Inbreng verslag schriftelijk overleg : Inbreng verslag van een schriftelijk overleg over Rijksbreed cloudbeleid 2022 (Kamerstuk 26643-904)
2022D44956 INBRENG VERSLAG VAN EEN SCHRIFTELIJK OVERLEG
Binnen de vaste commissie voor Digitale Zaken hebben enkele fracties de behoefte om
enkele vragen en opmerkingen voor te leggen aan de Staatssecretaris van Binnenlandse
Zaken en Koninkrijksrelaties over de brief Rijksbreed cloudbeleid 2022 (Kamerstuk
26 643, nr. 904).
De voorzitter van de commissie, Kamminga
De adjunct-griffier van de commissie, Van Tilburg
Inhoudsopgave
blz.
I
Vragen en opmerkingen vanuit de fracties
2
Vragen en opmerkingen van de leden van de VVD-fractie
2
Vragen en opmerkingen van de leden van de D66-fractie
4
Vragen en opmerkingen van de leden van de CDA-fractie
5
Vragen en opmerkingen van de leden van de SP-fractie
6
Vragen en opmerkingen van de leden van de GroenLinks-fractie
7
Vragen en opmerkingen van de leden van de Volt-fractie
8
II
Antwoord / Reactie van de Staatssecretaris
9
I Vragen en opmerkingen vanuit de fracties
Vragen en opmerkingen van de leden van de VVD-fractie
De leden van de VVD-fractie hebben kennisgenomen van het reeds aangekondigde Rijksbreed
cloudbeleid 2022 van de Staatssecretaris voor Koninkrijksrelaties en Digitalisering.
Deze leden constateren dat het streven naar het gebruik van publieke (commerciële)
clouddiensten de nodige (veiligheids-) risico’s met zich meebrengt voor overheidsdiensten
die niet onbesproken mogen blijven. Deze leden achten het van belang om hier nader
op in te gaan. Zij willen hierover dan ook nog enkele vragen stellen.
Allereerst willen de leden van de VVD-fractie erop wijzen dat het leeuwendeel van
de publieke cloudmarkt gedomineerd wordt door aanbieders van Amerikaanse herkomst.
In de praktijk betekent dit dat in de toekomst onze overheidsdiensten in de meeste
gevallen zullen overstappen naar bekende Amerikaanse cloudpartijen. In dat licht willen
deze leden wijzen op de implicaties van geldende Amerikaanse wetgeving en in het bijzonder
de Clarifying Lawful Overseas Use of Data Act (Cloud Act). Conform de Cloud Act worden Amerikaanse aanbieders van elektronische
communicatiediensten, dus ook cloudaanbieders, verplicht om gegevens die middels hun
diensten worden verstuurd te bewaren en te verstrekken op verzoek van de Amerikaanse
overheid. Deze vorderingen kunnen plaatsvinden ongeacht waar ter wereld de servers
gelokaliseerd zijn. Dit komt erop neer dat, wanneer Nederlandse overheidsdiensten
gebruik gaan maken van Amerikaanse cloudinfrastructuur, ook Nederlandse overheidsdata
opgevraagd kunnen worden door de Amerikaanse overheid, zonder dat daarbij de betreffende
overheidsdienst wordt geïnformeerd, zoals bleek uit de bevindingen van de Cloud Act
memo opgesteld door advocatenkantoor Greenberg Traurig gericht aan het Nationaal Cyber
Security Centrum (NCSC)1. Is de Staatssecretaris zich bewust van deze implicatie? Hoe beoordeelt zij dit?
Kan de Staatssecretaris hierbij specifiek ingaan op de bevindingen van Greenberg Traurig
in de Cloud Act memo en de bestaande eisen die gelden voor ICT-dienstverlening van
de overheid?
