2022D44956 INBRENG VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

De leden van de VVD-fractie hebben kennisgenomen van het reeds aangekondigde Rijksbreed cloudbeleid 2022 van de Staatssecretaris voor Koninkrijksrelaties en Digitalisering. Deze leden constateren dat het streven naar het gebruik van publieke (commerciële) clouddiensten de nodige (veiligheids-) risico’s met zich meebrengt voor overheidsdiensten die niet onbesproken mogen blijven. Deze leden achten het van belang om hier nader op in te gaan. Zij willen hierover dan ook nog enkele vragen stellen.

Allereerst willen de leden van de VVD-fractie erop wijzen dat het leeuwendeel van de publieke cloudmarkt gedomineerd wordt door aanbieders van Amerikaanse herkomst. In de praktijk betekent dit dat in de toekomst onze overheidsdiensten in de meeste gevallen zullen overstappen naar bekende Amerikaanse cloudpartijen. In dat licht willen deze leden wijzen op de implicaties van geldende Amerikaanse wetgeving en in het bijzonder de Clarifying Lawful Overseas Use of Data Act (Cloud Act). Conform de Cloud Act worden Amerikaanse aanbieders van elektronische communicatiediensten, dus ook cloudaanbieders, verplicht om gegevens die middels hun diensten worden verstuurd te bewaren en te verstrekken op verzoek van de Amerikaanse overheid. Deze vorderingen kunnen plaatsvinden ongeacht waar ter wereld de servers gelokaliseerd zijn. Dit komt erop neer dat, wanneer Nederlandse overheidsdiensten gebruik gaan maken van Amerikaanse cloudinfrastructuur, ook Nederlandse overheidsdata opgevraagd kunnen worden door de Amerikaanse overheid, zonder dat daarbij de betreffende overheidsdienst wordt geïnformeerd, zoals bleek uit de bevindingen van de Cloud Act memo opgesteld door advocatenkantoor Greenberg Traurig gericht aan het Nationaal Cyber Security Centrum (NCSC)1. Is de Staatssecretaris zich bewust van deze implicatie? Hoe beoordeelt zij dit? Kan de Staatssecretaris hierbij specifiek ingaan op de bevindingen van Greenberg Traurig in de Cloud Act memo en de bestaande eisen die gelden voor ICT-dienstverlening van de overheid?

De leden van de VVD-fractie vragen specifiek hoe het voornemen tot het gebruik van publieke (commerciële) clouddiensten, gelet op de implicaties van de Cloud Act, zich verhoudt tot de bestaande eisen krachtens de Algemene verordening gegevensbescherming (AVG), de Baseline Informatiebeveiliging Overheid (BIO) en het Voorschrift Informatiebeveiliging Rijksdienst (VIR). Kan de Staatssecretaris dit toelichten? In het verlengde hiervan, wordt gesteld dat bij de inkoop en aanbesteding van producten en diensten binnen de rijksoverheid eventuele risico’s voor de nationale veiligheid worden meegewogen. Hierbij zou in het bijzonder gelet moeten worden op mogelijke risico’s voor de continuïteit van vitale processen, de integriteit en exclusiviteit van kennis en informatie en de ongewenste opbouw van strategische afhankelijkheden. Gelet op de implicaties van de Cloud Act, hoe beoordeelt de Staatssecretaris specifiek de risico’s voor de nationale veiligheid en de mogelijke verstoring van continuïteit van onze vitale processen indien Nederlandse overheidsdiensten gebruik maken van Amerikaanse cloudinfrastructuur, zo vragen deze leden.

De leden van de VVD-fractie lezen daarnaast in de brief dat de BIO de inzet van publieke clouddiensten niet bij voorbaat uitsluit. Deze leden vragen de Staatssecretaris wat wordt bedoeld met «niet bij voorbaat uitsluit». Moet de BIO worden aangepast om gebruik te kunnen maken van publieke clouddiensten? Is anderszins nog wijziging van wet- en regelgeving nodig? Zo ja, om welke wet- en regelgeving gaat het?

