijke uitkomsten van dit onderzoek, in het bijzonder op het vlak van de risicoanalyse gericht op het gebruik van non-EU cloudleveranciers, realiseert de Staatssecretaris zich dat met voorliggend voorstel vooruit wordt gelopen op dit onderzoek? Zo ja, kan de Staatssecretaris hierop reflecteren?

Ik ben bekend met dit onderzoek van EDPB en dit rapport wordt momenteel bestudeerd. Waar relevant zullen bevindingen uit dit rapport, en eventuele andere ontwikkelingen op EU-niveau, worden meegenomen in de voorziene evaluatie van het Rijksbreed cloudbeleid 2022 en/of de opvolging van die evaluatie.

Is het Adviescollege ICT-toetsing om advies gevraagd over het Rijksbreed cloudbeleid? Zo nee, waarom niet?

Nee. Het Adviescollege ICT-Toetsing (AcICT) adviseert over de verbetering van de beheersing van ICT-projecten en informatiesystemen. Het Rijksbreed cloudbeleid 2022 betreft géén ICT-project of informatiesysteem, maar biedt kaders waarin dit beleid uitgevoerd zou kunnen worden door organisaties binnen de rijksoverheid.

Voorts willen de leden van de VVD-fractie aandacht vragen voor het steeds groter wordende belang van het versterken van de Nederlandse en Europese digitale autonomie in het kader van onze strategische belangen. Dit belang is al eerder benadrukt in het Coalitieakkoord «Omzien naar elkaar, vooruitkijken naar de toekomst» (Bijlage bij Kamerstuk 35 788, nr. 77) met het expliciet benoemen van de noodzaak van strategische autonomie om onze veiligheid, rechtsstaat, democratie, mensen- en grondrechten en concurrentievermogen beter te beschermen. In het kader van deze uitgesproken politieke wens, hoe reflecteert de Staatssecretaris op haar besluit en voornemen om overheidsinstanties gebruik te laten maken van commerciële clouddiensten die grotendeels in Amerikaanse handen zijn? Kan de Staatssecretaris hierbij ingaan op haar beweegredenen voor haar besluit/voornemen?

Het nieuwe cloudbeleid maakt het voor de Rijksdienst ook mogelijk om gebruik te maken van Europese commerciële clouddiensten en initiatieven. Het Rijksbreed cloudbeleid 2022 stelt eisen aan veiligheid en privacy voor al het gebruik van publieke clouddiensten. Risico’s omtrent marktconcentratie en politieke en geografische spreiding worden hierin meegenomen, waarbij CIO Rijk departement-overstijgende risico’s monitort.

De leden van de VVD-fractie stellen vast dat met het kiezen voor publieke clouddiensten, gezien de Amerikaanse dominantie, indirect wordt gekozen voor niet-EU cloudaanbieders en dat daarmee niet wordt ingezet op het verder ontwikkelen van de nationale of Europese cloudmarkt. Deelt de Staatssecretaris de mening dat juist omwille van het versterken van onze digitale autonomie, het een gemiste kans is om niet in te zetten op de ontwikkeling van Europese alternatieven?

Zo ja, hoe verhoudt zich dit tot het besluit van de Staatssecretaris ten aanzien van het Rijksbreed cloudbeleid en hoe verhoudt zich dit tot de Important Project of Common European Interest (IPCEI)-investeringen gericht op cloud? Zo nee, waarom niet?

Er wordt binnen de IPCEI CIS door twaalf lidstaten, waaronder Nederland, geïnvesteerd in de ontwikkeling van alternatieve cloudoplossingen. Hierbij is er veel aandacht voor de veiligheid en duurzaamheid van deze oplossingen. Door openheid en interoperabiliteit te bevorderen dragen de ontwikkelde oplossingen bij aan een beter functionerende markt voor clouddiensten. Deze investeringen zijn noodzakelijk om geconstateerde marktfalen op de Europese interne markt te adresseren. Deze investeringen dragen bovendien bij aan het tegengaan van afhankelijkheden in de markt. De IPCEI CIS investeringen staan los van het Rijksbreed cloudbeleid maar dragen op termijn wel bij aan het beschikbaar komen van alternatieven op de markt voor clouddiensten.

De leden van de VVD-fractie willen, met het oog op het belang van het inzetten op Europese alternatieven, graag nader ingaan op de inspanningen die tot nu geleverd zijn in nationaal en Europees verband. Zo willen deze leden wijzen op de gezamenlijke verklaring van 25 lidstaten van de Europese Unie op 20 oktober 2020 om samen met de industrie te werken aan een volgende generatie van een Europese cloud. Welke concrete stappen zijn sinds deze verklaring gezet in Europees verband?

In de verklaring hebben de betrokken lidstaten gesteld dat innovatieve cloudoplossingen een belangrijke bijdrage kunnen leveren aan het verdienvermogen en de duurzaamheid van de EU. Om in dit kader de ontwikkeling van Europese innovatieve cloudoplossingen te bevorderen is in december 2020 de IPCEI-CIS geïnitieerd door Duitsland en Frankrijk, waarbij andere lidstaten zich hebben aangesloten. Naast Nederland doen ook België, Duitsland, Frankrijk, Hongarije, Italië, Letland, Luxemburg, Polen, Slovenië, Spanje en Tsjechië mee aan dit project. Om de betrokkenheid te onderstrepen is door deze landen hiervoor ook een manifest opgesteld en ondertekend. De Nederlandse investeringsvoorstellen voor IPCEI Cloud zijn samen met de voorstellen uit de andere lidstaten op 4 april jl. bij de Europese Commissie ingediend. Het verplichte goedkeuringsproces voor de voorstellen neemt door de omvang en complexiteit van deze IPCEI meer tijd in beslag dan eerder aangenomen door alle betrokken partijen. De huidige verwachting is dat dit proces de eerste helft van 2023 zal worden afgerond.

Is de Staatssecretaris het met deze leden eens dat dit soort initiatieven, gelet op bovenstaande, juist gestimuleerd moeten worden? Zo ja, hoe beoordeelt zij de kansen en de meerwaarde van deze gezamenlijke inspanning in het licht van uw beslissing om overheidsdiensten publieke clouddiensten te VE Tlaten gebruiken?

Ja, dit is ook de reden dat dergelijke initiatieven worden ondersteund door het kabinet. Deze Europese initiatieven staan veelal nog in een beginstadium, maar worden door Nederland actief gesteund. Het Rijksbreed cloudbeleid 2022 maakt het ook mogelijk dat de rijksoverheid gebruik maakt van Europese publieke clouddiensten, met duidelijke kaders waarbinnen dat mag.

Daarnaast willen de leden van de VVD-fractie de Staatssecretaris attenderen op het recent verschenen rapport Marktstudie Clouddiensten van de Autoriteit Consument en Markt (ACM).4 Naast dat dit rapport de Amerikaanse dominantie op de cloudmarkt aantoont, wordt gewaarschuwd voor «verborgen kosten» die gepaard gaan met overstappen en het risico op volledige afhankelijkheid. Hoe beoordeelt de Staatssecretaris deze waarschuwing?

In hoeverre zijn deze «verborgen kosten» zoals overstapheffingen en -toeslagen ingecalculeerd in het besluit en in hoeverre kan dit risico worden gemitigeerd door de opgenomen voorwaarde exit strategie?

Iedere Rijksorganisatie besluit zelf over de inzet van publieke clouddiensten binnen de kaders van het Rijksbreed cloudbeleid 2022. Hiermee is iedere Rijksorganisatie zelf verantwoordelijk voor het beoordelen van de budgettaire impact. Eventuele overstapheffingen en -toeslagen zijn hier onderdeel van. Dit is tevens een verplicht onderdeel van de risicoafweging.

In hoeverre zijn de, vaak fikse, overstapkosten te rijmen met een strategie die tot en met 2025 duurt?