De leden van de VVD-fractie vragen specifiek hoe het voornemen tot het gebruik van
publieke (commerciële) clouddiensten, gelet op de implicaties van de Cloud Act, zich
verhoudt tot de bestaande eisen krachtens de Algemene verordening gegevensbescherming
(AVG), de Baseline Informatiebeveiliging Overheid (BIO) en het Voorschrift Informatiebeveiliging
Rijksdienst (VIR). Kan de Staatssecretaris dit toelichten? In het verlengde hiervan,
wordt gesteld dat bij de inkoop en aanbesteding van producten en diensten binnen de
rijksoverheid eventuele risico’s voor de nationale veiligheid worden meegewogen. Hierbij
zou in het bijzonder gelet moeten worden op mogelijke risico’s voor de continuïteit
van vitale processen, de integriteit en exclusiviteit van kennis en informatie en
de ongewenste opbouw van strategische afhankelijkheden. Gelet op de implicaties van
de Cloud Act, hoe beoordeelt de Staatssecretaris specifiek de risico’s voor de nationale
veiligheid en de mogelijke verstoring van continuïteit van onze vitale processen indien
Nederlandse overheidsdiensten gebruik maken van Amerikaanse cloudinfrastructuur, zo
vragen deze leden.
De leden van de VVD-fractie lezen daarnaast in de brief dat de BIO de inzet van publieke
clouddiensten niet bij voorbaat uitsluit. Deze leden vragen de Staatssecretaris wat
wordt bedoeld met «niet bij voorbaat uitsluit». Moet de BIO worden aangepast om gebruik
te kunnen maken van publieke clouddiensten? Is anderszins nog wijziging van wet- en
regelgeving nodig? Zo ja, om welke wet- en regelgeving gaat het?
De leden van de VVD-fractie willen tevens wijzen op het lopende onderzoek van de Europese
privacy toezichthouder European Data Protection Board (EDPB) naar cloudgebruik door
de publieke sector waarvan de resultaten voor het eind van dit jaar verwacht worden.
Gelet op de mogelijke uitkomsten van dit onderzoek, in het bijzonder op het vlak van
de risicoanalyse gericht op het gebruik van non-EU cloudleveranciers, realiseert de
Staatssecretaris zich dat met voorliggend voorstel vooruit wordt gelopen op dit onderzoek?
Zo ja, kan de Staatssecretaris hierop reflecteren? Is het Adviescollege ICT-toetsing
om advies gevraagd over het Rijksbreed cloudbeleid? Zo nee, waarom niet?
Voorts willen de leden van de VVD-fractie aandacht vragen voor het steeds groter wordende
belang van het versterken van de Nederlandse en Europese digitale autonomie in het
kader van onze strategische belangen. Dit belang is al eerder benadrukt in het Coalitieakkoord
«Omzien naar elkaar, vooruitkijken naar de toekomst» met het expliciet benoemen van
de noodzaak van strategische autonomie om onze veiligheid, rechtsstaat, democratie,
mensen- en grondrechten en concurrentievermogen beter te beschermen. In het kader
van deze uitgesproken politieke wens, hoe reflecteert de Staatssecretaris op haar
besluit en voornemen om overheidsinstanties gebruik te laten maken van commerciële
clouddiensten die grotendeels in Amerikaanse handen zijn? Kan de Staatssecretaris
hierbij ingaan op haar beweegredenen voor haar besluit/voornemen?
De leden van de VVD-fractie stellen vast dat met het kiezen voor publieke clouddiensten,
gezien de Amerikaanse dominantie, indirect wordt gekozen voor niet-EU cloudaanbieders
en dat daarmee niet wordt ingezet op het verder ontwikkelen van de nationale of Europese
cloudmarkt. Deelt de Staatssecretaris de mening dat juist omwille van het versterken
van onze digitale autonomie, het een gemiste kans is om niet in te zetten op de ontwikkeling
van Europese alternatieven? Zo ja, hoe verhoudt zich dit tot het besluit van de Staatssecretaris
ten aanzien van het Rijksbreed cloudbeleid en hoe verhoudt zich dit tot de Important
Project of Common European Interest (IPCEI)-investeringen gericht op cloud? Zo nee,
waarom niet?
De leden van de VVD-fractie willen, met het oog op het belang van het inzetten op
Europese alternatieven, graag nader ingaan op de inspanningen die tot nu geleverd
zijn in nationaal en Europees verband. Zo willen deze leden wijzen op de gezamenlijke
verklaring van 25 lidstaten van de Europese Unie op 20 oktober 2020 om samen met de
industrie te werken aan een volgende generatie van een Europese cloud. Welke concrete
stappen zijn sinds deze verklaring gezet in Europees verband? Is de Staatssecretaris
het met deze leden eens dat dit soort initiatieven, gelet op bovenstaande, juist gestimuleerd
moeten worden? Zo ja, hoe beoordeelt zij de kansen en de meerwaarde van deze gezamenlijke
inspanning in het licht van uw beslissing om overheidsdiensten publieke clouddiensten
te laten gebruiken?
