Het Shared Services Center ICT van de overheid kondigde onlangs aan over te stappen naar de public cloud van Microsoft. Daarmee worden de ICT-diensten en data van zeven ministeries en ongeveer 50.000 ambtenaren ondergebracht bij de Amerikaanse cloudprovider. Bij GroenLinks-PvdA gingen – terecht – alarmbellen af en zij vroegen een debat in de Tweede Kamer aan. Nog voor deze migratie plaatsvindt, want dit besluit heeft een behoorlijke impact op onze soevereiniteit en de privacy van alle Nederlanders.
In deze blog bekijken we wat de consequenties zijn, waarom het een slecht idee is en hoe het ook kan.
E-mail bij Microsoft en onze doktersafspraken bij Google
Uit onderzoek van de NOS blijkt dat veel overheidsorganisaties, waaronder de Eerste en Tweede Kamer, de Autoriteit Financiële Markten, de Kamer van Koophandel, de Nederlandse Zorgautoriteit en de helft van alle gemeentes hun e-mailomgevingen al bij Microsoft hebben ondergebracht. Van 110 zogenoemde vitale bedrijven - bedrijven die cruciaal zijn voor het functioneren van de Nederlandse samenleving - draait 60 procent op Microsoft of Google.
Langzaam worden er dus steeds meer diensten die cruciaal zijn voor het functioneren van Nederland, opgeslagen bij Amerikaanse cloudproviders.
Ook SIDN, de Nederlandse beheerder voor alle .NL domeinen, kondigde aan het systeem waarmee ze Nederlandse domeinnamen registreren en bijwerken over te willen zetten naar Amazon Web Services (AWS). Het Domain Name System (DNS) zelf, het zogenaamde ‘telefoonboek’ van Nederlandse domeinnamen, blijft wel in eigen beheer. Maar het registratiesysteem is evengoed cruciaal om te bepalen op websitebezoekers op de juiste website uitkomen.
Waarom Amerika zo makkelijk lijkt
SIDN verklaart dat de verhuizing nodig is omdat het te duur wordt om de servers te onderhouden en er te weinig personeel beschikbaar is voor dit tijdrovende werk.
Dat is voor veel overheids- en vitale organisaties en bedrijven ook de reden om over te stappen. Uitbesteden is goedkoper en makkelijker dan zelf een server in de lucht te houden. Google en Microsoft kunnen de clouddiensten dankzij het shared principe goedkoper aanbieden, dan wanneer je zelf moet investeren in apparatuur, beveiliging, mankracht en technische kennis. Het IT-centrum van de overheid gaf als verklaring: "De Tweede Kamer is een te kleine organisatie om zelf een e-maildienst te ontwikkelen en onderhouden.”
Een andere reden die vaak wordt genoemd, is dat er weinig Europese alternatieven zijn, en dat de diensten die zij aanbieden beperkter zijn.
Waar of niet waar, door steeds meer naar Amerikaanse providers te verhuizen, maken we onszelf steeds afhankelijker. Dat brengt risico’s met zich mee. Hoe ziet de toekomst eruit als we zo doorgaan?
Minder soevereiniteit, meer afhankelijkheid
De overstap naar buitenlandse clouddiensten door de Nederlandse overheid maakt ons digitaal afhankelijk van een ander land, zowel op operationeel als op kennisgebied.
Als we onze eigen kritieke infrastructuur niet meer zelf beheren, kunnen we in situaties belanden waarin we niet in staat zijn snel en adequaat te reageren op dreigingen. En juist omdat we steeds afhankelijker worden van technologie en digitale dienstverlening, is het essentieel dat Nederland zijn eigen ICT-beslissingen neemt en de benodigde kennis in huis houdt. Als we de controle van onze digitale infrastructuur in eigen handen houden, kunnen we sneller inspelen op potentiële bedreigingen en zorgen voor een robuustere bescherming van onze data.
Minder privacy voor meer gemak?
De meeste mensen denken dat ze niks te verbergen hebben en dat hun data niet zo interessant is, maar toch… Alles bij elkaar weten Google en Microsoft al veel van ons. Ze weten wanneer we naar de dokter gaan, wie onze vrienden zijn. Nu zou daar dus ook informatie bijkomen vanuit de overheid.