In de I-strategie Rijk 2021–2025 (Kamerstuk 26 643, nr. 779) is een van de speerpunten het opstellen van een Rijksbreed cloudbeleid. De uitwerking van dit speerpunt is het Rijksbreed cloudbeleid 2022. Het Rijksbreed cloudbeleid 2022 zal worden geëvalueerd in 2023 en zal indien nodig regulier worden aangepast. Ook na afloop van de I-strategie Rijk 2021–2025 blijft het Rijksbreed cloudbeleid 2022 geldig.

Is de Staatssecretaris het met deze leden eens dat bij het maken van keuzes die impact hebben op de strategische autonomie van Nederland verder gekeken moet worden dan slechts een paar jaar?

Ja, dit ben ik met u eens. Het Rijksbreed cloudbeleid 2022 wordt in 2023 geëvalueerd.

Ook het risico op volledige afhankelijkheid, ook wel de «vendor lock-in» genoemd, baart de leden van de VVD-fractie zorgen. Het ACMrapport waarschuwt voor de zuigwerking van big tech-clouddiensten. Door gebrekkige interoperabiliteit en dataportabiliteit zouden klanten effectief gevangen raken in het dienstenweb van big tech-cloudaanbieders wanneer eenmaal gebruik wordt gemaakt van de aangeboden cloudinfrastructuur van één bepaalde aanbieder. Het combineren van clouddiensten van verschillende aanbieders zou gepaard gaan met prijs- en kwaliteitsbeperkingen waardoor klanten het risico lopen om volledig afhankelijk te raken van één aanbieder. Hoe beoordeelt de Staatssecretaris dit geconstateerde risico op de onwenselijke «vendor lock-in»?

Om het risico op vendor lock-in te mitigeren, is de verplichting tot het hebben van een exit-strategie opgenomen.

In hoeverre mitigeren de opgenomen voorwaarden dit risico voor het gebruik van de publieke cloud voor overheidsdiensten?

Het is een onderwerp dat continu aandacht vraagt, maar het is de inschatting van het kabinet dat de opgenomen voorwaarden en werkwijzen dit risico mitigeren.

In hoeverre ziet de Staatssecretaris het ontbreken van afdwingbare open standaarden in de «European Data Act» als risico voor een toekomstige overstap naar een andere aanbieder?

Op basis van het huidige voorstel van de Dataverordening kan de Europese Commissie standaarden publiceren waar aanbieders van clouddiensten aan moeten voldoen. Deze standaarden moeten het overstappen tussen aanbieders mogelijk maken met behoud van zogeheten «functional equivalence». Wanneer de Dataverordening in werking treedt gelden deze standaarden ook voor de aanbieders van publieke clouddiensten waar de rijksoverheid gebruik van kan maken.

Welke mogelijkheden ziet de Staatssecretaris nog concreet om de technische en financiële overstapdrempels tussen clouddiensten weg te nemen?

Op dit moment ziet het kabinet de aanpak van financiële, contractuele en technische drempels zoals omschreven in het voorstel voor een Dataverordening als voldoende om deze drempels voor overstappen tussen clouddiensten weg te nemen. Ook de DMA zal bijdragen aan het verminderen van drempels om over te stappen naar andere aanbieders van clouddiensten. De DMA gaat gelden voor poortwachters, dit zijn platforms waar gebruikers niet of nauwelijks meer omheen kunnen. Op basis van de DMA mogen poortwachters de mogelijkheid voor gebruikers van clouddiensten om over te stappen naar een andere aanbieder niet belemmeren. Vanaf 2024 zullen de verplichtingen uit de DMA gaan gelden voor aangewezen poortwachters.

Is zij bereid om hier stappen in te zetten? Zo nee, waarom niet?

Voor wat betreft de maatregelen in de Dataverordening om barrières voor overstappen tussen clouddiensten weg te nemen zet het kabinet zich vooral in om het ambitieniveau uit het initiële voorstel te behouden en aan te scherpen. In de onderhandelingen over de Dataverordening wordt erop ingezet om de interoperabiliteit van clouddiensten te bevorderen. Hiermee zou ook de zogeheten multi-cloud, het gelijktijdig en verbonden gebruik van clouddiensten van meerdere aanbieders, beter mogelijk worden.

Op welke manier worden de verschillende departementen geholpen om de juiste risico-afwegingen te maken rondom de lock-in en om daar een uitvoerbare exit-strategie voor te maken?

Departementen worden geholpen bij het maken van de juiste risico-afwegingen en het opstellen van een exit-strategie middels het implementatiekader «risicoafweging cloudgebruik». Verder ontvangen departementen een handreiking met praktische voorbeelden om het werken met publieke clouddiensten zo verantwoord en simpel mogelijk te maken.

De leden van de VVD-fractie hebben nog enkele laatste vragen. Wat is er in het kader van het Rijksbreed cloudbeleid 2022 geregeld voor de decentrale overheden?

Het Rijksbreed cloudbeleid 2022 is van toepassing op de Rijksdienst. Onderdelen van de overheid die niet tot de Rijksdienst behoren, waaronder decentrale overheden, wordt geadviseerd om dit Rijksbeleid te volgen. Het kabinet wil dit actief uitdragen.

Geldt voor deze overheden eenzelfde beleid als wordt voorgesteld in het Rijksbreed cloudbeleid 2022?

Nee, voor deze overheden geldt dit beleid niet. Het wordt hen wel geadviseerd om het Rijksbreed cloudbeleid 2022 te volgen.

Wordt dit nieuwe beleid al toegepast?

Ja. Voor verplicht beleid geldt dat een besluit van de Interdepartementale Commissie Bedrijfsvoering Rijksdienst (ICBR) voldoende is om het beleid van kracht te laten zijn. Het Rijksbreed cloudbeleid 2022 is ook in de ministerraad vastgesteld; het implementatiekader is op 20 december door de ICBR vastgesteld, en gelijktijdig met deze beantwoording aan uw Kamer aangeboden. De onderdelen van de Rijksdienst dienen sinds dat moment aan het Rijksbreed cloudbeleid 2022 te voldoen. Volgens het Rijksbreed cloudbeleid 2022 is de eerste stap nu dat de departementen een eigen departementaal cloudbeleid en -strategie op stellen. Hierin stellen zij zichzelf allereerst de vraag of ze gebruik gaan maken van de publieke cloud. Indien ze hier positief op besluiten, zullen zij ook hierin toelichten waarmee zij dit willen gaan doen.

Is de Staatssecretaris het met deze leden eens dat het wenselijk is om in 2022 geen onomkeerbare stappen te zetten met betrekking tot afspraken met cloudaanbieders? Zo nee, waarom niet?

Ja, ik ben het hiermee eens. Hierom dient er een exit-strategie opgenomen te worden bij afspraken met cloudaanbieders, waar afdoende rekening gehouden wordt met data- en serviceportabiliteit.

Vragen en opmerkingen van de leden van de D66-fractie

Een deel van de gesignaleerde risico’s is in de voorwaarden van het Rijksbreed cloudbeleid 2022 opgenomen. In het implementatiekader «risicoafweging cloudgebruik» zijn deze verder uitgewerkt. Dit implementatiekader is op 20 december door de ICBR vastgesteld, en gelijktijdig met deze beantwoording aan uw Kamer verzonden. Aangezien departementen voor hun situatie specifieke risico’s kunnen hebben, bevat het beleid en implementatiekader de minimale eisen waar een risicoafweging aan dient te voldoen, waarbij ook rekening gehouden moet worden met het specifieke cloudgebruik.

Kan de Staatssecretaris aangegeven in welke mate ieder departement individueel een data protection impact assessment (DPIA) moet doen als er gebruik wordt gemaakt van dezelfde publieke clouddienst?

De DPIA is afhankelijk van het risico dat de verwerking van (het type van) de persoonsgegevens oplevert. Indien departementen gebruik maken van dezelfde clouddienstverlener houdt dat niet automatisch in dat zij dezelfde soort gegevensverwerkingengegevensverwerkingen in die publieke cloud hebben. Ook kunnen de risico’s van het gebruik van de publieke cloud per departement verschillen. Hierdoor dienen departementen individueel DPIA’s uit te voeren, ook al maken zij gebruik van dezelfde publieke clouddienst.

