Tekst Alexandra Claessens, Nina van Aalst - met bijdragen van Nardie Scharenborg (CTO)
Foto Wim van Beek
Het streven naar digitale soevereiniteit is in de afgelopen jaren – onder invloed van geopolitieke ontwikkelingen – steeds belangrijker geworden voor Europa. Ook voor Nederland heeft dit gevolgen. Wat gebeurt er met (overheids)data bij gebruik van buitenlandse cloudoplossingen (service die verschillende computerbronnen zoals opslag, applicaties en processorkracht online aanbiedt)? Hoe veilig zijn deze gegevens? Als IT-leverancier van en voor het Rijk wil SSC-ICT de komende jaren met een soevereine cloudoplossing bijdragen aan een digitaal autonome Nederlandse overheid.
Geschatte leestijd:
5 minuten
De digitale dienstverlening van de Europese én van de Nederlandse overheid staat onder druk. Door internationale spanningen vormt de afhankelijkheid van buitenlandse leveranciers met betrekking tot de digitale infrastructuur een groeiend risico. Digitale soevereiniteit wordt dus steeds belangrijker om de veiligheid, privacy en onafhankelijkheid van overheidsdata en- processen te waarborgen.
Wat houdt digitale autonomie en soevereiniteit in?
Digitale autonomie betekent dat de overheid zelf keuzes kan maken over welke technologieën en leveranciers zij gebruikt, zonder daarbij vast te zitten aan één partij. Het gaat dus om vrijheid, maar ook om onafhankelijkheid van én grip op de digitale infrastructuur van de overheid. SSC-ICT waarborgt deze kwaliteit en veiligheid van de dienstverlening richting haar afnemers door middel van uitgebreide risicoanalyses. Daarnaast zet SSC-ICT in op open source-producten om zogeheten vendor lock-in te voorkomen.
Digitale soevereiniteit gaat nog een stap verder dan digitale autonomie. Bij soevereiniteit houdt de overheid de volledige controle over data en infrastructuur. Dit kan bijvoorbeeld door alleen gebruik te maken van Nederlandse of Europese leveranciers, of door ervoor te zorgen dat alle data binnen eigen datacenters wordt opgeslagen. Digitale autonomie is een voorwaarde voor digitale soevereiniteit.
Overheidsdata in de cloud
Vooral het gebruik van cloudoplossingen is een prominent discussiepunt als het gaat om digitale soevereiniteit. Naast alles wat zich afspeelt op het wereldtoneel, komt deze discussie mede voort uit internationale wetgeving rondom de cloud, zoals de veelbesproken Amerikaanse CLOUD-Act. Volgens deze toch wel botsende wetgeving – voluit de Clarifying Lawful Overseas Use of Data Act – kan de Amerikaanse regering toegang eisen tot Europese data die in de Verenigde Staten wordt opgeslagen of verwerkt. Tevens is SSC-ICT beducht voor de FISA - de Foreign Intelligence Surveillance Act. De FISA geeft Amerikaanse overheidsinstanties de ruimte om van de eigen bevolking en/of buitenlanders in het binnen- en buitenland inlichtingen te verzamelen, met name op het gebied van elektronische surveillance (zoals afluisteren, data-verzameling en andere vormen van digitale inlichtingenvergaring). Data opgeslagen op Nederlands grondgebied kan hierdoor mogelijk toch in Amerikaanse handen komen.
Dit laat zien wat de gevolgen zijn van wetgeving met een extraterritoriale (buiten het gebied van een land of staat) werking, hetgeen steeds vaker voorkomt in het digitale domein. Europese data die in de VS wordt opgeslagen of verwerkt, wordt aldaar beveiligd door de Europese General Data Protection Regulation (GDPR, gelijk aan de AVG op nationaal niveau). Tegelijkertijd valt deze data ook onder de Amerikaanse wet- en regelgeving, die toeziet op de toegang tot die data.
Door deze extraterritoriale invloeden kan de CLOUD-Act echter ook worden toegepast op data die op servers van leveranciers in Europa zelf wordt verwerkt en opgeslagen. Hierdoor kan deze data toegankelijk zijn voor de Amerikaanse overheid. Dit maakt het voor de gegevenseigenaar bijna onmogelijk om vast te stellen of de data bij een dienst of dienstverlener veilig is, zoals ook het Nationale Cyber Security Centrum in een analyse uit 2022 al duidelijk maakte. Computerbronnen – zoals die binnen cloudoplossingen worden gehost en beheerd door externe providers – zijn toegankelijk voor die providers, maar dus ook voor landen waarin deze gehost worden. Dit maakt dat de beveiliging van die data binnen de Europese Unie, maar óók de nationale wetgeving op het gebied van informatiebeveiliging een stuk ingewikkelder is geworden.
