Preview document (🔗 origineel)

---

Tweede Kamer der Staten-Generaal	2
Vergaderjaar 2024-2025

26 643 Informatie- en communicatietechnologie (ICT)

Nr. 1243 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 22 november 2024

In het ordedebat van 21 mei 2024 heeft het Lid Kathmann (GroenLinks/PvdA) de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties verzocht de Kamer te informeren over alle voorgenomen en geplande migraties van overheids-ICT naar het buitenland, een onderbouwing per voorgenomen migratie en de bijbehorende risico-assessments. Ook heeft zij verzocht dat er tot die tijd (debat) geen onomkeerbare stappen genomen worden. Deze brief adresseert de vragen van het Lid Kathmann (GroenLinks/PvdA).

Om de hoofdvraag goed te beantwoorden ga ik in deze brief in op de context en definities van de verschillende onderdelen van de vraag: 1. Alle voorgenomen en geplande migraties van overheids-ICT naar 2. Het buitenland. Vervolgens geef ik een toelichting op de uitkomsten van de uitvraag aan de departementen, de risico-assessments en de onomkeerbare stappen. Het onderwerp «cloud» behoeft enige toelichting, die hieronder uiteen wordt gezet.

Er zijn meerdere manieren om diensten van ICT-voorzieningen (bijv. netwerken, servers, opslag, applicaties) af te nemen. De term «cloud» is een verzamelnaam voor een aantal variaties daarvan. Wat de cloud in belangrijke mate onderscheidt van andere manieren van ICT-voorzieningen afnemen, is dat een afnemer zelf (zonder menselijke interactie met de leverancier) de voorzieningen kan afnemen. «De cloud» komt in verschillende modellen. De twee meest gebruikte zijn de public cloud en de private cloud. Bij de public cloud worden de computermiddelen aangeboden door een commerciële partij. Zowel de Rijksoverheid als andere bedrijven en particulieren kunnen een deel van die middelen op hetzelfde platform afnemen. Als één overheidsorganisatie toegang heeft tot computermiddelen, dan spreken we van een private cloud. Een private cloud kan in beheer zijn van de Rijksoverheid zelf of exclusief door een marktpartij worden aangeboden. Een mengvorm van de private en public cloud heet een hybride cloud. Een hybride cloud is opgebouwd uit meerdere delen, waarvan sommige in een public en sommige in een private cloud zijn ondergebracht. Om goed overzicht te houden op de informatie in dat samenspel van diensten wordt een informatiearchitectuur gebruikt. Definitie clouddiensten De definitie van clouddiensten zijn «digitale diensten die beheer op verzoek en brede toegang op afstand («broad remote access») tot een schaalbare en elastische pool van deelbare computercapaciteit mogelijk maken, ook wanneer deze over verschillende locaties is gedistribueerd. Computercapaciteit omvat middelen zoals netwerken, servers of andere infrastructuur, besturingssystemen, software, opslag, toepassingen en diensten».

Het kabinet benadrukt dat de transitie naar het gebruik van cloudtechnologie onderdeel is van een bredere strategische ontwikkeling die in de afgelopen jaren heeft plaatsgevonden. Er is daarbij aandacht voor de voordelen en risico’s van cloudtechnologie. Het gebruik van cloudtechnologie biedt over het algemeen voordelen zoals kostenbesparing, snellere service en grotere flexibiliteit. Een overstap naar de cloud vereist alleen wel een zorgvuldige afweging, zoals vastgelegd in het Rijksbrede Cloudbeleid, en is afhankelijk van gedegen meerjarige contractuele afspraken. Daarnaast zijn goede monitoring, zowel op technisch vlak als op het gebied van contractmanagement, essentieel. Dergelijke migraties zijn complexe trajecten die vaak meerdere jaren duren.

