Goede geluiden over digitale autonomie

De Tweede Kamer is met reces, en de out of office replies vanuit de overheid beginnen indrukwekkende vormen aan te nemen. Kunnen ze in Amerika nog wat van leren.

Maar, er worden nog steeds dingen gepubliceerd, en het is opvallend hoeveel goeds er recent gezegd is over digitale autonomie.

De tl;dr is dat er een duidelijke wending zichtbaar is. Na een decennium van ontkenning publiceren allerhande stukken overheid nu ronkende teksten over digitale autonomie en staan die teksten ook vol goede voornemens en besluiten.

Hier een bloemlezing van recente bemoedigende stukken. Waarbij natuurlijk aangetekend moet worden dat het nog wel moet gaan gebeuren. Maar het begin is er:

In dit paper (waar ik ook voor geïnterviewd ben) leggen de vijf (!) toezichthouders samen uit dat er echt iets moet gebeuren: “De toezichthouders zien dat de afhankelijkheid van een klein aantal IT-dienstverleners risico’s met zich meebrengt voor de continuïteit van digitale dienstverlening aan burgers en bedrijven. Verstoringen, cyberincidenten en geopolitieke ontwikkelingen kunnen grote gevolgen hebben voor bedrijven, overheden en de samenleving.”

Ook komt men met concrete aanbevelingen. Een centraal probleem in Europese digitale autonomie is “wie begint er”. Bedrijven nemen nu grotendeels diensten af bij Microsoft en Amazon. En daarmee zijn Europese aanbieders inderdaad op dit moment minder ingesleten en ook minder volwassen. Daardoor bestaat het gevaar dat het hele bedrijfsleven de kat uit de boom kijkt tot de aanbieders spontaan volwassen en geaccepteerd zijn geworden. Maar dat gaat niet vanzelf gebeuren natuurlijk. Dat vergt coördinatie en samenwerking om de Europese aanbieders op gang te helpen. Maar mag dat soort coördinatie wel van de ACM?

Uit het rapport: “Bedrijven kunnen binnen sectoren samenwerken en als eerste afnemers optreden voor sectorspecifieke IT diensten. Binnen de concurrentieregels is veel ruimte voor dit soort samenwerkingen”. Het Financieel Dagblad schreef een artikel met als kop “Toezichthouders: niet bang zijn voor regels bij keuze voor digitale autonomie”, en daarin zegt ACM-bestuursvoorzitter Martijn Snoep: “‘Wij staan niet in de weg bij zo’n samenwerking. We merken dat bedrijven bij voorbaat denken dat het niet kan, maar vaak kan meer dan ze denken.’”.

Dit rapport door vijf toezichthouders (ook beschikbaar in het Engels) is een krachtig signaal over de noodzaak aan de slag te gaan, en biedt ook ruimte voor afnemers en aanbieders om samen te werken om onszelf van onze werkelijk afgrijselijke afhankelijkheid af te helpen.


Foto door Karin Ruigrok van de Werve on Unsplash

De Rijksoverheid heeft al jaren een cloudbeleid, waar men zich volgens eigen onderzoek grotendeels niet aan houdt. Desondanks is deze herziening goed nieuws, want zonder regels zijn we al helemaal kansloos. Zo gold het oude cloudbeleid (per ongeluk) niet voor Zelfstandige Bestuursorganen (ZBO’s). En juist deze ZBO’s bleken onze meest gevoelige gegevens te beheren. Dat gat is nu gedicht.

Ook zeer opbeurend zijn heel feitelijke aanbevelingen:

  • Voor kritieke en essentiële entiteiten […] wordt afgeraden om voor de ondersteuning van de kerntaken afhankelijk te zijn van een leverancier die deels onder een andere jurisdictie dan de Nederlandse of een van de EU of EER -lidstaten valt.
  • Voor e-mail- en documentbeheer wordt afgeraden deze in de publieke cloud te verwerken
  • Gebruik van publieke cloud voor verwerking van bijzondere persoonsgegevens wordt afgeraden en wanneer dit toch noodzakelijk is, moeten Privacy Enhancing Technologies worden toegepast

Deze laatste aanbeveling gaat over medische data, inclusief ziekmeldingen en personeelsdossiers waarin gezondheid een rol speelt. Dit soort data was al eerder van geconcludeerd dat deze niet onversleuteld naar de cloud mag, maar het gebeurde toch massaal, naar verluidt zelfs bij het personeelsdossier platform van de Rijksoverheid zelf.

Het aangescherpte cloudbeleid staat vol van verbeteringen die duidelijk maken wat er allemaal niet mag. Helaas is het om (grond)wettelijke redenen nu zo dat ieder ministerie z’n eigen IT-beleid mag maken, en zich niet hoeft te houden aan het door Binnenlandse Zaken vastgestelde beleid. Daarom staat het beleid vol van dingen die “aan- of afgeraden worden”, en staat er niet dat dingen niet mogen. Er is een motie van voormalig kamerlid Jesse Six Dijkstra met 150 stemmen aangenomen om dit probleem aan te pakken, maar er zit nog geen schot in. Misschien eens wat mee doen?

Desondanks is het aangescherpte Rijksbrede cloudbeleid een enorme stap de goede kant op, want er staat wat er zou moeten gebeuren, in niet mis te verstane woorden.

Dit is nog eens een stuk. De Belastingdienst was voornemens alle email uit te besteden aan Amerikaans beheer. Ook was er het onzalige plan om de Btw-software door Amerikanen te laten runnen, software die 80 miljard euro per jaar int. Amerika zou vervolgens ook mee kunnen kijken bij alle belastingmail en documenten.