De leden van de VVD-fractie willen tevens wijzen op het lopende onderzoek van de Europese privacy toezichthouder European Data Protection Board (EDPB) naar cloudgebruik door de publieke sector waarvan de resultaten voor het eind van dit jaar verwacht worden. Gelet op de mogelijke uitkomsten van dit onderzoek, in het bijzonder op het vlak van de risicoanalyse gericht op het gebruik van non-EU cloudleveranciers, realiseert de Staatssecretaris zich dat met voorliggend voorstel vooruit wordt gelopen op dit onderzoek? Zo ja, kan de Staatssecretaris hierop reflecteren? Is het Adviescollege ICT-toetsing om advies gevraagd over het Rijksbreed cloudbeleid? Zo nee, waarom niet?

Voorts willen de leden van de VVD-fractie aandacht vragen voor het steeds groter wordende belang van het versterken van de Nederlandse en Europese digitale autonomie in het kader van onze strategische belangen. Dit belang is al eerder benadrukt in het Coalitieakkoord «Omzien naar elkaar, vooruitkijken naar de toekomst» met het expliciet benoemen van de noodzaak van strategische autonomie om onze veiligheid, rechtsstaat, democratie, mensen- en grondrechten en concurrentievermogen beter te beschermen. In het kader van deze uitgesproken politieke wens, hoe reflecteert de Staatssecretaris op haar besluit en voornemen om overheidsinstanties gebruik te laten maken van commerciële clouddiensten die grotendeels in Amerikaanse handen zijn? Kan de Staatssecretaris hierbij ingaan op haar beweegredenen voor haar besluit/voornemen?

De leden van de VVD-fractie stellen vast dat met het kiezen voor publieke clouddiensten, gezien de Amerikaanse dominantie, indirect wordt gekozen voor niet-EU cloudaanbieders en dat daarmee niet wordt ingezet op het verder ontwikkelen van de nationale of Europese cloudmarkt. Deelt de Staatssecretaris de mening dat juist omwille van het versterken van onze digitale autonomie, het een gemiste kans is om niet in te zetten op de ontwikkeling van Europese alternatieven? Zo ja, hoe verhoudt zich dit tot het besluit van de Staatssecretaris ten aanzien van het Rijksbreed cloudbeleid en hoe verhoudt zich dit tot de Important Project of Common European Interest (IPCEI)-investeringen gericht op cloud? Zo nee, waarom niet?

De leden van de VVD-fractie willen, met het oog op het belang van het inzetten op Europese alternatieven, graag nader ingaan op de inspanningen die tot nu geleverd zijn in nationaal en Europees verband. Zo willen deze leden wijzen op de gezamenlijke verklaring van 25 lidstaten van de Europese Unie op 20 oktober 2020 om samen met de industrie te werken aan een volgende generatie van een Europese cloud. Welke concrete stappen zijn sinds deze verklaring gezet in Europees verband? Is de Staatssecretaris het met deze leden eens dat dit soort initiatieven, gelet op bovenstaande, juist gestimuleerd moeten worden? Zo ja, hoe beoordeelt zij de kansen en de meerwaarde van deze gezamenlijke inspanning in het licht van uw beslissing om overheidsdiensten publieke clouddiensten te laten gebruiken?

Daarnaast willen de leden van de VVD-fractie de Staatssecretaris attenderen op het recent verschenen rapport Marktstudie Clouddiensten van de Autoriteit Consument en Markt (ACM).2 Naast dat dit rapport de Amerikaanse dominantie op de cloudmarkt aantoont, wordt gewaarschuwd voor «verborgen kosten» die gepaard gaan met overstappen en het risico op volledige afhankelijkheid. Hoe beoordeelt de Staatssecretaris deze waarschuwing? In hoeverre zijn deze «verborgen kosten» zoals overstapheffingen en -toeslagen ingecalculeerd in het besluit en in hoeverre kan dit risico worden gemitigeerd door de opgenomen voorwaarde exit strategie? In hoeverre zijn de, vaak fikse, overstapkosten te rijmen met een strategie die tot en met 2025 duurt? Is de Staatssecretaris het met deze leden eens dat bij het maken van keuzes die impact hebben op de strategische autonomie van Nederland verder gekeken moet worden dan slechts een paar jaar?