Op basis van welk toetsingskader wordt bepaald of er sprake is van een hoog risico?

In het Rijksbreed cloudbeleid 2022 wordt een hoog risico specifiek genoemd bij privacyaspecten. Een hoog risico wordt daarbij bepaald op basis van een uitgevoerde pre-scan DPIA. Voorts zijn in art. 35(3) AVG criteria vermeld ter bepaling van een hoog privacyrisico. Als aanvulling hierop heeft de AP nog een definitieve lijst vastgesteld van verwerkingen van persoonsgegevens waarvoor een DPIA altijd nodig is.5

Wat als een departement de risico’s te laag inschat, is hier sprake van toezicht?

Jaarlijks rapporteren de departementen over het materieel public cloudgebruik en onderliggende risico’s aan CIO Rijk. De rapportages, DPIA’s en risicoanalyses vormen de input voor de CIO-gesprekken die, in het kader van monitoring en advies, jaarlijks plaatsvinden. Naast deze periodieke rapportage voeren de departementen ook eigen audits en controles uit. De Audit Dienst Rijk (ADR) voert, als onafhankelijke internal auditor van de rijksoverheid, audits uit. Waarbij de Algemene Rekenkamer (ARK), als onafhankelijk instituut, vooral een controlerende rol heeft.

De leden van de D66-fractie lezen dat onderdelen die niet tot de Rijksdienst behoren ook geadviseerd worden dit Rijksbeleid te volgen. Deze leden vragen of hier gemeenten onder vallen.

Ja. Alle onderdelen van de overheid die niet tot de Rijksdienst behoren, waaronder gemeenten, wordt geadviseerd om dit Rijksbeleid te volgen.

Worden gemeenten door het Rijk begeleid of verder geadviseerd om hieraan te voldoen?

Het kabinet wil dit beleid actief uitdragen. Hoe gemeenten hierbij vanuit het Rijk of andere organisaties zoals de VNG zou kunnen worden begeleid of verder geadviseerd wordt op dit moment bekeken.

De leden van de D66-fractie stellen voorop dat, zoals de Marktstudie Clouddiensten van de ACM illustreert, het onwenselijk is dat de Amerikaanse techreuzen Microsoft, Google en Amazon vrijwel de gehele markt voor cloudaanbieders beheersen. In welke mate is het mogelijk om tussen cloudaanbieders te switchen als de huidige aanbieder niet voldoet aan de wensen?

De mate waarin het mogelijk is om over te stappen tussen cloudaanbieders verschilt per situatie, en is afhankelijk van factoren zoals het datavolume, het type dienstverlening, de betrokken aanbieders en de wensen van de eindgebruiker. In algemene zin kan op basis van het ACM rapport wel worden gesteld dat in de markt aanwezige financiële, technische en contractuele barrières belemmerend werken wanneer een gebruiker wil overstappen. Regelgeving kan eraan bijdragen dat het makkelijker wordt om over te stappen naar andere cloud aanbieders. Zo noemt de ACM de Dataverordening als een van de instrumenten die kan bijdragen aan het verminderen van afhankelijkheid en het stimuleren van concurrentie in de cloudmarkt. In de Dataverordening zijn bijvoorbeeld bepalingen opgenomen gericht op het wegnemen van financiële, contractuele en technische barrières die zullen bijdragen aan de verbeterde mogelijkheid om over te stappen. Ook de DMA draagt hieraan bij. In de DMA staat bijvoorbeeld de verplichting voor poortwachters dat zij de mogelijkheid voor gebruikers van clouddiensten om over te stappen naar een andere aanbieder niet mogen belemmeren.

Welk tijdspad en welke kosten komen bij een dergelijke switch kijken?

Dit zal per situatie verschillend zijn.

Zijn er aanwijzingen dat interoperabiliteit en dataportabiliteit zullen verbeteren de komende jaren bij deze aanbieders?

Het voorstel voor een Dataverordening bevat bepalingen gericht op het wegnemen van financiële, contractuele en technische overstapbarrières in de markt voor clouddiensten. Aanbieders van clouddiensten in de Europese interne markt moeten hieraan gaan voldoen wanneer de verordening in werking treedt. Het kabinet verwacht dat dit wetgevingsvoorstel interoperabiliteit en portabiliteit zal bevorderen. Verder zullen initiatieven zoals GAIA-X en IPCEI CIS gezien hun doelstellingen naar verwachting bijdragen aan beter functioneren van de markt in de komende jaren, waardoor de situatie op het gebied van interoperabiliteit en portabiliteit zal verbeteren.

Kan de Staatssecretaris toelichten wanneer het cloudbeleid aan evaluatie onderhevig is?

Het beleid wordt vanaf 2023, te starten één jaar na publicatie van het Rijksbreed cloudbeleid 2022, geëvalueerd.

De leden van de D66-fractie horen graag van de Staatssecretaris welke Europese lidstaten gelijkmatige wetten hebben zoals de Verenigde Staten op het gebied van datatoegang, zoals de Cloud Act en de Foreign Intelligence Surveillance Act.

Europese landen kunnen, net als andere landen, voorzieningen in hun nationale wetgeving hebben opgenomen die het voor inlichtingen-, veiligheids- en opsporingsdiensten mogelijk maakt rechtmatige toegang te krijgen tot data opgeslagen in datacentra. Net als in Nederland zijn Europese landen daarbij gebonden aan de eisen uit de EU-wetgeving en aan de eisen die het Europees Hof voor de Rechten van de Mens stelt aan toegang tot gegevens ten behoeve van de nationale veiligheid.

Is er altijd een plicht tot versleuteling van opgeslagen data bij het gebruik van clouddiensten? Zo nee, waarom wordt deze afweging per risico inschatting gemaakt?

Versleuteling is een beveiligingsmaatregel die afhankelijk van het type data en het bijbehorende risico toegepast moet worden, conform de aanpak van de BIO.

De Staatssecretaris geeft aan dat niet alle informatie geschikt is voor publieke clouddiensten, zoals staatsgeheim gerubriceerde informatie of informatie afkomstig van het Ministerie van Defensie. Is er nog een voornemen om aan de slag te gaan met een vorm van een eigen cloud voor zaken die niet in publieke clouddiensten mogen, mogelijk in Europees verband?

De veiligheid van gerubriceerde informatie heeft de aandacht van het kabinet. Zo wordt vanuit de routekaart digitale weerbaarheid uit de I-strategie Rijk ingezet op onder rijksbrede voorzieningen voor Hoog Gerubriceerde Informatie (HGI) en het realiseren en structureel borgen van de Nationale Cryptostrategie (NCS).

Vragen en opmerkingen van de leden van de CDA-fractie

De leden van de CDA-fractie hebben kennisgenomen van de brief van de Staatssecretaris over het Rijksbreed cloudbeleid 2022. Deze leden hebben hierover nog enkele vragen.

De leden van de CDA-fractie lezen dat het kabinet voornemens is om voorafgaand aan de keuze om publieke clouddiensten te gebruiken uitgebreide (pre-scan) DPIA’s uit te voeren, om ervoor te zorgen dat de risico’s in beeld zijn en goed afgedekt worden. Deze leden vragen of ook gedurende het gebruik van een publieke clouddienst wordt gemonitord en getoetst of het gebruik van de clouddienst nog aan de voorwaarden voldoet.

De toegespitste risicoafweging, exit-strategie en (pre-scan of formele) DPIA worden bij wezenlijke wijzigingen in de dienstverlening of wezenlijke verandering van de risico’s geactualiseerd. Ten minste iedere drie jaar moet een actualisatie van de analyses plaatsvinden. De FG zal, als onderdeel van hun toezichthoudende rol (AVG, artikel 39), betrokken zijn bij het toezicht op de privacyrisico’s binnen de organisaties.

