In het Rijksbreed cloudbeleid van oktober 2022 kondigt staatssecretaris Alexandra van Huffelen aan dat de overheid – onder bepaalde voorwaarden - voortaan gebruik mag maken van commerciële clouddiensten van de Amerikaanse techreuzen. Security experts noemen dit risicovol en ook vanuit onze hoofdstad, de Europese Unie en de Tweede Kamer komt tegengas, want hoe veilig zijn onze gegevens en hoe afhankelijk maken we ons als land van Amerikaanse bedrijven? In deze blog bespreken we de risico’s van het cloudbeleid van de overheid en geven advies hoe het veiliger (en groener) kan.
Meer cloud voor de overheid
In de aankondiging van de staatssecretaris schrijft mevrouw Van Huffelen dat: “…commerciële clouddiensten de afgelopen jaren, mede onder invloed van de corona-pandemie, zich razendsnel hebben ontwikkeld. De kosten zijn relatief laag en risico’s zijn vaak beter te beheersen dan voorheen. Dat wordt mede veroorzaakt doordat leveranciers grote bedragen investeren en veel expertise inzetten bij het beveiligen van hun diensten.”
Tot vorig jaar was het ambtenaren niet toegestaan informatie te delen via clouddiensten als WeTransfer en OneDrive. Nu worden de clouddiensten veilig genoeg geacht om ze wel toe te staan. Onder bepaalde voorwaarden, dat wel. Zo mogen er geen staatsgeheimen worden opgeslagen in de cloud of diensten worden gebruikt uit landen met een offensief cyberprogramma. Ook voor gegevens uit de basisregistratiepersoonsgegevens en bijzondere persoonsgegevens geldt het principe nee, tenzij.
Afhankelijk van Amerikaanse techreuzen
Dat de cloud onontkoombaar is, ook voor de overheid, daar is iedereen het over eens. Maar niet op deze manier. Zo noemen sommige security experts het naïef dat de staatssecretaris denkt afspraken te kunnen maken met de techreuzen over privacy, veiligheid en toegankelijkheid. Anderen waarschuwen voor rechtszaken en het in gevaar brengen van de digitale soevereiniteit in Nederland.
De techreuzen zijn zonder uitzondering Amerikaanse bedrijven en daarmee krijgt de Amerikaanse inlichtingendienst mogelijk toegang tot persoonsgegevens van Nederlandse staatsburgers. Zelfs als de servers in Nederland staan. Nadat de overeenstemming met Amerika over het Privacy Shield is geklapt, oordeelde het Europese Hof dat bedrijven niet langer gegevens van Europese burgers met de VS mogen uitwisselen, omdat de bescherming van gegevens in Amerika van een lager niveau is (Schrems II-uitspraak). Waarom zou de overheid dit dan wel mogen?
Ook het Nationaal Cyber Security Centrum van de overheid zelf erkent dat er praktisch geen garanties te geven zijn over de veiligheid van Nederlandse overheidsdiensten in clouds van Amerikaanse aanbieders.
Wat vindt de Europese Unie?
Ook op Europees niveau wordt nagedacht hoe om te gaan met het veilig opslaan van data in de cloud.
De Europese privacytoezichthouder European Data Protection Board (EDPB) is bezig met een onderzoek naar cloudgebruik door de publieke sector. Hun resultaten worden eind van dit jaar verwacht. Vanwege het risico op toegang door buitenlandse opsporings- en inlichtingendiensten is de kans aanwezig dat het Europees Parlement in de komende jaren besluit dat de publieke sector persoonsgegevens niet in de cloud van non-EU cloudleveranciers mag verwerken.
Tegengas vanuit Amsterdam en de Tweede Kamer
Er zijn meer partijen, ook binnen Nederland, die bezwaren zien. Zo heeft de gemeente Amsterdam zich aangesloten bij het initiatief PublicSpaces. Amsterdam is de eerste gemeente die zich aansluit bij deze coalitie van onder andere publieke organisaties, erfgoed-instellingen en bibliotheken. Op de website schrijft PublicSpaces “te streven naar een ecosysteem dat fungeert op basis van publieke waarden, in plaats van op de 'surveillance capitalism'-modellen van de grote technologiebedrijven. Door samen te werken kunnen we onderhandelen met organisaties, alternatieven op de kaart zetten en experimenteren met nieuwe platforms en tools".
En ook binnen de Tweede Kamer is nu afgelopen maand een motie van VVD, Volt, D66, CDA en ChristenUnie aangenomen waarin ze het kabinet oproepen om af te zien van Amerikaanse cloudaanbieders en te kiezen voor een Europees alternatief. Hun belangrijkste bezwaar voor het nieuwe cloudbeleid is de doorgifte van Nederlandse overheidsdata en persoonsgegevens aan partijen buiten de Europese Economische ruimte (EER). Maar initatiefnemer VVD-Kamerlid Queeny Rajkowski ziet ook economisch voordeel van een Europese cloudaanbieder.
Ook wij noemden in onze blog Houd je gegevens dichtbij al het risico dat we ons zo afhankelijk maken van de VS.
Europees en groen
De invulling van de motie moet nu worden uitgewerkt. We hopen dat de overheid dit moment aangrijpt om data niet alleen lokaal maar ook milieuvriendelijk op te slaan. Datacenters zijn namelijk grootverbruikers van energie en warmte, en stoten behoorlijk wat CO2 uit. Dat hoeft echter niet, als je de restwarmte hergebruikt. En het terugdringen van CO2-uitstoot is een andere grote uitdaging van dit kabinet. Met de juiste keuze slaan ze twee vliegen in één klap.
Leafcloud is de enige cloudprovider in Nederland die praktisch alle restwarmte hergebruikt. Wij plaatsen onze servers in bestaande gebouwen in Nederland met een centrale verwarmingsvoorziening. Op die manier kunnen we de restwarmte direct hergebruiken voor warm water in het gebouw. Dat betekent:
- Geen nieuwbouw voor een datacenter.
- 2 keer gebruik van (groene!) energie:
1x om de server te laten werken en 1x om warmte te creëren. - Minder fossiele brandstoffen voor de verwarming van het wooncomplex.
Dus: en alle data in Nederland én minder CO2-uitstoot.
Deze uitleg is een hele korte samenvatting. Wil je meer weten over ons concept, kijk dan op onze website waar we haarfijn uitleggen hoe we 85% van de restwarmte inzetten voor de verwarming van woon- en werkgebouwen.
Bij deze nodigen we alle overheidsinstanties – nationaal en lokaal – uit, om hun data bij ons op te slaan.