Kamervraag

De volgende paragrafen behandelen de context en definities die van belang zijn voor de vraag over geplande en voorgenomen migraties van overheids-ICT naar het buitenland. Hierbij wordt ingegaan op de verschillende onderdelen van de vraag:

1. Alle voorgenomen en geplande migraties van overheids-ICT:

In lijn met de context van de gestelde vragen spitst de beantwoording zich toe op alle voorgenomen en geplande migraties naar public clouddiensten, oftewel zgn. «cloudmigraties».¹

Overheids-ICT:

Het begrip «Overheids-ICT» is complex door de decentrale inrichting van de Rijksoverheid en de verscheidenheid van diensten. De diverse en onderling afhankelijke informatiesystemen binnen de overheid maken het moeilijk om een eenduidig begrip hiervoor te hanteren. In de context van de gestelde vraag betrekken we het begrip migraties van overheids-ICT op de cloud. Het begrip dat we daarom hanteren voor «alle overheids-ICT» is die in de zin van het Rijksbrede cloudbeleid. Dit omvat al het «materieel» public cloudgebruik:²

«Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang. Ter verduidelijking hier vallen ook daarbij ondersteunende bedrijfsvoerings-processen voor zover van wezenlijk belang voor de primaire taken.»

2. Naar het buitenland:

Onder «migraties naar het buitenland» kan worden verstaan migraties buiten Nederland binnen de Europese Economische Ruimte (EER), en migraties buiten de EER. Op inkoop en gebruik van diensten binnen of buiten de EER zijn verschillende stelsels van toepassing die verderop in de brief worden toegelicht.

1.1 Centraal overzicht van alle geplande en voorgenomen migraties

In lijn met de in de Grondwet verankerde ministeriële verantwoordelijkheid is elk departement zelf verantwoordelijk voor zijn ICT-beheer en dienstverlening. In het Rijksbrede cloudbeleid is vastgesteld dat departementen zelf verantwoordelijk zijn voor het bijhouden van migraties naar de public cloud en de bijbehorende risicoafweging.³

1.1.1 Rijksbrede cloudbeleid

In het Rijksbrede cloudbeleid vindt besluitvorming, risicoacceptatie, toezicht en monitoring plaats via de reguliere afspraken: ministeriële verantwoordelijkheid, departementale mandateringsregeling, CIO-stelsel, BVA-stelsel en de rol van toezichthouders zoals de Algemene Rekenkamer, de Auditdienst Rijk en andere specifieke inspectiediensten.⁴ CIO Rijk heeft in voorkomende gevallen een adviesrol bij migratie naar de cloud en houdt een vinger aan de pols via de jaarlijkse CIO-gesprekken en het bestaande Informatiebeveiligings-beeld. Ook moeten de departementen in geval van verwerking van (bijzondere) persoonsgegevens in de public cloud een melding maken bij CIO-Rijk.⁵ Enkel bij het opslaan en verwerken van basisregistraties in de public cloud is advies vooraf verplicht.⁶ Ook beoordeelt CIO-Rijk risico’s, zoals departement-overstijgende risico’s, waaronder een te grote marktconcentratie. CIO-Rijk heeft daarin een adviserende en monitorende rol.⁷ Om goed te kunnen monitoren heeft men inzicht en overzicht nodig. Ik heb geconstateerd dat er momenteel onvoldoende structureel geborgd centraal inzicht en overzicht is in het voorgenomen gebruik van cloud. Daarom is het overzicht in deze brief tot stand gekomen door een uitvraag bij alle departementen, die, zoals ik eerder heb aangegeven, zelf verantwoordelijk zijn voor het bijhouden van hun cloudgebruik. In het hernieuwde cloudbeleid zal ik uiteenzetten hoe centraal inzicht en monitoring van organisatie-overstijgende afhankelijkheden van aangekochte diensten beter gaat worden gewaarborgd.

1.1.2 Evaluatie Rijksbrede cloudbeleid

Momenteel wordt het Rijksbrede cloudbeleid geëvalueerd en herzien. In de evaluatie van het Rijksbrede Cloudbeleid worden de uitkomsten van de onderzoeken van de Auditdienst Rijk (ADR) en de Algemene Rekenkamer (ARK)⁸, evenals de ontwikkelingen op digitale open strategische autonomie binnen de geopolitieke context meegenomen.⁹ Aan de hand van de evaluatie en de analyse van de ARK zal in 2025 een herzieningsvoorstel worden opgesteld voor het Rijksbrede cloudbeleid en het bijbehorende implementatiekader. Als voorschot op de herziening is in de Kamerbrief Evaluatie Rijksbreed Cloudbeleid al een aantal verbeterpunten genoemd zoals verbeteringen op de rapportage-, en registratieplicht en aanscherping van de risicoafweging op punten zoals publieke waarden, digitale soevereiniteit en marktconcentratie.¹⁰