De snelle technologische ontwikkelingen maken dit volgens deze leden noodzakelijk en zijvragen of de Staatssecretaris het hiermee eens is en hoe zij dit vormgeeft.

Het kabinet onderschrijft dit. Daarom is in het implementatiekader opgenomen dat de toegespitste risicoafweging, exit-strategie en (pre-scan of formele) DPIA bij wezenlijke wijzigingen in de dienstverlening of wezenlijke verandering van de risico’s worden geactualiseerd, inclusief de te nemen passende acties. Dit vindt ten minste iedere drie jaar plaats of vaker als daar aanleiding toe is. CIO Rijk monitort hierop.

De leden van de CDA-fractie vragen of in het beleid ook is opgenomen dat rijksbreed bijgehouden wordt waar, hoeveel en voor hoelang gebruik gemaakt wordt van welke clouddiensten, inclusief de gronden voor het gebruik van de betreffende clouddienst.

De departementen rapporteren jaarlijks aan CIO Rijk over het materieel public cloudgebruik en de risico’s daarvan. Dit gebeurt als onderdeel van het rapportageproces voor het IB-beeld, conform de departementale taken en volgens het besluit CIO-stelsel.

Deze leden vragen voorts hoe ervoor wordt gezorgd dat zoveel mogelijk centraal gestandaardiseerde contractuele voorwaarden worden opgesteld, om het cloudgebruik zoveel mogelijk te uniformeren.

Centraal gestandaardiseerde contractuele voorwaarden worden voor deelnemende organisaties geregeld vanuit de Strategisch Leveranciers Management-functie (SLM).

De leden van de CDA-fractie vragen aan de Staatssecretaris of en zo ja, welke adviezen de Staatssecretaris heeft ingewonnen over de vraag of het gebruik van publieke clouddiensten, en of bijvoorbeeld ook advies is gevraagd aan het Adviescollege ICT-toetsing.

De leden van de CDA-fractie lezen in de beslisnota van 7 juli 2022 over de mediaberichten dat de Ierse privacy toezichthouder DPC mogelijk Meta gaat verbieden data van Europese gebruikers naar clouddiensten in de Verenigde Staten te sturen, omdat zij niet aan de juridische voorwaarden voldoet. Deze leden vragen of hierover bij de Staatssecretaris inmiddels al meer over bekend is geworden en of deze berichten ook zijn meegewogen in de definitieve afweging om publieke clouddiensten, met enkele uitzonderingen, onder voorwaarden mogelijk te maken.

De leden van de CDA-fractie signaleren dat op Europees niveau veel aandacht is voor de ontwikkelingen rondom cloudgebruik. Deze leden vragen of de Staatssecretaris nader kan ingaan op de samenloop met de Europese ontwikkelingen op het gebied van de IPCEI Cloud.

Deze leden vragen of de Staatssecretaris voornemens is om op lange termijn gebruik te willen gaan maken van betrouwbare Europese cloudaanbieders, die mogelijkerwijs voortkomen uit de initiatieven rondom IPCEI Cloud.

Alle departementen zijn vanuit het nieuwe cloudbeleid verplicht een eigen cloudstrategie op te stellen. Daarin maken zij als eerste de keuze of en waarmee ze de publieke cloud in gaan. Indien ze hiertoe besluiten, bepalen zij zelf welke clouddiensten zij gaan gebruiken. Voorgaande antwoorden geven weer hoe wij vanuit het kabinet wordt bijdragen aan Europese initiatieven zoals IPCEI-CIS.

Deze leden vragen de Staatssecretaris of zij kan toelichten of het voorgenomen Rijksbreed Cloudbeleid in overeenstemming is met de Europese Data Act.

Het Rijksbreed Cloudbeleid staat niet direct in relatie tot de Dataverordening. Het Rijksbreed cloudbeleid is gericht op de Rijksdienst als afnemer van clouddiensten, terwijl de Dataverordening zich richt op de aanbieders van clouddiensten. Leveranciers van publieke clouddiensten waar de rijksoverheid in lijn met het Rijksbreed cloudbeleid diensten van kunnen afnemen, zullen op het moment van inwerkingtreding aan alle eisen van de Dataverordening moeten voldoen.

Vragen en opmerkingen van de leden van de SP-fractie

De leden van de SP-fractie hebben kennisgenomen van de uitwerking van de nieuwe visie op het gebruik van publieke clouddiensten van de rijksoverheid. Deze leden vinden de verschuiving van gebruik van private clouddiensten naar publieke een goede stap, deze leden maken zich nog wel zorgen over de invulling van wat «publiek» precies betekent en de waarborgen die ontbreken voor veilig gebruik en opslag.

Bij publieke clouddiensten wordt de cloudinfrastructuur gedeeld door meerdere partijen en aangeboden door een (commerciële) partij. De kaders voor veilig gebruik en opslag zijn in de uitsluitingen en voorwaarden van het Rijksbreed cloudbeleid 2022 meegenomen. Deze worden verder toegelicht en uitgewerkt in het implementatiekader, zoals dat op 20 december door de ICBR is vastgesteld, en gelijktijdig met deze antwoorden met uw Kamer is gedeeld.

De grootste vraag die de leden van de SP-fractie hebben, is waarom gezegd wordt dat er publieke clouddiensten zijn, terwijl de opslag ingekocht wordt bij grote(re) tech- en/of ICT-bedrijven van uit de Verenigde Staten, China of andere internationale spelers.

Waarom is bij het vormgeven niet nagedacht over geopolitieke belangen die mee kunnen spelen bij bepalen wie een clouddienst mag aanbieden? Als dit wel is meegewogen, dan vragen deze leden, welke afwegingen zijn gemaakt?

Deze leden zijn er van geschrokken dat bij de technische briefing naar voren kwam dat lessen vanuit de aankoop van camera’s door gemeenten of software door de politie niet zijn betrokken. De Kamer heeft meermaals aangegeven dat bij dit soort cruciale inzet van ICT/digitale technieken de naïviteit over spionage moet wordt afgeschud. Kan de Staatssecretaris aangeven hoe verschillende ministeries in de inkoop van hun cloud hierop selecteren en afwegen?

Alle departementen zijn vanuit het nieuwe cloudbeleid verplicht een eigen cloudstrategie op te stellen. Hierin kan de keuze gemaakt worden om gebruik te maken van Europese cloudaanbieders, of aan andere cloudaanbieders als daar aan wetten (zoals de AVG) en voorschriften en verplichtingen (zoals de BIO en het Rijksbreed Cloudbeleid 2022) wordt voldaan. Bij de beoordeling van risico’s ten aanzien van spionage, beïnvloeding of sabotage door statelijke actoren of andere partijen bij digitale producten hanteert het kabinet de overwegingen die zijn vermeld in de brief aan de Tweede Kamer over C2000, van 26 april 2019 (Kamerstuk 25 124, nr. 96). Hierbij wordt o.a. meegewogen of een partij afkomstig is uit een land met een offensief cyberprogramma. De overwegingen worden in samenhang met elkaar bezien en alleen wanneer alle overwegingen van toepassing zijn, en blijkt dat nationale veiligheidsrisico’s niet voldoende kunnen worden beheerst, worden waar mogelijk partijen uitgesloten.

De leden van de SP-fractie maken zich zorgen over dat iedere overheidsdienst of ministerie zelf zijn inkoop verzorgt en eigen strategie bepaalt. Deze leden vinden dat niet wenselijk. Kan de Staatssecretaris aangeven of en zo ja hoe zij de coördinatie – dan wel regie – kan versterken en het beleid minder vrijblijvend kan maken?

Het Rijksbreed Cloudbeleid 2022 is een verplicht beleid voor de Rijksdienst. Dit beleid is nader uitgewerkt in het eveneens verplichte implementatiekader, dat gelijktijdig met deze antwoorden aan uw Kamer is gestuurd.