Ook het risico op volledige afhankelijkheid, ook wel de «vendor lock-in» genoemd, baart de leden van de VVD-fractie zorgen. Het ACMrapport waarschuwt voor de zuigwerking van big tech-clouddiensten. Door gebrekkige interoperabiliteit en dataportabiliteit zouden klanten effectief gevangen raken in het dienstenweb van big tech-cloudaanbieders wanneer eenmaal gebruik wordt gemaakt van de aangeboden cloudinfrastructuur van één bepaalde aanbieder. Het combineren van clouddiensten van verschillende aanbieders zou gepaard gaan met prijs- en kwaliteitsbeperkingen waardoor klanten het risico lopen om volledig afhankelijk te raken van één aanbieder. Hoe beoordeelt de Staatssecretaris dit geconstateerde risico op de onwenselijke «vendor lock-in»? In hoeverre mitigeren de opgenomen voorwaarden dit risico voor het gebruik van de publieke cloud voor overheidsdiensten? In hoeverre ziet de Staatssecretaris het ontbreken van afdwingbare open standaarden in de «European Data Act» als risico voor een toekomstige overstap naar een andere aanbieder? Welke mogelijkheden ziet de Staatssecretaris nog concreet om de technische en financiële overstapdrempels tussen clouddiensten weg te nemen? Is zij bereid om hier stappen in te zetten? Zo nee, waarom niet? Op welke manier worden de verschillende departementen geholpen om de juiste risico-afwegingen te maken rondom de lock-in en om daar een uitvoerbare exit-strategie voor te maken?

De leden van de VVD-fractie hebben nog enkele laatste vragen. Wat is er in het kader van het Rijksbreed cloudbeleid 2022 geregeld voor de decentrale overheden? Geldt voor deze overheden eenzelfde beleid als wordt voorgesteld in het Rijksbreed cloudbeleid 2022? Wordt dit nieuwe beleid al toegepast? Is de Staatssecretaris het met deze leden eens dat het wenselijk is om in 2022 geen onomkeerbare stappen te zetten met betrekking tot afspraken met cloudaanbieders? Zo nee, waarom niet?

De leden van de D66 fractie hebben met interesse kennisgenomen van het Rijksbreed cloudbeleid 2022. Deze leden hebben nog enkele vragen.

De leden van de D66-fractie lezen dat elke departement zelf verantwoordelijk is om de relevante risico’s van het gebruik van een publieke cloud in beeld te hebben en te houden. Deze leden vragen waarom er niet van tevoren door het Rijk een risicokader is gemaakt zodat de departementen zich daar aan houden. Kan de Staatssecretaris aangegeven in welke mate ieder departement individueel een data protection impact assessment (DPIA) moet doen als er gebruik wordt gemaakt van dezelfde publieke clouddienst? Op basis van welk toetsingskader wordt bepaald of er sprake is van een hoog risico? Wat als een departement de risico’s te laag inschat, is hier sprake van toezicht?

De leden van de D66-fractie lezen dat onderdelen die niet tot de Rijksdienst behoren ook geadviseerd worden dit Rijksbeleid te volgen. Deze leden vragen of hier gemeenten onder vallen. Worden gemeenten door het Rijk begeleid of verder geadviseerd om hieraan te voldoen?

De leden van de D66-fractie stellen voorop dat, zoals de Marktstudie Clouddiensten van de ACM illustreert, het onwenselijk is dat de Amerikaanse techreuzen Microsoft, Google en Amazon vrijwel de gehele markt voor cloudaanbieders beheersen. In welke mate is het mogelijk om tussen cloudaanbieders te switchen als de huidige aanbieder niet voldoet aan de wensen? Welk tijdspad en welke kosten komen bij een dergelijke switch kijken? Zijn er aanwijzingen dat interoperabiliteit en dataportabiliteit zullen verbeteren de komende jaren bij deze aanbieders? Kan de Staatssecretaris toelichten wanneer het cloudbeleid aan evaluatie onderhevig is?

De leden van de D66-fractie horen graag van de Staatssecretaris welke Europese lidstaten gelijkmatige wetten hebben zoals de Verenigde Staten op het gebied van datatoegang, zoals de Cloud Act en de Foreign Intelligence Surveillance Act. Is er altijd een plicht tot versleuteling van opgeslagen data bij het gebruik van clouddiensten? Zo nee, waarom wordt deze afweging per risico inschatting gemaakt? De Staatssecretaris geeft aan dat niet alle informatie geschikt is voor publieke clouddiensten, zoals staatsgeheim gerubriceerde informatie of informatie afkomstig van het Ministerie van Defensie. Is er nog een voornemen om aan de slag te gaan met een vorm van een eigen cloud voor zaken die niet in publieke clouddiensten mogen, mogelijk in Europees verband?