Een van de doelen, die dit kabinet nastreeft, is het inzetten van technologie voor een betere en betrouwbaardere dienstverlening door de overheid. Het is van belang dat er meer centrale sturing, regie en verantwoordelijkheid wordt genomen over ICT en ICT-voorzieningen. Mijn voornemen is om dit als prioriteit op te nemen in de Nederlandse Digitaliseringsstrategie. Tot slot start ik, om uw Kamer goed te kunnen informeren, nog dit najaar een inventarisatie om op informatiesysteemniveau het IT-landschap voor de rijksbrede voorzieningen van de Rijksoverheid beter in kaart te brengen.

1.2 Cloudgebruik binnen de overheid

ICT-dienstverleners van de Rijksoverheid, zoals SSC-ICT, DICTU, DUO en JIO (Justitiële ICT Organisatie), hebben de afgelopen jaren veel werk verzet om het Rijksbrede Cloudbeleid te implementeren. Bij de ondersteuning van overheidsprocessen staat het streven naar de beste technische oplossingen centraal. In sommige gevallen blijkt een public clouddienst de beste keuze te zijn voor een moderne werkplek, optimale ondersteuning van overheidsopdrachten, of het beste aan te sluiten bij innovatiewensen en veranderkracht. In andere gevallen kiest de overheid voor andere ondersteuningsopties, zoals ICT-oplossingen in (gedeeld) eigen beheer. Tegelijkertijd zien we de afgelopen jaren een verschuiving bij softwarebedrijven, die zich steeds meer richten op de ontwikkeling voor de public cloud, waardoor de on-premise versies vaak minder functionaliteit bieden of soms zelfs helemaal verdwijnen.

1.3 Overheidsdatacenters

De Rijksoverheid heeft vier overheidsdatacenters (ODC’s) en Logius (binnen hun verzorgingsgebieden) die elk platformen bieden die gezien kunnen worden als een private clouddienst voor overheidsorganisaties. De ODC’s, Logius en CIO-Rijk verkennen in bredere zin de mogelijkheden om de diensten van de ODC’s op elkaar af te stemmen en breder aan te bieden voor de gehele overheid.

1.4 Digitale open strategische autonomie en cloud

De agenda Digitale Open Strategische Autonomie (DOSA) biedt een beleidskader voor strategische afhankelijkheden in het digitale domein. Het kabinet erkent daarin dat de Europese digitale economie, vooral op de cloudmarkt, onvoldoende concurrerend is, met vier grote niet-Europese aanbieders die de markt domineren. Om de Europese cloudpositie te versterken, neemt Nederland deel aan diverse initiatieven, zoals het Important Project of Common European Interest Cloud Infrastructure and Services (IPCEI CIS).

Het Instituut Clingendael heeft onlangs onderzoek gedaan naar Europese cloudsoevereiniteit en benadrukt dat een evenwicht tussen efficiëntie en soevereiniteit bij public clouddiensten essentieel is. Dit sluit aan bij de doelstellingen van de DOSA-agenda, zoals het kabinet heeft gesteld in zijn reactie op het Clingendael-rapport.

Daarnaast ontbreekt een duidelijk eisenpakket voor de Nederlandse overheid om richting te geven aan de cloudmarkt. Daarom is het kabinet voornemens een IT Sourcingskader Rijk te introduceren, waarin wordt beschreven hoe IT-diensten worden ingekocht, risico's worden beheerst en hoe aanbestedingsregels effectief kunnen worden toegepast om marktconcentratie te voorkomen en de ontwikkeling van een divers aanbod te stimuleren.

Voor de volledigheid verwijs ik naar de aankomende kabinetsreactie op de initiatiefnota «Wolken aan de Horizon» van de Kamerleden Six Dijkstra (NSC) en Kathmann (GL-PvdA) (Kamerstuk 36 574), waarin door het Kabinet verder ingegaan wordt op de vraagstukken rondom cloud.

1.5 Departementaal gebruik van de cloud

Voor de beantwoording van de Kamervraag is een uitvraag gedaan bij alle departementen. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbrede cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties naar verstaan.

