De rijksoverheid is ondoordacht gaan werken in de cloud en denkt onvoldoende na over de risico’s. De Algemene Rekenkamer concludeert in het rapport Donkere wolken pakken samen dat het Rijk maar beperkt zicht heeft op clouddiensten. Voor twee derde van de belangrijkste clouddiensten zijn niet de vereiste risicoafwegingen gemaakt. De Rekenkamer is bezorgd omdat dienstverlening aan burgers en bedrijven daardoor te veel risico loopt. De mogelijke schade kan onze maatschappij ontwrichten.

Werken in de cloud kan de overheid efficiënter maken en haar dienstverlening verbeteren. Uit het onderzoek blijkt dat het Rijk hier al volop gebruik van maakt. Elk ministerie werkt ermee. Van de in totaal 1.588 in het onderzoek gerapporteerde clouddiensten bij het Rijk is van ruim een kwart (26%) niet bekend om welke vorm van cloud het gaat. Dit is verontrustend: de soort cloud is een heel basaal gegeven.

Risico’s vaak niet afgewogen, sturing moeilijk
De Rekenkamer heeft met name de belangrijkste public cloud-diensten onderzocht. Het gaat dan om primaire taken van de organisatie. Denk aan kantoorautomatisering bij ministeries, weerdata van het KNMI en de klantgegevens in de zorg. Meer dan de helft van deze belangrijkste public cloud-diensten wordt bij de Amerikaanse bedrijven Amazon, Microsoft en Google ingekocht. Het gebruik ervan brengt risico’s met zich mee voor de overheid zelf en voor burgers en bedrijven. Bijvoorbeeld als buitenlandse overheden gegevens opeisen bij de cloudaanbieder, of als zo’n bedrijf failliet gaat of gehackt wordt.
Het is zaak dat ministeries zicht hebben op hun cloudgebruik en in de voorbereiding al risicoafwegingen maken. De Rekenkamer ziet dat ministeries onvoldoende strategische risicoafwegingen hebben gemaakt om public cloud te gaan gebruiken. Van de 126 belangrijkste public cloud-diensten is er bij 84 (67%) geen risicoafweging gemaakt. Hierdoor blijft bijvoorbeeld het risico bestaan dat gegevens niet goed beschermd zijn of dienstverlening opeens ongewenst kan stoppen. Ook kan de staatssecretaris van Digitalisering moeilijk bijsturen op ministerie-overstijgende cloudrisico’s.

Beleid verschillend per ministerie
De cloudstrategie en het cloudbeleid verschillen per ministerie. Door deze versnippering is het voor alle betrokken partijen lastig om afspraken te maken, bijvoorbeeld tussen ministeries, overheidsdatacentra en cloudleveranciers. De belangrijkste aanbeveling van de Rekenkamer is dan ook aan het kabinet: het Rijk moet richting de grote clouddienstverleners als één samenwerkende overheid optreden. Door als één overheid kaders te stellen, regels te hanteren en risico’s te beheersen kan het Rijk zijn positie ten opzichte van leveranciers en andere gebruikers van de cloud versterken. Hiervoor is het nodig dat het Rijk veel gerichter kansen, risico’s en alternatieven afweegt.
Collegelid van de Algemene Rekenkamer Ewout Irrgang is bezorgd over de bevindingen: “Laat ik het onomwonden zeggen: het risico bestaat dat buitenlandse regeringen, met name de VS, informatie van de Nederlandse rijksoverheid of van burgers kunnen inzien en wellicht zelfs aanpassen. Of ze dat doen is een tweede, maar als ze willen, dan kan het.” Irrgang is daarnaast ongerust over de dienstverlening voor burgers en bedrijven: “Die is niet gegarandeerd wanneer bijvoorbeeld kantoorautomatisering het niet meer doet. Het is dan ook zaak dat de ministeries samenwerken om als één overheid grip te krijgen op hun cloudgebruik. Gelukkig heeft staatssecretaris Szabó van Koninkrijksrelaties en Digitalisering laten weten het rapport te onderschrijven. Hij wil graag aan de slag. Ik roep het kabinet als geheel op om de ministeries minder vrijblijvend te laten samenwerken.”