Daarnaast willen de leden van de VVD-fractie de Staatssecretaris attenderen op het
recent verschenen rapport Marktstudie Clouddiensten van de Autoriteit Consument en
Markt (ACM).2 Naast dat dit rapport de Amerikaanse dominantie op de cloudmarkt aantoont, wordt
gewaarschuwd voor «verborgen kosten» die gepaard gaan met overstappen en het risico
op volledige afhankelijkheid. Hoe beoordeelt de Staatssecretaris deze waarschuwing?
In hoeverre zijn deze «verborgen kosten» zoals overstapheffingen en -toeslagen ingecalculeerd
in het besluit en in hoeverre kan dit risico worden gemitigeerd door de opgenomen
voorwaarde exit strategie? In hoeverre zijn de, vaak fikse, overstapkosten te rijmen
met een strategie die tot en met 2025 duurt? Is de Staatssecretaris het met deze leden
eens dat bij het maken van keuzes die impact hebben op de strategische autonomie van
Nederland verder gekeken moet worden dan slechts een paar jaar?
Ook het risico op volledige afhankelijkheid, ook wel de «vendor lock-in» genoemd,
baart de leden van de VVD-fractie zorgen. Het ACMrapport waarschuwt voor de zuigwerking
van big tech-clouddiensten. Door gebrekkige interoperabiliteit en dataportabiliteit
zouden klanten effectief gevangen raken in het dienstenweb van big tech-cloudaanbieders
wanneer eenmaal gebruik wordt gemaakt van de aangeboden cloudinfrastructuur van één
bepaalde aanbieder. Het combineren van clouddiensten van verschillende aanbieders
zou gepaard gaan met prijs- en kwaliteitsbeperkingen waardoor klanten het risico lopen
om volledig afhankelijk te raken van één aanbieder. Hoe beoordeelt de Staatssecretaris
dit geconstateerde risico op de onwenselijke «vendor lock-in»? In hoeverre mitigeren
de opgenomen voorwaarden dit risico voor het gebruik van de publieke cloud voor overheidsdiensten?
In hoeverre ziet de Staatssecretaris het ontbreken van afdwingbare open standaarden
in de «European Data Act» als risico voor een toekomstige overstap naar een andere
aanbieder? Welke mogelijkheden ziet de Staatssecretaris nog concreet om de technische
en financiële overstapdrempels tussen clouddiensten weg te nemen? Is zij bereid om
hier stappen in te zetten? Zo nee, waarom niet? Op welke manier worden de verschillende
departementen geholpen om de juiste risico-afwegingen te maken rondom de lock-in en
om daar een uitvoerbare exit-strategie voor te maken?
De leden van de VVD-fractie hebben nog enkele laatste vragen. Wat is er in het kader
van het Rijksbreed cloudbeleid 2022 geregeld voor de decentrale overheden? Geldt voor
deze overheden eenzelfde beleid als wordt voorgesteld in het Rijksbreed cloudbeleid
2022? Wordt dit nieuwe beleid al toegepast? Is de Staatssecretaris het met deze leden
eens dat het wenselijk is om in 2022 geen onomkeerbare stappen te zetten met betrekking
tot afspraken met cloudaanbieders? Zo nee, waarom niet?
Vragen en opmerkingen van de leden van de D66-fractie
De leden van de D66 fractie hebben met interesse kennisgenomen van het Rijksbreed
cloudbeleid 2022. Deze leden hebben nog enkele vragen.
De leden van de D66-fractie lezen dat elke departement zelf verantwoordelijk is om
de relevante risico’s van het gebruik van een publieke cloud in beeld te hebben en
te houden. Deze leden vragen waarom er niet van tevoren door het Rijk een risicokader
is gemaakt zodat de departementen zich daar aan houden. Kan de Staatssecretaris aangegeven
in welke mate ieder departement individueel een data protection impact assessment
(DPIA) moet doen als er gebruik wordt gemaakt van dezelfde publieke clouddienst? Op
basis van welk toetsingskader wordt bepaald of er sprake is van een hoog risico? Wat
als een departement de risico’s te laag inschat, is hier sprake van toezicht?