Om de Kamervraag zo goed mogelijk te beantwoorden is de vraag verder uitgesplitst in geplande en voorgenomen migraties:

1.5 Onder geplande migraties wordt verstaan: trajecten die in voorbereiding zijn waar sprake is van een toekomstige (gedeeltelijke) public cloudmigratie.

1.6 Onder voorgenomen migraties wordt verstaan: trajecten waar mogelijk sprake is van een toekomstige (gedeeltelijke) public cloudmigratie.

De departementen geven in de beantwoording aan hun cloudgebruik zorgvuldig te overwegen, waarbij functionele behoeften en de kansen die cloud biedt tegen de risico's worden afgewogen. De ministeries benadrukken dat cloud geen doel op zich is. Gekeken wordt naar de best passende (technische) oplossing binnen de gestelde kaders. Zij wijzen op het belang van een gedegen afweging en onderstrepen de noodzaak voor het publieke debat over het gebruik van de public cloud.

Op basis van de inventarisatie zijn we tot het onderstaande overzicht gekomen. Hoewel deze inventarisatie een momentopname van de huidige situatie biedt en niet volledig is, zijn er uiterste inspanningen gedaan om alles in kaart te brengen. Toch blijft het mogelijk dat er elders een traject loopt dat onverhoopt buiten de inventarisatie is gebleven.

1.5.1 Geplande cloudmigraties

De volgende ministeries hebben aangegeven een of meerdere geplande migratie(s) te hebben:

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Onder het interdepartementale programma Beter Samenwerken (BSW) wordt gezocht naar betere digitale ondersteuning van het «moderne hybride (samen)werken». Daartoe wordt door de desbetreffende ICT-aanbieder (SSC-ICT, een shared service-organisatie die ressorteert onder BZK) een pilot uitgevoerd met aanvullende functionaliteiten van Microsoft (MS Teams).¹¹ Zodoende wordt ervaring opgedaan met het samenwerken in Microsoft Teams (bv. Documenten delen en samen bewerken). Departementen bepalen zelf of ze deze functionaliteit willen gebruiken, en dienen alsdan te voldoen aan het implementatiekader risicoafweging cloudgebruik.¹² Er is nog geen concrete uitrolplanning vanuit SSC-ICT omdat de pilot en voorbereidingen nog lopen.

Verder is SSC-ICT bezig met de vervanging van werkplekken binnen haar verzorgingsgebied. Deze vervanging is urgent omdat sommige componenten op korte termijn niet meer worden ondersteund door leveranciers (zoals Ivanti, die Ivanti Workspace Control vanaf 31 december 2026 niet meer ondersteunt en Microsoft, die Windows10 niet meer ondersteunt vanaf oktober 2025). De nieuw ontwikkelde werkplek is een cloud managed werkplek, waarbij t.b.v. het beheer en de veiligheid gebruik wordt gemaakt van cloudtooling (SAAS). Gezien de huidige (politieke) ontwikkelingen en veranderende zienwijze op datasoevereiniteit, heeft SSC-ICT besloten de dataopslag bij de nieuwe werkplek vooralsnog niet in de cloud onder te brengen; de data blijft dus vooralsnog on premise opgeslagen.

Er start bij het Rijksvastgoedbedrijf (RVB) één aanbestedingstraject voor een EU-public clouddienst voor een BIS-bodeminformatiesysteem, waarin bodeminformatie en bodemonderzoeken geregistreerd zullen worden. Vanwege de lopende aanbesteding wordt hierover op dit moment niet nader gespecificeerd.

Ministerie van Infrastructuur en Waterstaat

In twee gevallen (beide zijn nog niet live) zijn buitenlandse hosting partijen in beeld:

• Caelus: Caelus is een systeem voor emissieregistratie van luchthavens dat momenteel wordt ontwikkeld. De ontwikkeling vindt plaats op basis van een SaaS-afspraak waarbij de leverancier gebruik maakt van clouddiensten van AWS. Ook geldt een «lift-and-shift»-afspraak, waardoor IenW bij een livegang de mogelijkheid houdt om de oplossing op een platform binnen een overheidsdatacenter te plaatsen. Die mogelijkheid is door de leverancier ook aangetoond.

