Overheidsinstanties krijgen meer ruimte om gebruik te maken van commerciële clouddiensten. Dat heeft staatssecretaris Alexandra van Huffelen bekendgemaakt. Tot nu toe mochten overheidsinstanties alleen eigen clouddiensten gebruiken.
Werken in de cloud maakt gebruik van externe opslagcapaciteit, applicaties, netwerken en andere ICT-voorzieningen. Van Huffelen is onder meer te spreken over werken in de (commerciële) cloud omdat het zou bijdragen aan een meer innovatieve, transparante, flexibele en efficiënte digitale rijksoverheid. De kosten zijn lager dan voorheen en de risico’s zouden beter te beheersen zijn.
Om veiligheidsrisico’s te minimaliseren zijn overheidsinstellingen verplicht vooraf een risico-analyse te maken. Het gebruik van commerciële clouddiensten is bovendien niet toegestaan voor het opslaan of verwerken van staatsgeheime informatie en er mogen geen diensten worden afgenomen van leveranciers uit landen met een actief cyberprogramma dat gericht is tegen Nederlandse belangen. Het ministerie van Defensie valt buiten de reikwijdte van dit nieuwe beleid.
Voor die risicoafweging wordt door de chief information officer van het Rijk samen met de CIO’s van de betrokken ministeries voor het einde van 2022 een richtlijn opgesteld. CIO Rijk monitort de toepassing van dit beleid en wordt betrokken bij besluitvorming over uitzonderingen. Toezicht op naleving van de regels valt onder de bestaande wettelijke taken van Algemene Rekenkamer, Auditdienst Rijk en Autoriteit Persoonsgegevens.