De leden van de CDA-fractie hebben kennisgenomen van de brief van de Staatssecretaris over het Rijksbreed cloudbeleid 2022. Deze leden hebben hierover nog enkele vragen.

De leden van de CDA-fractie lezen dat het kabinet voornemens is om voorafgaand aan de keuze om publieke clouddiensten te gebruiken uitgebreide (pre-scan) DPIA’s uit te voeren, om ervoor te zorgen dat de risico’s in beeld zijn en goed afgedekt worden. Deze leden vragen of ook gedurende het gebruik van een publieke clouddienst wordt gemonitord en getoetst of het gebruik van de clouddienst nog aan de voorwaarden voldoet. De snelle technologische ontwikkelingen maken dit volgens deze leden noodzakelijk en zijvragen of de Staatssecretaris het hiermee eens is en hoe zij dit vormgeeft.

De leden van de CDA-fractie vragen of in het beleid ook is opgenomen dat rijksbreed bijgehouden wordt waar, hoeveel en voor hoelang gebruik gemaakt wordt van welke clouddiensten, inclusief de gronden voor het gebruik van de betreffende clouddienst. Deze leden vragen voorts hoe ervoor wordt gezorgd dat zoveel mogelijk centraal gestandaardiseerde contractuele voorwaarden worden opgesteld, om het cloudgebruik zoveel mogelijk te uniformeren.

De leden van de CDA-fractie vragen aan de Staatssecretaris of en zo ja, welke adviezen de Staatssecretaris heeft ingewonnen over de vraag of het gebruik van publieke clouddiensten, en of bijvoorbeeld ook advies is gevraagd aan het Adviescollege ICT-toetsing.

De leden van de CDA-fractie lezen in de beslisnota van 7 juli 2022 over de mediaberichten dat de Ierse privacy toezichthouder DPC mogelijk Meta gaat verbieden data van Europese gebruikers naar clouddiensten in de Verenigde Staten te sturen, omdat zij niet aan de juridische voorwaarden voldoet. Deze leden vragen of hierover bij de Staatssecretaris inmiddels al meer over bekend is geworden en of deze berichten ook zijn meegewogen in de definitieve afweging om publieke clouddiensten, met enkele uitzonderingen, onder voorwaarden mogelijk te maken.

De leden van de CDA-fractie signaleren dat op Europees niveau veel aandacht is voor de ontwikkelingen rondom cloudgebruik. Deze leden vragen of de Staatssecretaris nader kan ingaan op de samenloop met de Europese ontwikkelingen op het gebied van de IPCEI Cloud. Deze leden vragen of de Staatssecretaris voornemens is om op lange termijn gebruik te willen gaan maken van betrouwbare Europese cloudaanbieders, die mogelijkerwijs voortkomen uit de initiatieven rondom IPCEI Cloud. Deze leden vragen de Staatssecretaris of zij kan toelichten of het voorgenomen Rijksbreed Cloudbeleid in overeenstemming is met de Europese Data Act.

De leden van de SP-fractie hebben kennisgenomen van de uitwerking van de nieuwe visie op het gebruik van publieke clouddiensten van de rijksoverheid. Deze leden vinden de verschuiving van gebruik van private clouddiensten naar publieke een goede stap, deze leden maken zich nog wel zorgen over de invulling van wat «publiek» precies betekent en de waarborgen die ontbreken voor veilig gebruik en opslag.

De grootste vraag die de leden van de SP-fractie hebben, is waarom gezegd wordt dat er publieke clouddiensten zijn, terwijl de opslag ingekocht wordt bij grote(re) tech- en/of ICT-bedrijven van uit de Verenigde Staten, China of andere internationale spelers. Waarom is bij het vormgeven niet nagedacht over geopolitieke belangen die mee kunnen spelen bij bepalen wie een clouddienst mag aanbieden? Als dit wel is meegewogen, dan vragen deze leden, welke afwegingen zijn gemaakt? Deze leden zijn er van geschrokken dat bij de technische briefing naar voren kwam dat lessen vanuit de aankoop van camera’s door gemeenten of software door de politie niet zijn betrokken. De Kamer heeft meermaals aangegeven dat bij dit soort cruciale inzet van ICT/digitale technieken de naïviteit over spionage moet wordt afgeschud. Kan de Staatssecretaris aangeven hoe verschillende ministeries in de inkoop van hun cloud hierop selecteren en afwegen?