• Viewer Luchtvaart beperkingengebieden: deze viewer biedt inzicht in de beperkingen voor obstakels en bouwwerken als gevolg van de militaire en civiele luchtvaart in Nederland. Deze voorziening maakt gebruik van een oplossing van leverancier ArcGIS, die weer is gebaseerd op platformdiensten van Microsoft Azure.

In beide gevallen is met de leverancier overeengekomen dat data niet buiten de Europese Economische Ruimte (EER) wordt opgeslagen, beheerd, ingezien, verwerkt of bewerkt.

Ministerie van Onderwijs, Cultuur en Wetenschap

Het Ministerie van OCW gebruikt al enige tijd MS Teams voor videobellen en onderlinge chats. Op dit moment is OCW bezig met fase 2 van de implementatie van MS Teams waarbij in verschillende stappen meer functionaliteit wordt geactiveerd om uiteindelijk in documenten samen te werken. In die laatste stap is de inzet van Onedrive/Sharepoint mogelijk aan de orde. Documenten moeten uiteindelijk in het DMS van OCW opgeslagen worden. Onderdeel van de implementatie is het opstellen van een risicoanalyse en DPIA.

Ministerie van Volksgezondheid, Welzijn en Sport

Het huidige kernsysteem van het CBG, genaamd ICI (Informatie- en Communicatie-Infrastructuur), faciliteert de beoordeling en het beheer van ingediende dossiers voor een handelsvergunning van een geneesmiddel. Ook ondersteunt dit systeem de activiteiten ten aanzien van geneesmiddelenbewaking. Naast de officiële handelsvergunningen bevat het systeem ook de officiële productinformatie van alle geneesmiddelen met een handelsvergunning in Nederland. Met dit kernsysteem is het CBG in staat om zijn wettelijke taken adequaat uit te voeren.

Het huidige ICI is sterk verouderd. Het programma Nieuw GBS (Geneesmiddelen Beoordeling Systeem) is gestart om het huidige verouderde ICI te vervangen. Op dit moment zit dit programma in de aanbestedingsfase. De gunning wordt in Q4 2024 verwacht. Na de gunning wordt ook bekend welke oplossing er specifiek zal worden gerealiseerd. Dan wordt ook bekend waar de data opgeslagen zal worden (on premise, private cloud of een private tenant). Uitgangspunt bij de aanbesteding is dat data niet opgenomen mag worden in het generieke publieke domein. Daarmee zal data dus niet in de public cloud opgenomen worden.

Overige ministeries

De Ministeries van Algemene Zaken, Buitenlandse Zaken, Economische Zaken, Financiën, Klimaat en Groene Groei, Landbouw, Visserij, Voedselzekerheid en Natuur, Justitie en Veiligheid, Sociale Zaken en Werkgelegenheid, hebben aangegeven geen geplande migraties (binnen de kaders van het Rijksbrede cloudbeleid) te hebben.

1.5.2 Voorgenomen cloudmigraties

De volgende ministeries hebben aangegeven een of meerdere voorgenomen migratie(s) te hebben:

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Het ministerie is een project gestart rondom planning personenvervoer waar mogelijk een cloudgebasseerde oplossing voor wordt gebruikt. Het project is in de beginfase.

Ministerie van Buitenlandse Zaken

Momenteel zijn er twee trajecten in voorbereiding met mogelijk een toekomstige cloudmigratie:

• Registratie en beheer gegevens van personeel.

• Contactcenter dienstverlening ten behoeve van Nederland Wereldwijd (NWW).

Ministerie van Economische Zaken, Ministerie van Klimaat en Groene Groei en het Ministerie van Landbouw, Visserij, Voedselzekerheid en Natuur

Er loopt een traject voor de overgang van het financiële system Oracle EBS naar zijn opvolger Oracle Fusion Cloud. Dit behelst mogelijk migratie naar de public cloud en vindt plaats omdat het huidige product door leverancier Oracle op over enkele jaren niet meer wordt ondersteund en uitsluitend een cloudversie als opvolger krijgt.