De leden van de D66-fractie lezen dat onderdelen die niet tot de Rijksdienst behoren
ook geadviseerd worden dit Rijksbeleid te volgen. Deze leden vragen of hier gemeenten
onder vallen. Worden gemeenten door het Rijk begeleid of verder geadviseerd om hieraan
te voldoen?
De leden van de D66-fractie stellen voorop dat, zoals de Marktstudie Clouddiensten
van de ACM illustreert, het onwenselijk is dat de Amerikaanse techreuzen Microsoft,
Google en Amazon vrijwel de gehele markt voor cloudaanbieders beheersen. In welke
mate is het mogelijk om tussen cloudaanbieders te switchen als de huidige aanbieder
niet voldoet aan de wensen? Welk tijdspad en welke kosten komen bij een dergelijke
switch kijken? Zijn er aanwijzingen dat interoperabiliteit en dataportabiliteit zullen
verbeteren de komende jaren bij deze aanbieders? Kan de Staatssecretaris toelichten
wanneer het cloudbeleid aan evaluatie onderhevig is?
De leden van de D66-fractie horen graag van de Staatssecretaris welke Europese lidstaten
gelijkmatige wetten hebben zoals de Verenigde Staten op het gebied van datatoegang,
zoals de Cloud Act en de Foreign Intelligence Surveillance Act. Is er altijd een plicht
tot versleuteling van opgeslagen data bij het gebruik van clouddiensten? Zo nee, waarom
wordt deze afweging per risico inschatting gemaakt? De Staatssecretaris geeft aan
dat niet alle informatie geschikt is voor publieke clouddiensten, zoals staatsgeheim
gerubriceerde informatie of informatie afkomstig van het Ministerie van Defensie.
Is er nog een voornemen om aan de slag te gaan met een vorm van een eigen cloud voor
zaken die niet in publieke clouddiensten mogen, mogelijk in Europees verband?
Vragen en opmerkingen van de leden van de CDA-fractie
De leden van de CDA-fractie hebben kennisgenomen van de brief van de Staatssecretaris
over het Rijksbreed cloudbeleid 2022. Deze leden hebben hierover nog enkele vragen.
De leden van de CDA-fractie lezen dat het kabinet voornemens is om voorafgaand aan
de keuze om publieke clouddiensten te gebruiken uitgebreide (pre-scan) DPIA’s uit
te voeren, om ervoor te zorgen dat de risico’s in beeld zijn en goed afgedekt worden.
Deze leden vragen of ook gedurende het gebruik van een publieke clouddienst wordt
gemonitord en getoetst of het gebruik van de clouddienst nog aan de voorwaarden voldoet.
De snelle technologische ontwikkelingen maken dit volgens deze leden noodzakelijk
en zijvragen of de Staatssecretaris het hiermee eens is en hoe zij dit vormgeeft.
De leden van de CDA-fractie vragen of in het beleid ook is opgenomen dat rijksbreed
bijgehouden wordt waar, hoeveel en voor hoelang gebruik gemaakt wordt van welke clouddiensten,
inclusief de gronden voor het gebruik van de betreffende clouddienst. Deze leden vragen
voorts hoe ervoor wordt gezorgd dat zoveel mogelijk centraal gestandaardiseerde contractuele
voorwaarden worden opgesteld, om het cloudgebruik zoveel mogelijk te uniformeren.
De leden van de CDA-fractie vragen aan de Staatssecretaris of en zo ja, welke adviezen
de Staatssecretaris heeft ingewonnen over de vraag of het gebruik van publieke clouddiensten,
en of bijvoorbeeld ook advies is gevraagd aan het Adviescollege ICT-toetsing.