Kennelijk is er iets grootschalig veranderd bij de belastingdienst, want in hun recente brief over autonomie waait een heel andere wind. De btw-software gaat weer zelf beheerd worden, en ook de email gaat niet meer naar Amerika. Ook zijn er vier hoofdlijnen:

  1. Behouden en waar nodig versterken eigen ontwikkelcapaciteit
  2. Uitbreiden datacenterinfrastructuur
  3. Herzien inkoop- en aanbestedingsbeleid (“Waar mogelijk wordt gekozen voor Europese leveranciers”)
  4. Verder inzetten op open source

Men merkt daarbij terecht de goede uitgangspositie van de Belastingdienst op. Er is een eigen datacenter, er zijn duizenden technische medewerkers al aan het programmeren en beheren. Waar de rest van de Nederlandse overheid daar in hoge mate mee op was gehouden is de belastingdienst nog steeds een echt IT-bolwerk. En dan kan je ook (weer) mooie dingen gaan doen. Bemoedigend!

Het Adviescollege ICT-toetsing heeft de (mogelijke) uitrol van Microsoft 365 bij de belastingdienst onderzocht. Maar dit onderzoek gaat over ieder gebruik van Microsoft 365 in omgevingen met vertrouwelijke data. Vorig jaar schreef ik het stukje Mail in de VS en je bestanden niet? Het werkt niet.

Het Adviescollege heeft dit nu goed uitgezocht, en het kan inderdaad niet. Een paar hoogtepunten uit het onderzoek:

  • “Documenten met classificatie ‘vertrouwelijk’ of lager worden niet versleuteld opgeslagen in M365. Zeer vertrouwelijke documenten die extern mogen worden gedeeld, worden niet-versleuteld opgeslagen in M365” - dit is niet omdat de Belastingdienst dat niet wil. Maar voor de (volledige) werking van M365 is het nodig dat Microsoft toegang heeft tot de data, zo is het ontworpen. En dat trekken we niet.
  • “Het aggregatierisico waarbij gevoelige informatie afgeleid kan worden uit metadata van minder gevoelige informatie is niet meegewogen in de risicoafweging” - oftewel, de miljoenen niet gevoelige emails en documenten geven samen toch een volledig beeld van ook heel gevoelige dossiers.
  • “Daarnaast ontbrak een back-upvoorziening voor het geval de dienstverlening van Microsoft abrupt wegvalt” - voor diensten die cruciaal zijn voor onze maatschappij is het niet acceptabel om te zeggen “nou ja als Microsoft down is stoppen we maar”.
  • “Er is sprake van een vendor lock-in en een toename van concentratierisico’s, en tegelijkertijd afname van flexibiliteit en soevereiniteit door de keuze voor een totaaloplossing bij één Amerikaanse (cloud)leverancier”

Dit zijn allemaal uitstekende conclusies. Conclusies die gelden voor alle stukken Rijksoverheid die gestandaardiseerd hebben op Microsoft 365. Het is ontzettend fijn dat deze constateringen nu zwart op wit staan. Ieder stuk overheid dat nu nog de overgang naar M365 wil doen weet zich nu geconfronteerd met dit advies: “als je vertrouwelijke data hebt kan het niet, je bent reddeloos verloren als Microsoft een storing heeft en je zwemt een fuik van totale afhankelijkheid in”.

Nederland is groter dan we soms denken, maar toch ook weer een stuk kleiner dan alle EU-landen bij elkaar. Zoals ik betoogde in een recent praatje Digitale Autonomie 2.0: en nu echt moeten we ophouden met ons Calimero-complex. De EU heeft hier een mooie aftrap voor gegeven met het Tech Sovereignty Package. Hoewel het door lobbyisten danig verwaterd is (bah), staan er toch nog hele mooie dingen in.

Specifiek wordt bijvoorbeeld open source erkend als een basis voor bedrijven om solide diensten mee te leveren, en men gaat hier ook geld in steken. Ik schreef eerder over het idee van European Cloud Modules en zoiets zou best kunnen gebeuren.

Ook relevant, overheden in Europa zijn enthousiast over digitale autonomie maar hebben een hoop andere dingen te doen ook. In het package staat opgenomen dat de meest cruciale overheidsdiensten verplicht digitaal autonoom moeten zijn. Denk hierbij aan DigiD. En zo’n verplichting is erg welkom.

In deze notitie, die voortkomt uit de Nederlandse Digitaliseringsstrategie, kiest men voor een soevereine overheidscloud waarbij “Technologie en exploitatie onder volledige EU controle staan, en uitsluitend onderworpen zijn aan EU-wetgeving en er geen kritieke niet-EU afhankelijkheden zijn”. Dat zijn nog eens woorden. Voor deze nieuwe cloud kiest men “scenario A”, waarbij dit nieuw en centraal opgebouwd gaat worden.

Deze cloud gaat niet over alles, met name over containers, maar het is een uitstekende basis voor (nieuwe) overheidsdienstverlening.

Afsluitend

Dit is een bloemlezing uit diverse recente bemoedigende documenten. Er zijn er nog meer, zoals het besluit om DigiD inderdaad aan te gaan besteden via nationale veiligheidswetgeving. Dit zijn dingen die in 2025 nog als onmogelijk werden beschreven, en nu kan het toch echt. Ook de Vereniging Nederlandse Gemeenten deed een duit in het zakje met hun stuk Eisen aan gemeentelijke cloudvoorzieningen.

Er is nog een hele weg te gaan, maar de bovenstaande rapporten, adviezen en plannen zijn zeer bemoedigend. “Nou nog even doen” natuurlijk, maar het begin is er zeker.