Brief regering : Achtergrond, opzet, waarborgen nieuwe werkplek SSC-ICT

31 490
Vernieuwing van de rijksdienst

Nr. 1282
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 18 februari 2025

In het ordedebat van 21 mei 2024 heeft het Lid Kathmann (GroenLinks-PvdA) mijn voorganger
verzocht de Kamer te informeren over alle voorgenomen en geplande migraties van overheids-ICT
naar het buitenland, een onderbouwing per voorgenomen migratie en de bijbehorende
risico-assessments. De gevraagde inventarisatie heeft u ontvangen bij brief van 22 november
2024 (Kamerstuk 26 643, nr. 1243). Over de visie van het kabinet in meer algemene zin over public cloud gebruik, de
markt en de rol van de overheid hierin, bent u geïnformeerd in de reactie op de initiatiefnota
«Wolken aan de horizon» die u op 17 januari 2025 ontving (Kamerstuk 36 574, nr. 3).

Met deze brief informeer ik u specifiek over de voorgenomen vernieuwing van de digitale
werkplek door SSC-ICT, ter zake waarvan het lid Kathmann heeft verzocht voorlopig
geen onomkeerbare stappen te nemen. Ik beoog daarmee om u – rechtdoende aan de zorgen
van uw Kamer en de veranderde geopolitieke situatie – een beter beeld te geven van
de beoogde migratie, de overwegingen en de voorgenomen maatregelen om ongewenste risico’s
te mitigeren. Zo heeft SSC-ICT naar aanleiding van de veranderende situatie en uw
zorgen het ontwerp van de werkplek aangepast, waardoor de afhankelijkheid van de public
cloud sterk is gereduceerd. Onderstaand licht ik één en ander toe.

Spoedige vervanging van werkplek nodig

SSC-ICT staat voor een urgent vraagstuk. SSC-ICT is één van de grote ICT-dienstverleners
van het Rijk en levert momenteel ca. 58.000 digitale werkplekken binnen de Nederlandse
rijksoverheid, De reikwijdte omvat ambtenaren van 9 ministeries1. De huidige werkplek (DWR) is zo’n 7 jaar oud en nadert het einde van zijn technische
levensduur. Enkele cruciale software-componenten van de huidige werkplek worden vanaf
eind 2026 niet meer ondersteund door de leverancier. Dit creëert risico’s voor de
continuïteit van de bedrijfsvoering van de rijksoverheid. Vervanging is daarmee spoedig
nodig.

Dit is een omvangrijke operatie, niet alleen technisch maar ook logistiek en is daarmee
ook urgent geworden. Om de continuïteit van de werkplek te borgen, zal uiterlijk 1 juli
2025 gestart moeten worden met deze uitrol en moet de migratie voor einde 2026 zijn
afgerond.

Nieuwe werkplek is in veel opzichten belangrijke stap vooruit

De voorgestelde nieuwe werkplek (DWR2.0) biedt belangrijke verbeteringen op het gebied
van gebruiksgemak, beveiliging en beheerbaarheid.

Het ontwerp maakt gebruik van moderne beveiligingstechnologie waaronder zero-trust
architectuur. Om dit te realiseren, wordt beperkt gebruik gemaakt van cloud-gebaseerde
beheertoepassingen. Vanwege het veranderende nationale en internationale speelveld
blijft de opslag van documenten en e-mail in de eigen datacenters, in afwachting van
nader beleid op dit punt.

Risico’s

Het gebruik van public cloud diensten kent risico’s die anders zijn dan die van diensten
in eigen beheer. SSC-ICT hanteert het Rijksbrede Cloudbeleid 2022 voor de ontwikkeling
van DWR2.0. De beperkingen en voorwaarden die hierin genoemd worden, zijn opgenomen
in het ontwerp.

− Beperking van gebruik: de DWR2.0 werkplek is bedoeld voor data met een maximale rubricering
«Departementaal Vertrouwelijk» en omvat gewoonlijk geen gevoelige persoonsgegevens
of basisregistraties;

− Risicoanalyses voor de beveiliging en privacy zijn c.q. worden opgesteld, vanuit zowel
de verantwoordelijkheden van de leverancier (SSC-ICT) als vanuit de afnemers (departementen);

− Tevens zijn maatregelen voorzien om risico’s te mitigeren tot een aanvaardbaar niveau;

− SSC-ICT ontwikkelt een exit-strategie2, en onderzoekt ook meer autonome alternatieven zodra deze beschikbaar komen. Hierbij
wordt actief samengewerkt met CIO Rijk en Europese partners.

Het veranderende speelveld

De geopolitieke situatie is in relatief korte tijd drastisch gewijzigd. Ik ben mij
ervan bewust dat de keuze om gebruik te maken van public clouddiensten ook in het
licht gezien moet worden van de huidige maatschappelijke en politieke discussie over
cloudgebruik bij de overheid. Dientengevolge is het aandeel van public clouddiensten
van de nieuwe werkplek gereduceerd. De bovenstaande problematiek is niet uniek voor
SSC-ICT maar speelt overheidsbreed, op nationaal niveau en zelfs in Europees verband.
Ik verwacht, zeker op middellange termijn, het nodige van gezamenlijk optrekken hierin.

Geen onomkeerbare stappen voor plenair debat

Om zorgvuldig te handelen start SSC-ICT in het tweede kwartaal van 2025 met een beperkte
pilot onder 100 gebruikers. Deze pilot is volledig omkeerbaar. Tegelijkertijd moet
ik benadrukken dat uiterlijk medio 2025 meer definitieve stappen nodig zijn om de
continuïteit te waarborgen.

Met de nieuwe aanpassingen zoals de gereduceerde afhankelijkheid van de public cloud,
de ingebouwde waarborgen ben ik voornemens deze stappen tegen die tijd te nemen. Uiteraard
wil ik die stappen niet nemen voor het plenair overleg met uw Kamer. Omwille van het
continuïteitsbelang hoop ik dat dit debat z.s.m. kan plaatsvinden.

Tot slot ga ik in de Nederlandse Digitaliseringsstrategie (NDS), die in het voorjaar
van 2025 gepubliceerd wordt, verder in op de ontwikkelingen van cloud en het versterken
van de digitale autonomie van de overheid.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
F.Z. Szabó