Herkent de Staatssecretaris zich in de uitspraak «outsourcing is standaard» bij de inkoop van ICT-systemen en -producten? Wat vindt zij van die uitspraak?

Bij het gebruik van ICT-middelen en diensten maakt de rijksoverheid veel gebruik van wat er in de markt beschikbaar is. Zo worden telefoons en computers ingekocht en worden in veel gevallen ontwikkeling en beheer van middelen uitbesteed. Dit geldt zowel voor traditionele IT-infrastructuur in de Overheids Datacenters (ODC) als voor clouddiensten.

De leden van de SP-fractie vragen of de Staatssecretaris overweegt om eigen cloud of Europese clouddiensten te ontwikkelen ten einde niet afhankelijk te zijn van intercontinentale spelers.

Het kabinet steunt op verschillende manieren de ontwikkeling van Europese clouddiensten, onder andere via de IPCEI CIS en GAIA-X. Beide projecten dragen bij aan de ontwikkeling van een nieuwe generatie cloudoplossingen door marktpartijen, op basis van Europese waarden en regels. Samen met beleidsinitiatieven gericht op het beter laten functioneren van de markt, zoals de Dataverordening en DMA, draagt dit in de ogen van het kabinet voldoende bij aan het voorkomen van afhankelijkheid van spelers op de markt.

De leden van de SP-fractie hebben de indruk dat het cloudbeleid een rijdende trein is en dat bijsturing of aanpassing vanuit de Kamer nauwelijks mogelijk is. Kan de Staatssecretaris daarop reageren? Hoe ziet zij haar brief van 29 augustus 2022, als een voorstel of als uitleg van beleid?

De brief van 29 augustus 2022 bevat het interdepartementaal afgestemde en door de MR vastgestelde Rijksbreed Cloudbeleid 2022. Dit is daarmee het beleid zoals dat nu geldt voor de rijksoverheid. Dit beleid is nader uitgewerkt in het verplichte implementatiekader, dat is vastgesteld op 20 december in het ICBR en gelijktijdig met deze antwoorden aan uw Kamer is gestuurd. De departementen gaan met het implementatiekader en de nog komende handreiking voor implementatie aan de slag. Dit zal worden geëvalueerd, waarna het beleid eventueel zal worden bijgesteld. Ik blijf over het Rijksbreed cloudbeleid graag in gesprek met uw Kamer.

Deze leden hebben sterk de indruk dat de beleidskeuzes voldongen feiten zijn en daarom vragen zij aan de Staatssecretaris hoe dit beleid tot stand is gekomen. Welke beleidsmakers hebben dit opgesteld, wie hadden daarbij inspraak, en wanneer is dit beleid vastgesteld en door wie? Deze leden willen nadrukkelijk aangeven dat het niet om de personen gaat, maar om de functies en disciplines. Graag willen deze leden weten hoe er om is gegaan met advies en wie dat heeft gegeven. Kan de Staatssecretaris een helder overzicht maken van wie geadviseerd heeft of geconsulteerd is?

Het Rijksbreed cloudbeleid 2022 is interdepartementaal tot stand gekomen, nadat eerst een Verkenning Cloudbeleid voor de Rijksdienst heeft plaatsgevonden Deze verkenning heeft laten zien dat binnen de bestaande kaders meer mogelijk is met betrekking tot gebruik van publieke clouddiensten. CIO Rijk heeft het voortouw genomen om dit te concretiseren in een beleidskader, met als oogpunt de versterking van de ICT-infrastructuur voor de Nederlandse Rijksdienst. In de totstandkoming zijn in diverse afstemmingsrondes adviezen vanuit de CIO's, CTO's en CISO's van alle ministeries, diverse grote uitvoeringsorganisaties, het NCSC en hun medewerkers meegenomen. Het standpunt van de AIVD over publiek cloudgebruik is overgenomen. De departementen hebben in de Interdepartementale Commissie Bedrijfsvoering Rijk (ICBR) met het voorgestelde Rijksbreed cloudbeleid ingestemd. Het beleid is daarna vastgesteld in de ministerraad van 19 augustus 2022.

De leden van de SP-fractie stellen vast dat de beleidsbrief van de Staatssecretaris door wetenschappers niet positief is ontvangen, sterker: «hoogleraren maken gehakt van nieuwe cloudkoers van het kabinet» kopte Agconnect.nl op 22 september 20226. Kan de Staatssecretaris helder ingaan op de bezwaren van de hoogleraren Van Dijck en Jacobs in de Volkskrant7 van dezelfde datum? Kan zij de zorgen die de hoogleraren hebben wegnemen? Deze leden dagen haar daartoe uit.

Het rubriceren (classificeren) van documenten is voor de Rijksdienst in het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI) gedefinieerd. Het Nationaal Bureau Verbindingsbeveiliging (NBV), onderdeel van de AIVD, heeft aangegeven dat staatsgeheim gerubriceerde informatie niet veilig in de cloud kan, ongeacht de situatie.

De leden van de SP-fractie willen tot slot weten hoe er omgegaan wordt met de legacy van oude clouddiensten en de documenten die daar nu in staan?

Het Rijksbreed Cloudbeleid 2022 schept de mogelijkheid om van publieke clouddiensten gebruik te maken na afweging, maar stelt daartoe géén verplichting. Informatie en data gegenereerd voordat dit cloudbeleid is vastgesteld, kan, mits wordt voldaan aan de gestelde voorwaarden, dus naar de cloud worden gemigreerd, maar dit hoeft niet. Oude private clouddiensten kunnen nog steeds worden gebruikt, evenals informatie in systemen op eigen locaties en in eigen datacentra.

Zijn die documenten allemaal terug te vinden in systemen als digidoc als de stukken worden opgevraagd of als ze nodig zijn voor beleidsanalyse?

Alle organisaties maken eigen keuzes waar zij stukken opslaan voor beleidsanalyse, en hebben daar ook eigen systemen voor. Voor enkele departementen betreft dit DigiDoc.

Is gewaarborgd dat overheidsdiensten en ministeries kunnen overstappen naar een publieke clouddienst? Of later een overstap kunnen maken als zij een andere of een écht publieke clouddienst willen gebruiken?

Ja, met het Rijksbreed Cloudbeleid 2022 kunnen onderdelen van de Rijksdienst onder voorwaarden overstappen naar een publieke clouddienst. Om een overstap te faciliteren is in het Rijksbreed Cloudbeleid 2022 de voorwaarde opgenomen dat men een exit-strategie moet hebben.

Vragen en opmerkingen van de leden van de GroenLinks-fractie

Om de ontwikkeling van Europese innovatieve cloudoplossingen te bevorderen is de IPCEI-CIS geïnitieerd door Duitsland en Frankrijk, waarbij andere lidstaten zich hebben aangesloten. Naast Nederland doen ook België, Duitsland, Frankrijk, Hongarije, Italië, Letland, Luxemburg, Polen, Slovenië, Spanje en Tsjechië mee aan dit project. De Nederlandse investeringsvoorstellen voor IPCEI Cloud zijn op 4 april jl. bij de Europese Commissie ingediend. Bij de Europese Commissie vindt strenge toetsing van de voorstellen plaats, om te zorgen dat deze verenigbaar zijn met de Europese staatssteunregels. Ook wordt getoetst of de voorstellen bijdragen aan technische innovatie. Het verplichte goedkeuringsproces voor de voorstellen neemt door de omvang en complexiteit van deze IPCEI meer tijd in beslag dan eerder aangenomen door alle betrokken partijen. De huidige verwachting is dat dit proces in de eerste helft van 2023 zal worden afgerond. De in de IPCEI CIS ontwikkelde oplossingen zijn niet specifiek gericht op de rijksoverheid als afnemer. Ook als de rijksoverheid zelf de stap niet zet naar clouddiensten kan de IPCEI CIS nieuwe oplossingen opleveren.