Ministerie van Financiën

Er wordt een pilot uitgevoerd met een nieuwe werkplek (Digitale Brug Overheid) voor de Belastingdienst, Toeslagen en Douane. Deze pilot maakt gebruik van het Rijksbrede contract voor de Microsoft M365 Suite. De pilotfase wordt afgesloten met een evaluatie. Onderdeel van deze evaluatie is ook een nieuwe risicoanalyse voor de grootschalige uitrol. Aan de hand van de resultaten van deze pilot wordt beoordeeld of M365 beschikbaar komt voor alle medewerkers, er worden geen onomkeerbare stappen gezet.

Het programma Verbeterde informatiepositie Douane (VID) werkt sinds 2021 aan manieren om data geautomatiseerd en in samenhang te ontsluiten.¹³ Voor een betere risicoanalyse, en dus een betere handhaving. Maar ook voor meer interne doelen: voor een betere verantwoording en betere managementinformatie. Sinds 1 juli 2024 komen stap voor stap nieuwe rapporten en dashboards beschikbaar voor de organisatie.¹⁴ De Belastingdienst heeft een eigen contract voor Azure met Microsoft afgesloten, binnen de kaders van het contract dat SLM Rijk eerder met MS heeft afgesloten.

Het adviescollege ICT-Toetsing heeft een toets uitgevoerd op het programma TVS naar de Cloud van de Dienst Toeslagen. De Kamer heeft op 22 maart 2024 het definitieve advies en de bestuurlijke reactie bij dit advies ontvangen.¹⁵ Naar aanleiding van het advies zijn de uitvoerende activiteiten gepauzeerd en wordt geconcentreerd op een fase van validatie.

Ministerie van Infrastructuur en Waterstaat

Voor de benodigde transformatie van het bedrijfsvoeringssysteem dat gebaseerd is op SAP is het Programma VGP (Vernieuwing Generieke Processen) in scope als voorgenomen cloudmigratie. Het landschap van de bedrijfsvoerings-ICT bestaat uit meerdere componenten die gefaseerd worden ge-upgrade naar cloudplatformen. Daarbij wordt gebruik gemaakt van beschikbare contractafspraken en sjablonen die door SLM Rijk beschikbaar worden gesteld, zowel voor Microsoftdiensten (Azure) als voor SAP.

Voor het Programma Horizon (vervanging Content Manager) is besloten dat de clouddiensten vanuit overheidsdatacenter ODC-Noord worden geleverd. Deze dienst zal wel worden aangesloten op Microsoft clouddiensten die worden geleverd via overheidsdienstverleners als SSC-ICT en Rijkswaterstaat CIV (Centrale Informatievoorziening). Beide baseren zich op de contractafspraken van SLM Rijk met Microsoft.

Ministerie van Justitie en Veiligheid en het Ministerie van Asiel en Migratie

In het veiligheids- en migratiedomein is er vooralsnog één traject in voorbereiding met een mogelijke migratie. Vanwege de lopende aanbesteding wordt hierover op dit moment niet nader gespecificeerd.

Ministerie van Volksgezondheid, Welzijn en Sport

Bij aCBG wordt EURS (European Review System) gebruikt bij het beoordelen van geneesmiddelen. Bij een toekomstige vernieuwing is aCBG voornemens om ook de optie van een migratie naar een Software as a Service (SaaS) oplossing te onderzoeken. Naar verwachting wordt dit project in 2026 of 2027 opgestart. Op dit moment is dit nog geen lopend project.

De Dienst Uitvoering Subsidies aan Instellingen (DUS-I) van VWS gaat binnen een termijn van 3 jaar het systeem ter ondersteuning van het primair proces vervangen. Hierbij wordt mogelijk een keuze gemaakt voor een cloudoplossing.

Het programma IV-voor Infectieziektebestrijding bij het RIVM omvat een voorgenomen migratie naar een cloudoplossing.

Overige ministeries

Het Ministerie van Algemene Zaken, Sociale Zaken en Werkgelegenheid en het Ministerie van Onderwijs, Cultuur en Wetenschap hebben aangegeven geen voorgenomen migraties (binnen de kaders van het Rijksbrede cloudbeleid) te hebben.