De leden van de CDA-fractie lezen in de beslisnota van 7 juli 2022 over de mediaberichten
dat de Ierse privacy toezichthouder DPC mogelijk Meta gaat verbieden data van Europese
gebruikers naar clouddiensten in de Verenigde Staten te sturen, omdat zij niet aan
de juridische voorwaarden voldoet. Deze leden vragen of hierover bij de Staatssecretaris
inmiddels al meer over bekend is geworden en of deze berichten ook zijn meegewogen
in de definitieve afweging om publieke clouddiensten, met enkele uitzonderingen, onder
voorwaarden mogelijk te maken.
De leden van de CDA-fractie signaleren dat op Europees niveau veel aandacht is voor
de ontwikkelingen rondom cloudgebruik. Deze leden vragen of de Staatssecretaris nader
kan ingaan op de samenloop met de Europese ontwikkelingen op het gebied van de IPCEI
Cloud. Deze leden vragen of de Staatssecretaris voornemens is om op lange termijn
gebruik te willen gaan maken van betrouwbare Europese cloudaanbieders, die mogelijkerwijs
voortkomen uit de initiatieven rondom IPCEI Cloud. Deze leden vragen de Staatssecretaris
of zij kan toelichten of het voorgenomen Rijksbreed Cloudbeleid in overeenstemming
is met de Europese Data Act.
Vragen en opmerkingen van de leden van de SP-fractie
De leden van de SP-fractie hebben kennisgenomen van de uitwerking van de nieuwe visie
op het gebruik van publieke clouddiensten van de rijksoverheid. Deze leden vinden
de verschuiving van gebruik van private clouddiensten naar publieke een goede stap,
deze leden maken zich nog wel zorgen over de invulling van wat «publiek» precies betekent
en de waarborgen die ontbreken voor veilig gebruik en opslag.
De grootste vraag die de leden van de SP-fractie hebben, is waarom gezegd wordt dat
er publieke clouddiensten zijn, terwijl de opslag ingekocht wordt bij grote(re) tech-
en/of ICT-bedrijven van uit de Verenigde Staten, China of andere internationale spelers.
Waarom is bij het vormgeven niet nagedacht over geopolitieke belangen die mee kunnen
spelen bij bepalen wie een clouddienst mag aanbieden? Als dit wel is meegewogen, dan
vragen deze leden, welke afwegingen zijn gemaakt? Deze leden zijn er van geschrokken
dat bij de technische briefing naar voren kwam dat lessen vanuit de aankoop van camera’s
door gemeenten of software door de politie niet zijn betrokken. De Kamer heeft meermaals
aangegeven dat bij dit soort cruciale inzet van ICT/digitale technieken de naïviteit
over spionage moet wordt afgeschud. Kan de Staatssecretaris aangeven hoe verschillende
ministeries in de inkoop van hun cloud hierop selecteren en afwegen?
De leden van de SP-fractie maken zich zorgen over dat iedere overheidsdienst of ministerie
zelf zijn inkoop verzorgt en eigen strategie bepaalt. Deze leden vinden dat niet wenselijk.
Kan de Staatssecretaris aangeven of en zo ja hoe zij de coördinatie – dan wel regie
– kan versterken en het beleid minder vrijblijvend kan maken? Herkent de Staatssecretaris
zich in de uitspraak «outsourcing is standaard» bij de inkoop van ICT-systemen en
-producten? Wat vindt zij van die uitspraak?
De leden van de SP-fractie vragen of de Staatssecretaris overweegt om eigen cloud
of Europese clouddiensten te ontwikkelen ten einde niet afhankelijk te zijn van intercontinentale
spelers.
De leden van de SP-fractie hebben de indruk dat het cloudbeleid een rijdende trein
is en dat bijsturing of aanpassing vanuit de Kamer nauwelijks mogelijk is. Kan de
Staatssecretaris daarop reageren? Hoe ziet zij haar brief van 29 augustus 2022, als
een voorstel of als uitleg van beleid? Deze leden hebben sterk de indruk dat de beleidskeuzes
voldongen feiten zijn en daarom vragen zij aan de Staatssecretaris hoe dit beleid
tot stand is gekomen. Welke beleidsmakers hebben dit opgesteld, wie hadden daarbij
inspraak, en wanneer is dit beleid vastgesteld en door wie? Deze leden willen nadrukkelijk
aangeven dat het niet om de personen gaat, maar om de functies en disciplines. Graag
willen deze leden weten hoe er om is gegaan met advies en wie dat heeft gegeven. Kan
de Staatssecretaris een helder overzicht maken van wie geadviseerd heeft of geconsulteerd
is?