Ook vragen de leden van de GroenLinks-fractie hoe de Staatssecretaris ervoor gaat zorgen dat we kunnen waarborgen dat veiligheid van informatie ook daadwerkelijk gewaarborgd wordt.

Is er bij overheden voldoende interne kennis van clouddiensten? Zo nee, hoe gaat dit alsnog georganiseerd worden?

In de Rijksbrede I-Strategie 2021–2025 wordt aandacht besteed aan het vergroten van de kennis en kunde bij rijksambtenaren op het gebied van digitalisering. Dat gebeurt bijvoorbeeld via de Rijks Academie voor Digitalisering en Informatisering Overheid (RADIO). Cloud computing is één van de onderwerpen waar leeractiviteiten op zijn en worden ontwikkeld, zodat bij het Rijk kennis wordt ontwikkeld en geborgd.

De leden van de GroenLinks-fractie hebben eerder al zorgen geuit over de sturing vanuit de Autoriteit Persoonsgegevens (AP). In zowel de technische briefing als de kabinetsbrief is niet duidelijk gemaakt hoe de zorgen nu weggenomen worden, buiten de opmerking dat er vergelijkbare risico’s zouden zitten aan diensten afnemen van andere Europese landen. De AP noemde echter specifiek de wetgeving uit de VS als risico voor Europese privacy en daaruit volgend de soevereiniteit van lidstaten, waaronder Nederland. Hoe zijn de bezwaren van het AP precies weggenomen?

De AP heeft een brief gestuurd met zijn adviezen omtrent het Rijksbreed cloudbeleid 2022. Tevens heeft er een gesprek met de AP plaatsgevonden omtrent hun aandachtspunten. In de beleidsreactie op de brief van de AP wordt nader ingegaan hoe hun adviezen ter harte genomen worden.

En op basis waarvan wordt de inschatting gemaakt dat andere Europese landen een vergelijkbare bedreiging zijn voor Nederlandse dataveiligheid?

Europese landen kunnen, net als andere landen, voorzieningen in hun nationale wetgeving hebben opgenomen die het voor inlichtingen-, veiligheids- en opsporingsdiensten mogelijk maakt rechtmatige toegang te krijgen tot data opgeslagen in datacentra. Net als in Nederland zijn Europese landen daarbij gebonden aan de eisen uit de EU wetgeving en aan de eisen die het Europees Hof voor de Rechten van de Mens stelt aan toegang tot gegevens ten behoeve van de nationale veiligheid.

De leden van de GroenLinks-fractie constateren dat gefocust wordt op het risico van data breaches of toegang tot data door cloudproviders. Deze leden constateren dat dit slechts een aspect is van het soort van risico’s bij het afnemen van cloudservices. Er moet ook aandacht zijn voor wat cloudproviders leren of allerhande aspecten van het functioneren van de Nederlandse overheid middels het soort van services en software dat verschillende instanties afnemen bij een cloudprovider. Deelt de Staatssecretaris dit standpunt?

We delen de mening dat het gebruik van publieke clouddiensten risico's met zich meebrengt. Voor de Rijksdienst is daarom in het Rijksbreed cloudbeleid 2022 opgenomen dat er voordat er gebruik mag worden gemaakt van een public clouddienst, een risicoafweging uitgevoerd moet worden. Dergelijke risicoafwegingen moeten integraal de risico’s afdekken.

Hierover hebben deze leden ook nog enkele specifieke vragen. Is er een goede security assessment gemaakt van wat voor inzichten cloudproviders kunnen ontwaren op basis van de services die aan de overheid verleend worden?

Het Nationaal Bureau Verbindingsbeveiliging van de AIVD heeft in januari 2021 geadviseerd over public clouddiensten en gerubriceerde gegevens. Het Rijksbreed cloudbeleid 2022 zelf geeft ook inzicht in de gesignaleerde risico’s.

Wat voor security risico’s leveren die inzichten op?

Hoe is dit meegewogen in de risicoanalyse?

In het verlengde hiervan hebben de leden vragen over de afhankelijkheid van Silicon Valley black box technologie. Wat voor afhankelijkheden van black box software solutions ontstaan er op het moment dat de overheid in zee gaat met externe cloudproviders, en wat betekent dit voor onze capaciteit om fundamentele rechten te waarborgen?

In het cloudbeleid is de exit-strategie als voorwaarde opgenomen om vendor lock-in te voorkomen. De departementen houden hun materieel public cloudgebruik en de risico’s daarvan bij. Jaarlijks rapporteren de departementen over het materieel public cloudgebruik en onderliggende risico’s aan CIO Rijk. De rapportages, DPIA’s en risicoanalyses vormen de input voor de CIO-gesprekken die, in het kader van monitoring en advies, jaarlijks plaatsvinden. CIO Rijk beoordeelt deze op uitzonderlijke risico’s, zoals departement overstijgende risico’s waaronder stapelingsrisico’s.

Blijft er genoeg technische kennis binnen de overheid, wetende dat cloudcomputing black box technologie is?

Met de toenemende digitalisering en aanhoudende schaarste op de arbeidsmarkt wordt het steeds belangrijker om voldoende en de juiste kennis op I in huis te hebben. De Staatssecretaris van Koninkrijksrelaties en Digitalisering zet daar vanuit de I-strategie Rijk in op het thema «I-vakmanschap». Daarbij gaat het niet alleen om het ontwikkelen van rijksbreed beleid om zowel jong talent als de oudere jongere te verleiden bij de overheid te komen en blijven werken (nieuwe mensen binnen halen en houden) maar ook om de kennisontwikkeling bij niet I-personeel te stimuleren (en zittende collega’s waar nodig te voorzien van een «I-injectie»). In de Rijksbrede I-Strategie 2021–2025 wordt aandacht besteed aan het vergroten van de kennis en kunde bij ambtenaren op het gebied van digitalisering. Dat gebeurt bijvoorbeeld via de Rijks Academie voor Digitalisering en Informatisering Overheid (RADIO). Cloud computing is één van de onderwerpen waar leeractiviteiten op zijn en worden ontwikkeld.

Beperkt dit onze mogelijkheden om technologie te auditen en te snappen hoe het werkt en leidt dit tot technologische afhankelijkheid van tech bedrijven?

Nee, dit beperkt ons niet zolang er maar contractuele afspraken gemaakt worden waaronder het zogeheten auditrecht. Het is daarnaast ook verplicht een exit strategie te hebben, voordat men naar de cloud gaat, juist om afhankelijkheid te voorkomen.

Is er inzicht in de manier waarop het gebruik van de cloud de manier van werken van de overheid gaat veranderen en zich gaat scharen naar de waarden en behoeftes van de cloudprovider?

De Minister van JenV heeft eerder aangegeven dat de overheid een multi-cloud strategie nastreeft om niet afhankelijk te zijn van één cloudprovider.8 Er is dus geen sprake van dat we ons gaan scharen naar de waarden en behoeftes van cloudproviders. Daarnaast houdt CIO Rijk vanuit zijn monitorende rol een overzicht bij van materieel public cloudgebruik waarmee dergelijke strategische afhankelijkheden tijdig geïdentificeerd kunnen worden.

De leden van de GroenLinks-fractie hebben vragen over het economisch model van de cloudindustrie. In de brief van de Staatssecretaris wordt zeer beperkt ingegaan op het economische model van de cloudindustrie en hoe deze leert en profiteert van de data die de overheid beschikbaar stelt. Academici zoals Seda Gurses en Cecilia Rikap tonen aan dat de algoritmes, die onderdeel zijn van de cloudservices van grote tech bedrijven, slimmer worden door middel van de data die overheden beschikbaar stellen voor verwerking en analyse. Dit betekent dus dat deze bedrijven direct profiteren van de unieke toegang die ze hebben tot overheidsdata. Hoe kijkt de Staatssecretaris hiernaar?