Dataopslag op nationaal niveau
Omdat opslag en verwerking van data binnen het digitale domein een internationale aangelegenheid is geworden, overstijgt dit fysieke barrières zoals landsgrenzen. Mede daarom heeft bijvoorbeeld de CLOUD-Act een invloed die verder reikt dan de Verenigde Staten. Bij het verwerken van gegevens moet een land, of een organisatie zoals SSC-ICT, dus ook rekening houden met verschillende wet- en regelgevingen, die met elkaar kunnen botsen.
Werken zonder dergelijke cloudoplossingen is in de huidige tijd echter bijna onmogelijk. De noodzaak van plaats – en tijdonafhankelijke samenwerking, directe toegang tot bestanden en software én de flexibiliteit wat betreft schaalvergroting-op-maat liggen hieraan ten grondslag. Bij een cloud wordt data niet lokaal opgeslagen, maar op externe servers. Hoe zorgt SSC-ICT er dan toch voor dat overheidsdata veilig opgeslagen wordt?
Private cloud en on premise-opslag
Naast het inzetten op open source-producten slaat SSC-ICT inhoudelijke data altijd op in de private cloud. Een private cloud heeft als groot voordeel dat de data alleen toegankelijk is voor gebruikers van de organisatie die eigenaar is van de servers. SSC-ICT slaat deze data op in servers van zogeheten overheidsdatacenters (ODC’s). De Nederlandse overheid is hiervan de eigenaar, en de data wordt on premises, dus lokaal, opgeslagen. Dergelijke datacenters vereisen grote investeringen in infrastructuur en onderhoud. Dat die investeringen noodzakelijk blijken, duidde CTO Nardie Scharenborg al in de vorige editie van Connect, toen zij sprak over de herijking van de meerjarenstrategie:
‘Bij DWR 2.0 (de nieuwe Digitale Werkomgeving Rijksoverheid) staat alle data in ons overheidsdatacenter (ODC), in lijn met die digitale autonomie en veiligheid. De opslag is on prem, en in dat verband werken we ook nauw samen met de andere ODC’s aan een rijksbrede soevereine cloud.’
‘Onze krachten zijn onder andere onze unieke kennis en IT-expertise, de stabiele dienstverlening en het overheidsdatacenter. Dat laatste is in de herijkte strategie aangemerkt als zogeheten ‘groeibriljant’. De wens is nu – in tegenstelling tot een paar jaar geleden – om hier fors uit te breiden, in plaats van uit te faseren.’
De soevereine cloud
De volgende stap richting digitale soevereiniteit van de Nederlandse overheid is een soevereine cloudoplossing. SSC-ICT spreekt van een soevereine cloud als de overheid volledige grip heeft op de opgeslagen data. Externe partijen hebben hierbij geen toegang tot inhoudelijke data. De nieuwe Digitale Werkomgeving Rijk (DWR 2.0), die binnenkort wordt uitgerold, maakt in principe al gebruik van zo’n soevereine cloud. Alle inhoudelijke data, zoals de inhoud van documenten en e-mails, wordt enkel in de ODC’s opgeslagen. Leveranciers hebben geen toegang tot deze data.
De nieuwe werkomgeving levert een grote bijdrage aan de totstandkoming en verdere ontwikkeling van de soevereine cloud. Om een soevereine clouddienst aan te kunnen bieden, zijn enorme servercapaciteiten nodig. Alle data die op de servers in een ODC wordt opgeslagen, heeft ook een back-up nodig. Ook moet de capaciteit van een clouddienst makkelijk op- en afgeschaald kunnen worden, om op elk moment aan de vraag van de afnemers te kunnen voldoen en extreme kosten voor ongebruikte cloudopslag te beperken.
Naast veiligheid en databescherming spelen hierbij ook publieke waarden zoals transparantie, privacy en continuïteit een belangrijke rol. Het is immers een dienst van én voor de overheid. SSC-ICT werkt dan ook nauw samen met de ODC’s om op termijn een soevereine cloudoplossing beschikbaar te kunnen stellen. Op deze manier kunnen afhankelijkheden van buitenlandse cloudleveranciers verder verminderd worden, en houdt de Nederlandse overheid meer grip op haar data.