Dat betreft gevoelige informatie: denk aan je belastingaangiftes, en andere interacties die je met behulp van DigiD hebt gedaan. Microsoft garandeert dat de dienstverlening voldoet aan de GDPR-wet- en regelgeving en dat de samenwerking geheel in lijn is met het SLM-raamwerk en cloudbeleid zoals opgesteld door CIO Rijk in het Rijksbrede cloudbeleid. Als Amerikaans bedrijf vallen ze echter onder de Cloud Act. Zelfs al staan de servers op Europees grondgebied, de Amerikaanse overheid kan in uitzonderlijke omstandigheden waarin een vermoeden van een ernstig misdrijf wordt vastgesteld, gegevens opvragen. Microsoft zal zich daar "waar mogelijk" tegen verzetten, geven ze aan. Maar voorkomen kunnen ze het niet. Dit is nu eenmaal de wet voor Amerikaans bedrijven. Ook buiten Amerika en dat geldt dus ook voor data van Nederlandse burgers en bedrijven.
De aangekondigde overstap lijkt dan ook in strijd met de GDPR en de Europese Network and Information Security (NIS2) richtlijn die vanaf 2024 in werking treedt. Organisaties die als ‘essentieel’ of ‘belangrijk’ worden gezien, zoals de overheid, mogen onder deze richtlijn geen gebruik meer maken van Amerikaanse cloudleveranciers.
Het beschermen van de privacy van burgers is bovendien niet alleen een wettelijke verplichting, maar ook een morele. Burgers moeten erop kunnen vertrouwen dat hun persoonlijke gegevens veilig zijn en niet toegankelijk voor buitenlandse overheden.
Meer kans op spionage
Door gebruik te maken van Amerikaanse bedrijven wordt de kans op spionage groter, zo waarschuwt ook denktank Clingendael.
Niet alleen omdat de Amerikaanse overheid via de Cloud Act toegang kan krijgen tot deze gegevens, maar ook omdat het aantal cyberaanvallen elke dag groter wordt. De cloudproviders doen er alles aan om zich tegen hackers te beschermen, maar hoe meer overheidsdata naar hen verhuist, hoe interessanter ze worden als target voor hackers. Willen we volledig vertrouwen op hun beveiligingsaanpak? WikiLeaks is waarschijnlijk de grootste nachtmerrie van elke ministerie.
Ondermijning van onze eigen IT-industrie
Daarnaast ondermijnt de overheid met deze beslissing de groei en ontwikkeling van de Nederlandse cloudsector. Voor Nederlandse bedrijven wordt het op deze manier steeds minder interessant om te investeren in de ontwikkeling van clouddiensten. Dat geldt ook voor IT-opleidingen. Zij zullen zich aanpassen aan de kennisbehoeften van bedrijven.
De uitbesteding heeft impact op onze economie, onze kennisontwikkeling en innovatievermogen.
Hoe het ook kan
Onze soevereiniteit, privacy en dataveiligheid bepaalt de toekomst van Nederland. Daarom roepen we de Nederlandse overheid op om deze beslissing te heroverwegen.
Gelukkig komt er vanuit meer kanten een tegengeluid. Zo hebben een aantal publieke organisaties, erfgoed-instellingen, bibliotheken, maar ook de gemeente Amsterdam zich aangesloten bij het initiatief PublicSpaces. Zij streven naar een ecosysteem dat fungeert op basis van publieke waarden, in plaats van op de 'surveillance capitalism'-modellen van de grote technologiebedrijven. Door zich te verenigen, zijn ze in een betere positie om alternatieven op de kaart zetten en te experimenteren met nieuwe platforms en tools.
Wij hopen op meer van dit soort initiatieven. Als Nederlandse cloudprovider gaan wij graag in gesprek met de overheid hoe we ervoor kunnen zorgen dat Nederland zelfstandig en vooruitstrevend blijft op het gebied van IT. Ons verantwoordelijkheidsgevoel houdt niet op bij de landsgrens, want ons streven is om de CO2-uitstoot van IT-verbruik te verminderen. Daarvoor hebben we een uniek concept. Deze twee doelen gaan prima hand in hand voor een soevereine en groene toekomst voor Nederland!