1.6 Onderbouwing per voorgenomen migratie en de bijbehorende risico-assessments

Er is gevraagd om de onderliggende risico-assessments naar uw Kamer te sturen. Conform het Rijksbrede cloudbeleid zijn departementen zelf verantwoordelijk voor het openbaar maken van hun besluitvorming.¹⁶ De risico-assessments bevatten bepaalde informatie die niet openbaar gemaakt kan worden in verband met de veiligheid van de staat en vertrouwelijk meegedeelde bedrijfs- en fabricagegegevens. De departementen hebben daarom besloten om deze informatie niet openbaar te maken.

2 Wet- en regelgeving inkoop cloud-producten

Onder «migraties naar het buitenland» kan worden verstaan migraties buiten Nederland binnen de Europese Unie, en migraties buiten de Europese Unie. Op inkoop binnen of buiten de Europese Unie zijn verschillende stelsels van toepassing die hieronder worden toegelicht:

2.1 Aanbestedingsregels buiten Nederland en binnen de EU

Ten eerste moet opgemerkt worden dat het kabinet een landenneutraal beleid hanteert. Het uitsluiten van aanbieders uit Europese lidstaten of landen die lid zijn van de Government Procurement Agreement (GPA) is in beginsel niet toegestaan.¹⁷

De aanbestedingsregels voor inkoop binnen de Europese Unie zijn vastgelegd in verschillende richtlijnen die zijn ontworpen om eerlijke concurrentie en transparantie te waarborgen bij het verstrekken van overheidsopdrachten.

Europese aanbestedingsrichtlijn

De belangrijkste richtlijn voor overheidsopdrachten is Richtlijn 2014/24/EU.¹⁸ Deze richtlijn is van toepassing op de aanbesteding van overheidsopdrachten boven bepaalde drempelwaarden.

2.2. Aanbestedingsregels buiten de EU

De aanbestedingsregels voor binnen en buiten de EU zijn grotendeels gebaseerd op internationale verdragen en afspraken¹⁹, evenals op nationale wetgeving zoals de Aanbestedingswet 2012. Hier volgt een overzicht van de belangrijkste aanvullende regels en principes voor inkoop buiten de EU:

Internationale Verdragen

Nederland is als lid van de Europese Unie gebonden aan de WTO-overeenkomst inzake overheidsopdrachten (Government Procurement Agreement, GPA).²⁰ Deze overeenkomst heeft als doel een open, transparant en eerlijk aanbestedingsproces te bevorderen.

Bilaterale en multilaterale handelsverdragen:

Nederland houdt zich ook aan bilaterale en multilaterale handelsverdragen die specifieke bepalingen kunnen bevatten over overheidsopdrachten. Deze verdragen kunnen invloed hebben op de toegang van niet-EU leveranciers tot Nederlandse aanbestedingen.

2.3. Aanvullende regelgeving en richtlijnen

Quickscan Nationale Veiligheid

Naast de bestaande Europese richtlijnen zijn er regels opgesteld om in bepaalde gevallen landen uit te sluiten van inkoop. Hierbij moet men onder meer denken aan risico’s voor de nationale veiligheid zoals bijvoorbeeld de verstoring van de continuïteit van de vitale infrastructuur. Die moeten blijken uit bijvoorbeeld de quickscan en risicoanalyse nationale veiligheid.²¹

Implementatiekader risicoafweging cloudgebruik

Voor de migratie van overheids-ICT naar cloudleveranciers in het buitenland is het Rijksbreed Cloudbeleid van toepassing. Er zijn aanvullende regels opgenomen in het implementatiekader risicoafweging cloudgebruik.²² Onder dit beleid dienen de departementen hun eigen cloudbeleid en -strategie te ontwikkelen. Voor elke transitie naar de public cloud moet er een risicoafweging en een Data Protection Impact Assessment (DPIA) uitgevoerd worden²³, en bij elke overeenkomst met de cloudleverancier moet een exit-strategie opgenomen zijn.²⁴ Ook is een Data Transfer Impact Assessment (DTIA) verplicht wanneer er doorgifte van persoonsgegevens plaats vindt naar landen buiten de EER zonder adequaatheidsbesluit. Staatsgeheime informatie mag onder geen beding worden opgeslagen in de public cloud. Mocht er het risico zijn op dreiging van statelijke actoren, dan moet er voortijdig dreigings- en beveiligingsadvies ingewonnen worden bij de AIVD en/of MIVD.²⁵