De leden van de SP-fractie stellen vast dat de beleidsbrief van de Staatssecretaris
door wetenschappers niet positief is ontvangen, sterker: «hoogleraren maken gehakt
van nieuwe cloudkoers van het kabinet» kopte Agconnect.nl op 22 september 20223. Kan de Staatssecretaris helder ingaan op de bezwaren van de hoogleraren Van Dijck
en Jacobs in de Volkskrant4 van dezelfde datum? Kan zij de zorgen die de hoogleraren hebben wegnemen? Deze leden
dagen haar daartoe uit.
De leden van de SP-fractie zien dat in documenten een duidelijk onderscheid wordt
gemaakt wat er wel en wat er niet in de cloud kan worden opgeslagen. Zo worden staatsgeheime
en vertrouwelijke stukken alleen opgeslagen als het veilig kan. Welke richtlijnen
zijn er precies voor het vaststellen van welke documenten geclassificeerd zijn en
de vraag wanneer het wel veilig kan?
De leden van de SP-fractie willen tot slot weten hoe er omgegaan wordt met de legacy
van oude clouddiensten en de documenten die daar nu in staan? Zijn die documenten
allemaal terug te vinden in systemen als digidoc als de stukken worden opgevraagd
of als ze nodig zijn voor beleidsanalyse? Is gewaarborgd dat overheidsdiensten en
ministeries kunnen overstappen naar een publieke clouddienst? Of later een overstap
kunnen maken als zij een andere of een écht publieke clouddienst willen gebruiken?
Vragen en opmerkingen van de leden van de GroenLinks-fractie
De leden van de Groenlinks-fractie hebben met belangstelling kennisgenomen van de
brief van de Staatssecretaris over het Rijksbreed cloudbeleid. Deze leden hebben naar
aanleiding van de brief een aantal vragen en opmerkingen.
De leden van de GroenLinks-fractie constateren dat de cloudmarkt niet optimaal functioneert
en dat er geïnvesteerd moet worden in (Europese) alternatieven. Deze leden vragen
de Staatssecretaris hoe Nederland kan proberen hier grip op te houden om te voorkomen
dat hier miljoenen worden ingepompt maar de overstap naar Europese diensten nooit
wordt gemaakt.
Ook vragen de leden van de GroenLinks-fractie hoe de Staatssecretaris ervoor gaat
zorgen dat we kunnen waarborgen dat veiligheid van informatie ook daadwerkelijk gewaarborgd
wordt. Is er bij overheden voldoende interne kennis van clouddiensten? Zo nee, hoe
gaat dit alsnog georganiseerd worden?
De leden van de GroenLinks-fractie hebben eerder al zorgen geuit over de sturing vanuit
de Autoriteit Persoonsgegevens (AP). In zowel de technische briefing als de kabinetsbrief
is niet duidelijk gemaakt hoe de zorgen nu weggenomen worden, buiten de opmerking
dat er vergelijkbare risico’s zouden zitten aan diensten afnemen van andere Europese
landen. De AP noemde echter specifiek de wetgeving uit de VS als risico voor Europese
privacy en daaruit volgend de soevereiniteit van lidstaten, waaronder Nederland. Hoe
zijn de bezwaren van het AP precies weggenomen? En op basis waarvan wordt de inschatting
gemaakt dat andere Europese landen een vergelijkbare bedreiging zijn voor Nederlandse
dataveiligheid?
De leden van de GroenLinks-fractie constateren dat gefocust wordt op het risico van
data breaches of toegang tot data door cloudproviders. Deze leden constateren dat
dit slechts een aspect is van het soort van risico’s bij het afnemen van cloudservices.
