De hele korte versie: stilletjes maar in hoog tempo verhuizen cruciale ICT-diensten binnen de Nederlandse overheid naar met name Microsoft-servers onder Amerikaans recht. Dit neemt zulke enorme vormen aan dat de ICT-kennis binnen de Nederlandse overheid, maar ook binnen Nederland zelf, snel afkalft. Ook is deze beweging dodelijk voor onze eigen Europese industrie, waardoor we straks echt geheel hulpeloos zijn. De overheid mag volgens eigen beleid weloverwogen naar de cloud verhuizen. Maar het gebeurt niet weloverwogen, maar wel stilletjes en onder de radar, en het is duidelijk dat de hele communicatievoorziening van de rijksoverheid (email, documenten, samenwerken) onderweg is naar servers van Microsoft. Dit vergt veel meer politieke aandacht om te voorkomen dat we onbewust met ambtelijke besluiten (of zelfs zonder!) onze eigen ICT-capaciteiten verkwanselen en voortaan exclusief via het buitenland met onszelf moeten communiceren.

Update: Ik hield ook een praatje over dit onderwerp bij PublicSpaces vol met extra voorbeelden en details.

In het nieuws: BNR: Nederlandse data in Amerikaanse handen: ‘Dit was de druppel’, Volkskrant: Rijksoverheid verhuist essentiële ict stilletjes naar buitenlandse clouddiensten, tot schrik van Kamerleden en experts, agconnect, iBestuur en Binnenlands Bestuur.

Ik wind me al tijden op over hoe we in Europa onszelf veel te afhankelijk gemaakt hebben van buitenlandse bedrijven ver weg. Zoiets gaat ten koste van wat we met een duur woord soevereiniteit noemen. Van vele kanten hoor ik dat de rijksoverheid, al slaapwandelend, dit nog veel erger gaat maken: alle niet-staatsgeheime communicatie en bestanden zijn in straf tempo onderweg naar de Microsoft cloud, waar we vervolgens weinig invloed meer op hebben, maar wel totaal afhankelijk van zijn. Ook houden we zo in Europa en Nederland geen eigen IT industrie meer over. En uiteindelijk zijn er dan ook geen opties meer om deze outsourcing terug te draaien, omdat er geen personeel meer is dat nog weet hoe zoiets moet.

Geloof het of niet, dit is echt het logo van de club binnen de Nederlandse overheid die de samenwerking met Microsoft regelt. Erg Orwelliaans wijst de pijl naar de EU, terwijl alles in werkelijkheid Amerikaans wordt.

Inmiddels hebben Eerste en Tweede Kamer besloten dat het prima was om hun complete email archief & toekomstige communicatie op de servers van Microsoft te zetten, toch echt binnen juridisch en praktisch bereik van de Amerikaanse overheid en Microsoft. Dit is overigens ook het geval als de Microsoft-servers in de EU staan.

Doordat bedrijven en overheden massaal alleen nog maar diensten ver weg afnemen (de cloud uit de US, het beheer veelal uit het oosten) is er hier minder en minder eigen industrie. Er zijn al (semi-overheids) organisaties die bij hoog en bij laag beweren dat er in Europa helemaal geen moderne ICT meer te krijgen is, wat dan leidt tot een grote bijeenkomst op een ministerie.

Vergelijk de aanstaande situatie met hoe we hier geen mondkapjes of medicijnen meer bleken te kunnen maken tijdens de Corona crisis. De wereld is nu (geopolitiek) te spannend aan het worden om je eigen IT systemen niet meer te kunnen draaien als je dat weer zou willen.

Communicatie van de rijksoverheid: geruisloos en in sneltreinvaart naar de cloud

Mede naar aanleiding van het bovenstaande heb ik de afgelopen maanden gesproken met cloudaanbieders, huidige en voormalige (top-)ambtenaren, adviescolleges, onderzoeksclubs, de rekenkamer, denktanks, wetenschappers, ict-dienstverleners, maatschappelijk middenveld, politici en zelfs met een staatssecretaris en een minister.

Hieruit kwamen een blogpost over “cloud-native”, en ook een presentatie bij een Nationaal Cyber Security Center congres over of onze door derden beheerde communicatie- en ict-voorzieningen een crisis of oorlog zouden overleven (zeker niet). Naar aanleiding van deze artikelen kwam er nog meer feedback binnen, uit de ICT-loopgraven maar ook van junior en senior beleidsmakers.

Ik ben iedereen zeer dankbaar voor hun tijd en zeer relevante inzichten, want de conclusies zijn niet mals.

Aanvullingen, correcties en anecdotes blijven zeer welkom per email (bert@hubertnet.nl)!

Ondanks een voorzichtig Rijkscloudbeleid is de verhuizing van alle reguliere overheidcommunicatie en bestanden naar de Microsoft cloud in volle gang of wordt voorbereid. En voor een deel is het ook al gebeurd - het grote Shared Service Center ICT (SSC-ICT), wat tienduizenden werkplekken beheert binnen de overheid, heeft z’n eigen platform al niet meer onder controle, bijvoorbeeld.