De leden van de SP-fractie maken zich zorgen over dat iedere overheidsdienst of ministerie zelf zijn inkoop verzorgt en eigen strategie bepaalt. Deze leden vinden dat niet wenselijk. Kan de Staatssecretaris aangeven of en zo ja hoe zij de coördinatie – dan wel regie – kan versterken en het beleid minder vrijblijvend kan maken? Herkent de Staatssecretaris zich in de uitspraak «outsourcing is standaard» bij de inkoop van ICT-systemen en -producten? Wat vindt zij van die uitspraak?

De leden van de SP-fractie vragen of de Staatssecretaris overweegt om eigen cloud of Europese clouddiensten te ontwikkelen ten einde niet afhankelijk te zijn van intercontinentale spelers.

De leden van de SP-fractie hebben de indruk dat het cloudbeleid een rijdende trein is en dat bijsturing of aanpassing vanuit de Kamer nauwelijks mogelijk is. Kan de Staatssecretaris daarop reageren? Hoe ziet zij haar brief van 29 augustus 2022, als een voorstel of als uitleg van beleid? Deze leden hebben sterk de indruk dat de beleidskeuzes voldongen feiten zijn en daarom vragen zij aan de Staatssecretaris hoe dit beleid tot stand is gekomen. Welke beleidsmakers hebben dit opgesteld, wie hadden daarbij inspraak, en wanneer is dit beleid vastgesteld en door wie? Deze leden willen nadrukkelijk aangeven dat het niet om de personen gaat, maar om de functies en disciplines. Graag willen deze leden weten hoe er om is gegaan met advies en wie dat heeft gegeven. Kan de Staatssecretaris een helder overzicht maken van wie geadviseerd heeft of geconsulteerd is?

De leden van de SP-fractie stellen vast dat de beleidsbrief van de Staatssecretaris door wetenschappers niet positief is ontvangen, sterker: «hoogleraren maken gehakt van nieuwe cloudkoers van het kabinet» kopte Agconnect.nl op 22 september 20223. Kan de Staatssecretaris helder ingaan op de bezwaren van de hoogleraren Van Dijck en Jacobs in de Volkskrant4 van dezelfde datum? Kan zij de zorgen die de hoogleraren hebben wegnemen? Deze leden dagen haar daartoe uit.

De leden van de SP-fractie zien dat in documenten een duidelijk onderscheid wordt gemaakt wat er wel en wat er niet in de cloud kan worden opgeslagen. Zo worden staatsgeheime en vertrouwelijke stukken alleen opgeslagen als het veilig kan. Welke richtlijnen zijn er precies voor het vaststellen van welke documenten geclassificeerd zijn en de vraag wanneer het wel veilig kan?

De leden van de SP-fractie willen tot slot weten hoe er omgegaan wordt met de legacy van oude clouddiensten en de documenten die daar nu in staan? Zijn die documenten allemaal terug te vinden in systemen als digidoc als de stukken worden opgevraagd of als ze nodig zijn voor beleidsanalyse? Is gewaarborgd dat overheidsdiensten en ministeries kunnen overstappen naar een publieke clouddienst? Of later een overstap kunnen maken als zij een andere of een écht publieke clouddienst willen gebruiken?

De leden van de Groenlinks-fractie hebben met belangstelling kennisgenomen van de brief van de Staatssecretaris over het Rijksbreed cloudbeleid. Deze leden hebben naar aanleiding van de brief een aantal vragen en opmerkingen.

De leden van de GroenLinks-fractie constateren dat de cloudmarkt niet optimaal functioneert en dat er geïnvesteerd moet worden in (Europese) alternatieven. Deze leden vragen de Staatssecretaris hoe Nederland kan proberen hier grip op te houden om te voorkomen dat hier miljoenen worden ingepompt maar de overstap naar Europese diensten nooit wordt gemaakt.

Ook vragen de leden van de GroenLinks-fractie hoe de Staatssecretaris ervoor gaat zorgen dat we kunnen waarborgen dat veiligheid van informatie ook daadwerkelijk gewaarborgd wordt. Is er bij overheden voldoende interne kennis van clouddiensten? Zo nee, hoe gaat dit alsnog georganiseerd worden?