Er moet ook aandacht zijn voor wat cloudproviders leren of allerhande aspecten van
het functioneren van de Nederlandse overheid middels het soort van services en software
dat verschillende instanties afnemen bij een cloudprovider. Deelt de Staatssecretaris
dit standpunt? Hierover hebben deze leden ook nog enkele specifieke vragen. Is er
een goede security assessment gemaakt van wat voor inzichten cloudproviders kunnen
ontwaren op basis van de services die aan de overheid verleend worden? Wat voor security
risico’s leveren die inzichten op? Hoe is dit meegewogen in de risicoanalyse? In het
verlengde hiervan hebben de leden vragen over de afhankelijkheid van Silicon Valley
black box technologie. Wat voor afhankelijkheden van black box software solutions
ontstaan er op het moment dat de overheid in zee gaat met externe cloudproviders,
en wat betekent dit voor onze capaciteit om fundamentele rechten te waarborgen? Blijft
er genoeg technische kennis binnen de overheid, wetende dat cloudcomputing black box
technologie is? Beperkt dit onze mogelijkheden om technologie te auditen ente snappen
hoe het werkt en leidt dit tot technologische afhankelijkheid van tech bedrijven?
Is er inzicht in de manier waarop het gebruik van de cloud de manier van werken van
de overheid gaat veranderen en zich gaat scharen naar de waarden en behoeftes van
de cloudprovider?
De leden van de GroenLinks-fractie hebben vragen over het economisch model van de
cloudindustrie. In de brief van de Staatssecretaris wordt zeer beperkt ingegaan op
het economische model van de cloudindustrie en hoe deze leert en profiteert van de
data die de overheid beschikbaar stelt. Academici zoals Seda Gurses en Cecilia Rikap
tonen aan dat de algoritmes, die onderdeel zijn van de cloudservices van grote tech
bedrijven, slimmer worden door middel van de data die overheden beschikbaar stellen
voor verwerking en analyse. Dit betekent dus dat deze bedrijven direct profiteren
van de unieke toegang die ze hebben tot overheidsdata. Hoe kijkt de Staatssecretaris
hiernaar? De voordelen die deze tech bedrijven halen uit het hebben van toegang tot
overheidsdata voor het trainen van hun algoritmes roept bij deze leden de vraag op
of deze algoritmes niet publiek gemaakt moeten worden. Graag ontvangen deze leden
de visie van de Staatssecretaris hierop.
De leden van de GroenLinks-fractie hebben voorts een vraag over de toegang van buitenlandse
inlichtingendiensten. Op welke manier kunnen buitenlandse inlichtingendiensten toegang
krijgen tot gegevens wanneer clouddiensten in andere landen gevestigd zijn en onder
de wetgeving van het betreffende land vallen? Hoe kan Nederland deze gegevens zo goed
mogelijk beschermen tegen ongewenste interesse van buitenlandse diensten?
Tot slot hebben de leden van de GroenLinks-fractie nog enkele losse vragen aan de
Staatssecretaris. Voor hoe lang zaleen risicoanalyse en een DPIA als geldig beschouwd
worden? Heeft de Staatssecretaris de intentie om een nieuwe analyse te doen als servicevoorwaarden
veranderen? Een andere vraag die bij deze leden nog speelt is de vraag binnen welke
termijn naar een alternatieve cloudleverancier overgestapt kan worden wanneer een
leverancier nieuwe voorwaarden krijgt waardoor de service niet meer wenselijk of niet
meer geschikt is?
Indien de overheid gebruik gaat maken van cloudservices zal wat de leden van de GroenLinks-fractie
betreft een belangrijke eis moeten zijn dat van de meest energiezuinige state-of-the-art
servers gebruik gemaakt wordt en het datacenter restwarmte zal hergebruiken. Deelt
de Staatssecretaris dit standpunt?
Vragen en opmerkingen van de leden van de Volt-fractie
De leden van de Volt-fractie hebben kennisgenomen van het Rijksbreed cloudbeleid 2022.
Daarover hebben deze leden nog enkele vragen.