Meerdere geloofwaardige bronnen vertellen me dat Microsoft Co-Pilot’s AI systeem geactiveerd is op digitale werkplekken van de overheid, en dat men het niet meer uit krijgt (!!). En persoonlijk trof ik al eens advertenties aan in het startmenu van een overheidswerkplek, wat toch ook echt heel raar is.

Voor ik verder ga wil ik nog even herhalen waarom dit erg is. Het is niet noodzakelijk erg dat Microsoft, Oracle, Google en Amazon etc bestaan en ons diensten leveren. Het is wel erg als de gehele Europese en Nederlandse ICT-industrie afsterft en we voortaan alleen nog via buitenlandse systemen met onszelf kunnen communiceren, als ze dat goed vinden daar. Want dat afsterven is wat er gebeurt als zelfs onze overheid geen zaken meer wil doen in Nederland of Europa. Ik hoop met name dat we nog een eigen ICT-capaciteit overhouden naast al het Amerikaanse cloudgeweld. Verder, het is me bekend dat staatsgeheime communicatie een uitzondering is op het cloudbeleid, maar dat gaat om verwaarloosbaar klein deel van de overheidscommunicatie.

“The ministry for Microsoft”

Van allemaal kanten bereiken me noodsignalen dat de trein richting zo’n Microsoft-monopolie goed doorrijdt. Nederland heeft iets unieks geschapen, het zogeheten Strategisch Leveranciers Management Rijk (SLM Rijk, website slmmicrosoftrijk.nl). Hiermee is het mogelijk om buitengewoon soepel alles bij Microsoft te kopen, want Microsoft is zo strategisch dat je er niet omheen kunt. In het buitenland wordt ons SLM Rijk overigens ook gekscherend “The ministry for Microsoft” genoemd.

Ziet er toch raar uit zo, maar kennelijk kan het gewoon!

Als je eens iets anders dan een gevestigde partij wil bestellen hoor je van de afdelingen inkoop dat je niemand mag uitsluiten in een aanbesteding. Ook mag je ook geen merknamen noemen, of zo specifiek aanbesteden dat je toeschrijft naar 1 leverancier. Maar voor Microsoft en andere softwarereuzen gelden deze regels niet en kan je direct Microsoftspullen bestellen (legio meer voorbeelden via Zwartboek aanbestedingen).

Fascinerend genoeg vinden ze de enorme afhankelijkheid van Microsoft bij de Amerikaanse overheid zelf wel een probleem. Maar wij hier nog niet lijkt het.

Rijkscloudbeleid

Stukken overheid die zich officieel niet aan het Rijkscloudbeleid hoeven te houden zijn al in volle draf naar de Microsoft cloud. De Eerste en Tweede Kamer, de Rekenkamer, de Nationale Ombudsman, de Nederlandse Zorgautoriteit, de Kamer van Koophandel, de Nederlandsche Bank en de Autoriteit Financiële Markten zijn al over ( lijstje via onderzoek NOS).

De rest van de rijksoverheid lijkt dat zeker ook te gaan doen verneem ik overal, maar het liefst zo geruisloos mogelijk. Er worden nog pogingen gedaan door betrokken ambtenaren om hierover kritische vragen te stellen, maar hier komen meestal geen concrete antwoorden op. En ondertussen verhuist er via salamipolitiek steeds meer weg naar de cloud, en is het straks een voldongen feit.

Zeer bevreemdend is de ervaren machteloosheid zelfs helemaal bovenin het Nederlandse bestuur. Men heeft, in andere woorden, geen grip op de migratie naar de cloud. De ICT van de overheid lijkt weinig boodschap aan of zelfs maar kennis te hebben van het strategisch beleid dat diezelfde overheid wenst te voeren. De ICT clubs zijn bezig met hele andere dingen dan strategisch beleid. Na ons de zondvloed. Maar dit zijn geen besluiten die alleen ambtelijk genomen kunnen worden. Dit is politiek.

Ook de Tweede Kamer zit het niet lekker, en 75 kamerleden vroegen vorige week om een “Kamerbrief met alle voorgenomen en geplande migraties van overheids-ICT naar het buitenland en een onderbouwing per voorgenomen migratie. Als er bijbehorende risicoassessments hebben plaatsgevonden, zou het goed zijn als die in een bijlage tot ons komen. Dat er voor die tijd geen onomkeerbare stappen genomen worden, is ook een belangrijke.”

Het was eerst onzeker of deze Kamerbrief er zou gaan komen, terwijl er toch een belangrijke rode lijn wordt getrokken: rommel alle overheidsbestanden en email niet de cloud in voor er debat is geweest.

Risicoafweging

Het Rijksbreed cloudbeleid 2022 eist voor de gang naar de cloud een gedegen risicoafweging. Ondanks goede intenties is een groot probleem met dit beleid dat deze risicoafweging niet publiek is, en bijvoorbeeld niet (vooraf) gedeeld hoeft te worden met de Tweede Kamer. Niemand die ik gesproken heb heeft ooit zo’n gedegen risicoafweging gezien, overigens. Het cloudbeleid meldt wel dat sommige stukken achteraf mogelijk via de Wet Open Overheid opgevraagd kunnen worden.