De leden van de GroenLinks-fractie hebben eerder al zorgen geuit over de sturing vanuit de Autoriteit Persoonsgegevens (AP). In zowel de technische briefing als de kabinetsbrief is niet duidelijk gemaakt hoe de zorgen nu weggenomen worden, buiten de opmerking dat er vergelijkbare risico’s zouden zitten aan diensten afnemen van andere Europese landen. De AP noemde echter specifiek de wetgeving uit de VS als risico voor Europese privacy en daaruit volgend de soevereiniteit van lidstaten, waaronder Nederland. Hoe zijn de bezwaren van het AP precies weggenomen? En op basis waarvan wordt de inschatting gemaakt dat andere Europese landen een vergelijkbare bedreiging zijn voor Nederlandse dataveiligheid?

De leden van de GroenLinks-fractie constateren dat gefocust wordt op het risico van data breaches of toegang tot data door cloudproviders. Deze leden constateren dat dit slechts een aspect is van het soort van risico’s bij het afnemen van cloudservices. Er moet ook aandacht zijn voor wat cloudproviders leren of allerhande aspecten van het functioneren van de Nederlandse overheid middels het soort van services en software dat verschillende instanties afnemen bij een cloudprovider. Deelt de Staatssecretaris dit standpunt? Hierover hebben deze leden ook nog enkele specifieke vragen. Is er een goede security assessment gemaakt van wat voor inzichten cloudproviders kunnen ontwaren op basis van de services die aan de overheid verleend worden? Wat voor security risico’s leveren die inzichten op? Hoe is dit meegewogen in de risicoanalyse? In het verlengde hiervan hebben de leden vragen over de afhankelijkheid van Silicon Valley black box technologie. Wat voor afhankelijkheden van black box software solutions ontstaan er op het moment dat de overheid in zee gaat met externe cloudproviders, en wat betekent dit voor onze capaciteit om fundamentele rechten te waarborgen? Blijft er genoeg technische kennis binnen de overheid, wetende dat cloudcomputing black box technologie is? Beperkt dit onze mogelijkheden om technologie te auditen ente snappen hoe het werkt en leidt dit tot technologische afhankelijkheid van tech bedrijven? Is er inzicht in de manier waarop het gebruik van de cloud de manier van werken van de overheid gaat veranderen en zich gaat scharen naar de waarden en behoeftes van de cloudprovider?

De leden van de GroenLinks-fractie hebben vragen over het economisch model van de cloudindustrie. In de brief van de Staatssecretaris wordt zeer beperkt ingegaan op het economische model van de cloudindustrie en hoe deze leert en profiteert van de data die de overheid beschikbaar stelt. Academici zoals Seda Gurses en Cecilia Rikap tonen aan dat de algoritmes, die onderdeel zijn van de cloudservices van grote tech bedrijven, slimmer worden door middel van de data die overheden beschikbaar stellen voor verwerking en analyse. Dit betekent dus dat deze bedrijven direct profiteren van de unieke toegang die ze hebben tot overheidsdata. Hoe kijkt de Staatssecretaris hiernaar? De voordelen die deze tech bedrijven halen uit het hebben van toegang tot overheidsdata voor het trainen van hun algoritmes roept bij deze leden de vraag op of deze algoritmes niet publiek gemaakt moeten worden. Graag ontvangen deze leden de visie van de Staatssecretaris hierop.

Tot slot hebben de leden van de GroenLinks-fractie nog enkele losse vragen aan de Staatssecretaris. Voor hoe lang zaleen risicoanalyse en een DPIA als geldig beschouwd worden? Heeft de Staatssecretaris de intentie om een nieuwe analyse te doen als servicevoorwaarden veranderen? Een andere vraag die bij deze leden nog speelt is de vraag binnen welke termijn naar een alternatieve cloudleverancier overgestapt kan worden wanneer een leverancier nieuwe voorwaarden krijgt waardoor de service niet meer wenselijk of niet meer geschikt is?

Indien de overheid gebruik gaat maken van cloudservices zal wat de leden van de GroenLinks-fractie betreft een belangrijke eis moeten zijn dat van de meest energiezuinige state-of-the-art servers gebruik gemaakt wordt en het datacenter restwarmte zal hergebruiken. Deelt de Staatssecretaris dit standpunt?

De leden van de Volt-fractie hebben kennisgenomen van het Rijksbreed cloudbeleid 2022. Daarover hebben deze leden nog enkele vragen.