Uitgangspunt is dat contractueel wordt overeengekomen dat een wederpartij de door opdrachtgever (in dit geval een rijksoverheidsorganisatie) verstrekte, en de op basis daarvan in opdracht van opdrachtgever gegenereerde, gegevens en data uitsluitend gebruikt voor het verrichten van de afgesproken prestatie en voor zover dit gebruik noodzakelijk en proportioneel is voor deze prestatie, en er afspraken worden gemaakt over de data, over toegankelijkheid van de gegevens en of die wel/niet voor analyse van de cloudprovider beschikbaar mag komen of niet. Tevens wordt afgesproken, op welke manier aangetoond wordt dat aan die afspraken wordt voldaan (assurance en assurance audit reports). In zijn algemeenheid geldt dat de technische inrichting voor clouddiensten zo opgezet moet worden dat er grote scheiding van rechten is, en toegang tot data op strikte manier wordt gecontroleerd, (voor controle achteraf) wordt vastgelegd, ook voor de cloudprovider zelf.

De voordelen die deze tech bedrijven halen uit het hebben van toegang tot overheidsdata voor het trainen van hun algoritmes roept bij deze leden de vraag op of deze algoritmes niet publiek gemaakt moeten worden. Graag ontvangen deze leden de visie van de Staatssecretaris hierop.

Het kabinet vindt niet dat bedrijven die vrij beschikbare data van de overheid gebruiken om hun algoritmen te trainen, vervolgens ook hun algoritmen dienen te publiceren. Het publiceren van algoritmen kan een deel van het concurrentievoordeel van een bedrijf prijsgeven. Wel dient het gebruik van algoritmen plaats te vinden binnen de reguliere wettelijke kaders.

De leden van de GroenLinks-fractie hebben voorts een vraag over de toegang van buitenlandse inlichtingendiensten. Op welke manier kunnen buitenlandse inlichtingendiensten toegang krijgen tot gegevens wanneer clouddiensten in andere landen gevestigd zijn en onder de wetgeving van het betreffende land vallen?

Hoe kan Nederland deze gegevens zo goed mogelijk beschermen tegen ongewenste interesse van buitenlandse diensten?

Het is van belang dat een risicoafweging vooraf gaat aan het plaatsen van data in een publieke cloudoplossing. Het gebruik van publieke clouddiensten is daarbij onder geen enkele voorwaarde toegestaan voor staatsgeheim gerubriceerde informatie. Daaruit moet ook volgen welke risico's er bestaan ten aanzien van ongewenste toegang door buitenlandse inlichtingen- en veiligheidsdiensten. Om het risico te beperken kan bijvoorbeeld worden gekozen voor publieke cloudoplossingen waarbij de data in Nederland of een ander Europees land blijft, of voor bijvoorbeeld private cloudoplossingen. De AVG stelt eisen aan gegevensverkeer naar derde landen: Het derde land moet over een «adequaat beschermingsniveau» beschikken, en als dat niet zo is moet de organisatie die gegevens exporteert waarborgen stellen die ervoor moeten zorgen dat de persoonsgegevens van EU-burgers voldoende beschermd zijn. Een factor die daarbij wordt meegenomen is in welke mate buitenlandse veiligheidsdiensten toegang tot die gegevens hebben.

Tot slot hebben de leden van de GroenLinks-fractie nog enkele losse vragen aan de Staatssecretaris. Voor hoe lang zal een risicoanalyse en een DPIA als geldig beschouwd worden? Heeft de Staatssecretaris de intentie om een nieuwe analyse te doen als servicevoorwaarden veranderen?

De toegespitste risicoafweging, exit-strategie en (pre-scan of formele) DPIA worden bij wezenlijke wijzigingen in de dienstverlening of wezenlijke verandering van de risico’s geactualiseerd. Ten minste iedere drie jaar moet een actualisatie van de analyses plaatsvinden, conform de aanbeveling van de AP.9

Een andere vraag die bij deze leden nog speelt is de vraag binnen welke termijn naar een alternatieve cloudleverancier overgestapt kan worden wanneer een leverancier nieuwe voorwaarden krijgt waardoor de service niet meer wenselijk of niet meer geschikt is?

Dit is afhankelijk van de leverancier en de gemaakte afspraken en de complexiteit van de af te nemen clouddienst(en).

Indien de overheid gebruik gaat maken van cloudservices zal wat de leden van de GroenLinks-fractie betreft een belangrijke eis moeten zijn dat van de meest energiezuinige state-of-the-art servers gebruik gemaakt wordt en het datacenter restwarmte zal hergebruiken. Deelt de Staatssecretaris dit standpunt?

De Staatssecretaris deelt het standpunt dat energie efficiëntie één van de belangrijke eisen is bij de toekomstige inkoop van public cloud services, conform het beleid Inkopen met impact. Aanbieders dienen duidelijk te maken hoe ze daar inhoud aangeven, daarbij kunnen restwarmte en energie efficiënte van servers van de ingezette datacenters aspecten zijn die meetellen. Naast de in te kopen public cloud service dient ook de leverancier te voldoen aan eisen als het Global Reporting Initiative om geschikt te zijn als aanbieder van public cloud diensten.

Vragen en opmerkingen van de leden van de Volt-fractie

Welke andere belangen, naast investeringen in beveiliging worden afgewogen bij de keuze om voor publieke cloudleveranciers te kiezen?

Omdat de departementen onderling aanzienlijk verschillen, hangt dit af van de departementale cloudstrategie en -beleid. In de implementatiekader staat dat in de risicoafweging de kosten, baten en risico’s verder afgewogen moeten worden.

Uit de beantwoording op schriftelijke vragen van het lid Van Ginneken11 volgt dat de European Data Protection Board (EDPB) onderzoek doet naar de voor- en nadelen van het gebruik van niet-Europese clouddiensten bij overheidssystemen. De uitkomsten daarvan kunnen volgens de Staatssecretaris worden gebruikt om meer inzicht te geven in de risico’s. Welke risico’s heeft de Staatssecretaris zelf al in kaart gebracht?

Hoe heeft zij die verschillende risico’s afgewogen bij het vaststellen van het Rijksbreed cloudbeleid?

Deze risico's zijn afgewogen bij de totstandkoming van het Rijksbreed cloudbeleid 2022 in de interdepartementale samenwerking met CIO’s, CISO’s en CTO’s, inclusief betrokkenheid van Nationaal Bureau Verbindingsbeveiliging (NBV) dat onderdeel is van de AIVD, en het NCSC.

De leden van de Volt-fractie merken op dat de Staatssecretaris in het Rijksbreed cloudbeleid schrijft dat rijksdiensten vrij zijn om aanbieders van clouddiensten te kiezen op basis van hun eigen risicoafweging. Zijn er volgens de Staatssecretaris risico’s denkbaar waartegen simpelweg geen enkel voordeel opweegt?

Het risico op spionage voor staatsgeheime informatie is dusdanig groot dat daar geen enkel voordeel tegen opweegt. Daarom is staatsgeheime informatie uitgesloten van de publieke cloud.

Zoals bijvoorbeeld het onderbrengen van persoonsgegevens bij een dienst die (deels) eigendom is van de Chinese staat?

Bij de beoordeling van risico’s ten aanzien van spionage, beïnvloeding of sabotage door statelijke actoren of andere partijen bij digitale producten hanteert het kabinet de overwegingen die zijn vermeld in de brief aan de Tweede Kamer over C2000, van 26 april 2019 (Kamerstuk 25 124, nr. 96). Hierbij wordt o.a. meegewogen of een partij afkomstig is uit een land met een offensief cyberprogramma. De overwegingen worden in samenhang met elkaar bezien en alleen wanneer alle overwegingen van toepassing zijn, en blijkt dat nationale veiligheidsrisico’s niet voldoende kunnen worden beheerst, worden waar mogelijk partijen uitgesloten.

Welke middelen en bevoegdheden heeft de Staatssecretaris om in te grijpen als een Rijksdienst desondanks van plan is hiervoor te kiezen?