3. Geen onomkeerbare stappen

Door het ontstane maatschappelijke debat heeft de Kamer mij gevraagd in de casus van SSC-ICT geen onomkeerbare stappen tot het voorgenomen debat te nemen.²⁶ Ik zal toezien op de naleving hiervan. Wel vraag ik de Kamer oog te houden voor het doel van het gebruik van technologische ontwikkelingen zoals de cloud. Als kabinet willen we de komende jaren verder inzetten op het waarborgen van de digitale veiligheid en technologische innovaties slim benutten voor een betere dienstverlening, overheidsbreed. De publieke waarden die met deze technologie versterkt kunnen worden staan hierbij centraal. Het kabinet zet zich in voor het waarborgen van deze waarden en op een toekomstbestendige overheid.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
F.Z. Szabó

---

1. Tweede Kamer der Staten-Generaal. 2024. Stenogram van het debat over de digitale soevereiniteit van Nederland, 21 mei. Kenmerk: 2024Z08620. Toegankelijk via Regeling van werkzaamheden | Tweede Kamer der Staten-Generaal.↩︎

2. Artikel 2 sub a Implementatiekader risicoafweging Cloudgebruik.↩︎

3. Artikel 42 en 44 Grondwet jo. artikel 1 Implementatiekader risicoafweging Cloudgebruik.↩︎

4. Artikel 1c Implementatiekader risicoafweging cloudgebruik.↩︎

5. Artikel 8 jo. 11 Implementatiekader risicoafweging cloudgebruik.↩︎

6. Artikel 12 Implementatiekader risicoafweging cloudgebruik.↩︎

7. Artikel 14 Implementatiekader risicoafweging cloudgebruik.↩︎

8. Het Rijk in de cloud | Actueel | Algemene Rekenkamer.↩︎

9. Kamerbrief Evaluatie Rijksbreed Cloudbeleid.↩︎

10. Kamerbrief Evaluatie Rijksbreed Cloudbeleid.↩︎

11. Dit staat bekend als MS Teams fase 2. Fase 1 is afgerond en behelst de uitrol van de functionaliteit videovergaderen.↩︎

12. Departementen die in aanmerking komen voor de functionaliteit zijn: het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, het Ministerie van Financiën, het Ministerie van infrastructuur en waterstaat, het Ministerie van Volksgezondheid, Welzijn en Sport.↩︎

13. Verbetering Informatiepositie Douane (VID) | Rijks ICT-dashboard (rijksictdashboard.nl).↩︎

14. Jaarrapportage Douane, 2023 | Douane | Tweede Kamer der Staten-Generaal.↩︎

15. Belastingdienst | Tweede Kamer der Staten-Generaal.↩︎

16. Artikel 10 implementatiekader risicoafweging cloudgebruik.↩︎

17. WTO-overeenkomst inzake overheidsopdrachten.↩︎

18. Richtlijn 2014/24/EU.↩︎

19. WTO-overeenkomst inzake overheidsopdrachten.↩︎

20. WTO-overeenkomst inzake overheidsopdrachten.↩︎

21. Quickscan/risicomitigatie nationale veiligheid bij inkoop en aanbesteden | PIANOo - Expertisecentrum Aanbesteden.↩︎

22. Kamerstukken II 2023, 26 643, nr. 964.↩︎

23. In 2023 onderzocht het Nederlandse Ministerie van Justitie de risico's van gegevensbescherming en -overdracht bij het gebruik van AWS-diensten. De uitkomst van deze Data Protection Impact Assessment (DPIA) is dat er geen bekende hoge risico's zijn als Nederlandse overheidsorganisaties de aanbevolen mitigerende maatregelen in de DPIA volgen.↩︎

24. Artikel 4, 6 en 8 Implementatiekader risicoafweging cloudgebruik.↩︎

25. Artikel 6 Implementatiekader risicoafweging cloudgebruik.↩︎

26. Tweede Kamer der Staten-Generaal. 2024. Stenogram van het debat over de digitale soevereiniteit van Nederland, 21 mei. Kenmerk: 2024Z08620. Toegankelijk via Regeling van werkzaamheden | Tweede Kamer der Staten-Generaal↩︎