De leden van de Volt-fractie merken op dat de Staatssecretaris in het Rijksbreed cloudbeleid schrijft dat één van de voordelen van het gebruiken van publieke cloudleveranciers is dat zij veel grotere investeringen in informatiebeveiliging doen dan de rijksoverheid zelf wil of kan doen. Om hoeveel investeringen gaat het hier? Kan de Staatssecretaris uitleggen waarom de rijksoverheid dergelijke investeringen niet wil doen? Welke andere belangen, naast investeringen in beveiliging worden afgewogen bij de keuze om voor publieke cloudleveranciers te kiezen? Uit de beantwoording op schriftelijke vragen van het lid Van Ginneken5 volgt dat de European Data Protection Board (EDPB) onderzoek doet naar de voor- en nadelen van het gebruik van niet-Europese clouddiensten bij overheidssystemen. De uitkomsten daarvan kunnen volgens de Staatssecretaris worden gebruikt om meer inzicht te geven in de risico’s. Welke risico’s heeft de Staatssecretaris zelf al in kaart gebracht? Hoe heeft zij die verschillende risico’s afgewogen bij het vaststellen van het Rijksbreed cloudbeleid?

De leden van de Volt-fractie merken op dat de Staatssecretaris in het Rijksbreed cloudbeleid schrijft dat rijksdiensten vrij zijn om aanbieders van clouddiensten te kiezen op basis van hun eigen risicoafweging. Zijn er volgens de Staatssecretaris risico’s denkbaar waartegen simpelweg geen enkel voordeel opweegt? Zoals bijvoorbeeld het onderbrengen van persoonsgegevens bij een dienst die (deels) eigendom is van de Chinese staat? Welke middelen en bevoegdheden heeft de Staatssecretaris om in te grijpen als een Rijksdienst desondanks van plan is hiervoor te kiezen? Is het voor de departementen daadwerkelijk mogelijk om regie te houden over de persoonsgegevens waarvoor zij verwerkingsverantwoordelijke zijn? Op welke manier is de Staatssecretaris voornemens om dit te coördineren en daar toezicht op te houden?

De leden van de Volt-fractie vragen hoe de Staatssecretaris oordeelt over de spanning tussen de Europese AVG en de Amerikaanse Cloud Act. Op basis van de AVG moeten immers afspraken gemaakt worden over de verwerking van persoonsgegevens met derdelanden en tussen verantwoordelijken en verwerkers, maar die contractuele afspraken houden in principe geen stand tegenover de verplichting in de Cloud Act om gegevens te delen met de Amerikaanse overheid. Is het wel mogelijk om aan de Europese wettelijke verplichtingen te voldoen en tegelijkertijd gegevens bij de Amerikaanse partij op te slaan? Hoe kan worden gegarandeerd dat gegevens de EU niet verlaten, althans niet bij buitenlandse overheden terecht komen? In aanvulling op het voorgaande. Heeft de Staatssecretaris de mogelijkheid om de Europese waarden te borgen? Kan de Staatssecretaris toelichten welke waarden zij precies bedoelt als zij het heeft over Europese waarden?

Tijdens de technische briefing inzake Rijksbreed cloudbeleid d.d. 20 oktober 2022 is eveneens gevraagd naar Europese alternatieven, waaronder Gaia-X. Heeft de Staatssecretaris er vertrouwen in dat dit project als alternatief voor Amerikaanse cloudleveranciers kan werken? Zijn er best-practices in andere lidstaten binnen de EU, die we kunnen gebruiken voor het vaststellen van ons Rijksbreed cloudbeleid? Bijvoorbeeld landen waarin expliciet een andere afweging is gemaakt ten aanzien van de verwerking van staatsgeheime gegevens of bijzondere en gevoelige persoonsgegevens? Zijn die geconsulteerd?

In 2020 hebben de EU-lidstaten gezamenlijk verklaard toe te werken naar een Europese cloud en daarbij onder andere te streven naar hoge standaarden op het gebied van energie-efficiëntie. Toch komt deze overweging niet terug in de lijst met voorwaarden voor het gebruik van de publieke cloud voor de rijksdiensten. Waarom is ervoor gekozen om energie-efficiëntie hierin niet op te nemen? Zijn er andere manieren waarop rijksdiensten worden aangemoedigd om dit in de overweging mee te nemen?