De leden van de Volt-fractie merken op dat de Staatssecretaris in het Rijksbreed cloudbeleid
schrijft dat één van de voordelen van het gebruiken van publieke cloudleveranciers
is dat zij veel grotere investeringen in informatiebeveiliging doen dan de rijksoverheid
zelf wil of kan doen. Om hoeveel investeringen gaat het hier? Kan de Staatssecretaris
uitleggen waarom de rijksoverheid dergelijke investeringen niet wil doen? Welke andere
belangen, naast investeringen in beveiliging worden afgewogen bij de keuze om voor
publieke cloudleveranciers te kiezen? Uit de beantwoording op schriftelijke vragen
van het lid Van Ginneken5 volgt dat de European Data Protection Board (EDPB) onderzoek doet naar de voor- en
nadelen van het gebruik van niet-Europese clouddiensten bij overheidssystemen. De
uitkomsten daarvan kunnen volgens de Staatssecretaris worden gebruikt om meer inzicht
te geven in de risico’s. Welke risico’s heeft de Staatssecretaris zelf al in kaart
gebracht? Hoe heeft zij die verschillende risico’s afgewogen bij het vaststellen van
het Rijksbreed cloudbeleid?
De leden van de Volt-fractie merken op dat de Staatssecretaris in het Rijksbreed cloudbeleid
schrijft dat rijksdiensten vrij zijn om aanbieders van clouddiensten te kiezen op
basis van hun eigen risicoafweging. Zijn er volgens de Staatssecretaris risico’s denkbaar
waartegen simpelweg geen enkel voordeel opweegt? Zoals bijvoorbeeld het onderbrengen
van persoonsgegevens bij een dienst die (deels) eigendom is van de Chinese staat?
Welke middelen en bevoegdheden heeft de Staatssecretaris om in te grijpen als een
Rijksdienst desondanks van plan is hiervoor te kiezen? Is het voor de departementen
daadwerkelijk mogelijk om regie te houden over de persoonsgegevens waarvoor zij verwerkingsverantwoordelijke
zijn? Op welke manier is de Staatssecretaris voornemens om dit te coördineren en daar
toezicht op te houden?
De leden van de Volt-fractie vragen hoe de Staatssecretaris oordeelt over de spanning
tussen de Europese AVG en de Amerikaanse Cloud Act. Op basis van de AVG moeten immers
afspraken gemaakt worden over de verwerking van persoonsgegevens met derdelanden en
tussen verantwoordelijken en verwerkers, maar die contractuele afspraken houden in
principe geen stand tegenover de verplichting in de Cloud Act om gegevens te delen
met de Amerikaanse overheid. Is het wel mogelijk om aan de Europese wettelijke verplichtingen
te voldoen en tegelijkertijd gegevens bij de Amerikaanse partij op te slaan? Hoe kan
worden gegarandeerd dat gegevens de EU niet verlaten, althans niet bij buitenlandse
overheden terecht komen? In aanvulling op het voorgaande. Heeft de Staatssecretaris
de mogelijkheid om de Europese waarden te borgen? Kan de Staatssecretaris toelichten
welke waarden zij precies bedoelt als zij het heeft over Europese waarden?
Tijdens de technische briefing inzake Rijksbreed cloudbeleid d.d. 20 oktober 2022
is eveneens gevraagd naar Europese alternatieven, waaronder Gaia-X. Heeft de Staatssecretaris
er vertrouwen in dat dit project als alternatief voor Amerikaanse cloudleveranciers
kan werken? Zijn er best-practices in andere lidstaten binnen de EU, die we kunnen gebruiken voor het vaststellen van
ons Rijksbreed cloudbeleid? Bijvoorbeeld landen waarin expliciet een andere afweging
is gemaakt ten aanzien van de verwerking van staatsgeheime gegevens of bijzondere
en gevoelige persoonsgegevens? Zijn die geconsulteerd?
In 2020 hebben de EU-lidstaten gezamenlijk verklaard toe te werken naar een Europese
cloud en daarbij onder andere te streven naar hoge standaarden op het gebied van energie-efficiëntie.
Toch komt deze overweging niet terug in de lijst met voorwaarden voor het gebruik
van de publieke cloud voor de rijksdiensten. Waarom is ervoor gekozen om energie-efficiëntie
hierin niet op te nemen? Zijn er andere manieren waarop rijksdiensten worden aangemoedigd
om dit in de overweging mee te nemen?
II Antwoord / Reactie van de Staatssecretaris
Ondertekenaars
-
Eerste ondertekenaar
R.J. Kamminga, voorzitter van de vaste commissie voor Digitale Zaken -
Mede ondertekenaar
I. van Tilburg, adjunct-griffier
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.