Maar dan is het al te laat.

Zo’n risicoafweging zou er overigens fascinerend uit kunnen zien. Want of daar staat in “we vinden het niet erg dat Amerikanen toegang tot onze gesprekken en data hebben”, of er staat “we denken dat ze het wel kunnen maar ze doen het vast niet”. Beide varianten zouden er zo op papier nogal vreemd uitzien.

Verder zou in zo’n afweging dan aandacht kunnen zijn voor het recente nieuws dat Microsoft er maar niet in slaagt Chinese hackers uit hun systemen te verjagen (nieuws, rapport). Ik citeer, “The Cyber Safety Review Board’s report takes aim at shoddy cybersecurity practices, lax corporate culture and a deliberate lack of transparency over what Microsoft knew about the origins of the breach. It is a blistering indictment of a tech titan whose cloud infrastructure is widely used by consumers and governments around the world.”.

Microsoft maakt zo zeker de belofte niet waar dat de cloud zo goed beveiligd zou zijn (pagina 12 van het Rijksbreed cloudbeleid), al belooft men beterschap op termijn.

Het is op dit moment overigens onzeker of overheden wel persoonsgegevens naar Microsoft 365 mogen sturen, en ook zoiets zou ik graag in een risicoafweging willen zien.

Ook zou het geweldig zijn als er (zichtbaar) gewerkt werd aan de in het cloudbeleid verplicht gestelde exit-plan, inclusief alternatieve leverancier of landingsplaats (pagina 9, artikel 7), maar niemand die ik sprak is bekend met zo’n plan. En nog gekker, het lijkt erop dat de (verplichte) risicoafweging meestal helemaal niet plaatsvindt, of dat niemand het document ooit gezien heeft in ieder geval.

De Eerste en Tweede Kamer lijken hun gang naar de cloud gemaakt te hebben zonder enige zichtbare consultatie of afweging. De Kamerleden die ik gesproken heb waren allemaal ook nogal verbaasd.

Het zou vreselijk zijn als de rest van de rijksoverheid even stilletjes z’n bestanden en communicatie zou migreren naar een cloud, terwijl dat misschien helemaal niet mag, en waarbij ook nog eens grote security zorgen zijn over de cloud partner.

En buiten Microsoft 365?

Het bovenstaande verhaal gaat erg over Microsoft 365 en geassocieerde diensten. In bredere zin speelt de discussie nu op vrijwel alle andere vlakken ook. Vrijwel iedere dienst die de overheid aanbiedt staat op de rol om te migreren naar de cloud, zoals bijvoorbeeld mogelijk ook het stelsel toeslagen of heel defensie.

En nogmaals, het is geen probleem dat de cloud bestaat of dat er diensten afgenomen worden. Het probleem is dat we hier in Nederland en Europa binnenkort totaal afhankelijk zijn van een paar aanbieders heel ver weg, omdat we niets anders meer doen of kunnen.

En nu?

Voor zover ik het begrijp rijdt de trein van de “totaalmigratie” naar Microsoft hard door, zonder dat er een concrete noodzaak is. Er is op dit moment geen haast. Het lijkt er wel op dat Microsoft het op termijn onmogelijk gaat maken om hun software zonder cloud te draaien, maar dat moment is nog niet nabij. Men roept weleens dat er geen alternatief is omdat het allemaal zo ingewikkeld is. Maar op de schaal van een hele overheid, de grootste IT-gebruiker van het land, zijn er echt dingen mogelijk.

Ondertussen bestaat er op dit moment nog een Europese IT-industrie die, mits die de kans krijgt, ook wel degelijk communicatieplatformen kan gaan leveren. Maar de toekomst is donker, en straks kunnen we hier helemaal niets meer en zakken we permanent door het ijs, en heeft de overheid zelf ook geen kennis meer om nog een server te draaien.

Ik hoop van harte dat we het niet laten gebeuren dat de Rijks-ICT zoals het nu lijkt te gaan geheel uit Europa vertrekt, zonder dat er ooit goed over nagedacht is op politiek of zelfs maar ambtelijk niveau. Dat is misschien nog wel het ergste.

Het implementatiekader van de risicoafweging cloudgebruik eist in artikel 7 een alternatieve leverancier of een interne landingsplaats bij de gang naar de cloud.

Een uitstekend begin zou zijn om nu te beginnen met de realisatie (aanbesteding) van zo’n gebruiksklaar alternatief platform, nog voordat we haast per ongeluk de cloud in rollen voor alle overheidscommunicatie. Want ervaring leert dat als je zoiets niet vooraf regelt het achteraf nooit meer gebeurt, tot je met de gebakken peren zit.

Want terloops, je weet nooit wie de verkiezingen wint in november.

– Bert Hubert (bert@hubertnet.nl)