Het Rijksbreed cloudbeleid 2022 is interdepartementaal tot stand gekomen via de ICBR en goedgekeurd door de ministerraad. De departementen rapporteren jaarlijks aan CIO Rijk over het materieel public cloudgebruik en de risico’s daarvan. De ontvangen rapportages, DPIA’s en risicoafwegingen gebruikt CIO Rijk conform het cloudbeleid en het CIO-stelsel in de jaarlijkse cyclus van de CIO-gesprekken als onderdeel van diens monitorings- en adviesfunctie. De departementen voeren daarnaast jaarlijks hun eigen controles uit. Naast het aanleveren van informatie over materieel public cloudgebruik, is er ook de jaarlijkse rapportagesystematiek voor departementen, waarbij zij hun eigen audit uitvoeren. De ADR voert, als onafhankelijke internal auditor van de rijksoverheid, audits uit. Waarbij de ARK, als onafhankelijk instituut, vooral een controlerende rol heeft. Voor wat betreft persoonsgegevens is de Autoriteit Persoonsgegevens (AP) de toezichthouder.

Is het voor de departementen daadwerkelijk mogelijk om regie te houden over de persoonsgegevens waarvoor zij verwerkingsverantwoordelijke zijn?

Ja, zolang voldaan wordt aan bestaande wet- en regelgeving, waaronder de AVG en het Rijksbreed cloudbeleid 2022. De FG zal, als onderdeel van hun toezichthoudende rol (AVG, artikel 39), betrokken zijn bij het toezicht op de privacyrisico’s binnen de organisaties.

Op welke manier is de Staatssecretaris voornemens om dit te coördineren en daar toezicht op te houden?

Jaarlijks rapporteren de departementen over het materieel public cloudgebruik en onderliggende risico’s aan CIO Rijk. De rapportages, DPIA’s en risicoanalyses vormen de input voor de CIO-gesprekken die, in het kader van monitoring en advies, jaarlijks plaatsvinden. Naast deze periodieke rapportage voeren de departementen ook eigen audits en controles uit. De ADR voert, als onafhankelijke internal auditor van de rijksoverheid, audits uit. Waarbij de ARK, als onafhankelijk instituut, vooral een controlerende rol heeft.

De leden van de Volt-fractie vragen hoe de Staatssecretaris oordeelt over de spanning tussen de Europese AVG en de Amerikaanse Cloud Act. Op basis van de AVG moeten immers afspraken gemaakt worden over de verwerking van persoonsgegevens met derdelanden en tussen verantwoordelijken en verwerkers, maar die contractuele afspraken houden in principe geen stand tegenover de verplichting in de Cloud Act om gegevens te delen met de Amerikaanse overheid. Is het wel mogelijk om aan de Europese wettelijke verplichtingen te voldoen en tegelijkertijd gegevens bij de Amerikaanse partij op te slaan?

Hoe kan worden gegarandeerd dat gegevens de EU niet verlaten, althans niet bij buitenlandse overheden terecht komen?

Het Rijksbreed cloudbeleid schrijft niet voor dat gegevens altijd binnen de EU moeten blijven. Staatsgeheime informatie mag sowieso niet in de public cloud worden geplaatst, vanwege de mogelijke risico’s. Voor persoonsgegevens bevat het cloudbeleid kaders die voorschrijven op welke wijze met persoonsgegevens moet worden omgegaan. Ook omschrijft het onder welke voorwaarden eventuele doorgifte wel of niet is toegestaan. Om eventuele risico’s tegen te gaan is er, en in lijn met de Aanbevelingen van de European Data Protection Board inzake internationale gegevensdoorgifte, de verplichting om een adequate risicoafweging te maken aan de hand van een Data Transfer Impact Assessment (DTIA). In deze DTIA´s wordt onder meer rekening gehouden met buitenlandse wet- en regelgeving en de eventuele gevolgen daarvan voor betrokkenen. Een uitkomst van een dergelijke risicoafweging kan zijn dat er aanvullende waarborgen moeten worden genomen om ervoor te zorgen dat het door de AVG vereiste beschermingsniveau wordt gewaarborgd.

In aanvulling op het voorgaande. Heeft de Staatssecretaris de mogelijkheid om de Europese waarden te borgen

Kaders en regels gesteld op Europees niveau zijn altijd van toepassing, zo ook op dit Rijksbreed cloudbeleid 2022. Dit geldt hier onder meer voor de waarde die wij in Europa hechten aan privacy, zoals geborgd in de AVG.

Kan de Staatssecretaris toelichten welke waarden zij precies bedoelt als zij het heeft over Europese waarden?

In de aanbiedingsbrief bij de werkagenda «Waardengedreven Digitaliseren» heb ik veiligheid, democratie, zelfbeschikking, privacy en transparantie als publieke waarden geïdentificeerd, die het uitgangspunt zijn vanuit waar we naar digitalisering kijken. Vanuit deze waarden zet ik mij in Europa in om het voortouw te nemen in een sterkere samenwerking tussen EU-lidstaten rond digitalisering.

Tijdens de technische briefing inzake Rijksbreed cloudbeleid d.d. 20 oktober 2022 is eveneens gevraagd naar Europese alternatieven, waaronder Gaia-X. Heeft de Staatssecretaris er vertrouwen in dat dit project als alternatief voor Amerikaanse cloudleveranciers kan werken?

Het kabinet steunt op verschillende manieren de ontwikkeling van Europese clouddiensten, onder andere via de IPCEI CIS en GAIA-X. Beide projecten dragen bij aan de ontwikkeling van een nieuwe generatie cloudoplossingen door marktpartijen, op basis van Europese waarden en regels. Samen met beleidsinitiatieven gericht op het beter laten functioneren van de markt, zoals de Dataverordening en DMA, draagt dit in de ogen van het kabinet bij aan het ontwikkelen van alternatieven voor Amerikaanse cloudleveranciers met als ambitie om tot een volwaardig Europees aanbod te komen.

Zijn er best-practices in andere lidstaten binnen de EU, die we kunnen gebruiken voor het vaststellen van ons Rijksbreed cloudbeleid? Bijvoorbeeld landen waarin expliciet een andere afweging is gemaakt ten aanzien van de verwerking van staatsgeheime gegevens of bijzondere en gevoelige persoonsgegevens? Zijn die geconsulteerd?

Het Rijksbreed cloudbeleid 2022 is reeds vastgesteld en op 29 augustus 2022 aan de Kamer gestuurd. Een onderdeel daarvan is de evaluatie die in 2023 gestart zal worden, en waarna er een eventuele update van het beleid zal volgen. Bij totstandkoming van het Rijksbreed cloudbeleid 2022 zijn ontwikkelingen op Europees niveau meegewogen. Er zijn in de totstandkoming van het Rijksbreed cloudbeleid 2022 geen consultaties met specifieke landen geweest. In de evaluatie die zal starten in 2023 zullen Europese ontwikkelingen gemonitord worden.

In 2020 hebben de EU-lidstaten gezamenlijk verklaard toe te werken naar een Europese cloud en daarbij onder andere te streven naar hoge standaarden op het gebied van energie-efficiëntie. Toch komt deze overweging niet terug in de lijst met voorwaarden voor het gebruik van de publieke cloud voor de rijksdiensten. Waarom is ervoor gekozen om energie-efficiëntie hierin niet op te nemen?

Rijksdiensten dienen in te kopen volgens het Rijksinkoopbeleid: «Inkopen met impact». Energie-efficiëntie is onderdeel van de doelstellingen.

Zijn er andere manieren waarop rijksdiensten worden aangemoedigd om dit in de overweging mee te nemen?

Duurzaam, sociaal en innovatief inkopen is de standaard van de rijksoverheid. Dit staat beschreven in de strategie Inkopen met Impact van de rijksoverheid. Elk departement en/of organisatieonderdeel vertaalt de rijksdoelen naar eigen, specifieke doelen en legt die vast in Maatschappelijk Verantwoord Inkopen (MVI)-actieplannen, categorieplannen en routekaarten.