Het kabinet voert strengere eisen in voor het gebruik van clouddiensten door Rijksorganisaties. De aangescherpte regels moeten de digitale soevereiniteit vergroten en de afhankelijkheid van buitenlandse leveranciers verminderen. Kritieke overheidsorganisaties krijgen het advies om voor hun kerntaken geen diensten meer te gebruiken van aanbieders die onder wetgeving buiten de EU of EER vallen.
Digitale soevereiniteit centraal in overheidsbeleid
Het kabinet verscherpt het cloudbeleid voor rijksorganisaties om de digitale soevereiniteit van Nederland te vergroten en de afhankelijkheid van buitenlandse leveranciers te verminderen. Kritieke overheidsorganisaties krijgen het advies om voor kerntaken geen clouddiensten meer in te zetten van aanbieders onder wetgeving buiten de EU of EER. Dit beleid sluit aan bij internationale trends rond geopolitieke risico’s in digitale infrastructuur, zoals ook zichtbaar in de Amerikaanse overheid die toezicht op AI-bedrijven verscherpt.
Voor ondernemers in Nederland betekent dit beleid dat overheidscontracten en samenwerking met rijksorganisaties strenger worden gescreend op cloudlocatie en leveranciersnationaliteit. Bedrijven die diensten leveren aan de overheid moeten rekening houden met deze aangescherpte eisen en kunnen dit als kans zien om EU-gebaseerde cloudoplossingen aan te bieden. Dit kan ook gevolgen hebben voor MKB-bedrijven die via overheidsaanbestedingen groeien.
Rijksoverheid verscherpt cloudbeleid met nieuwe voorwaarden
Rijksorganisaties moeten voortaan bij het gebruik van publieke clouddiensten rekening houden met geopolitieke risico’s en leveranciersafhankelijkheid. Staatssecretaris Aerdts van Digitale Economie en Soevereiniteit presenteerde het nieuwe beleid dat moet zorgen voor meer keuzevrijheid. Volgens Aerdts betekent digitale soevereiniteit dat de overheid kan kiezen voor andere leveranciers wanneer dat nodig is. Daarnaast moet de overheid zelf kunnen bepalen wie toegang heeft tot gegevens en wie niet.
Organisaties die gebruikmaken van publieke clouddiensten moeten vooraf een cloudstrategie opstellen. Daarin leggen zij vast waarom zij voor een publieke clouddienst kiezen en welke risico’s daarbij horen. Ook moeten zij aangeven hoe zij deze risico’s beperken. Voor kritieke organisaties zoals verschillende ministeries en zelfstandige bestuursorganen gelden aanvullende afspraken binnen het nieuwe beleid.
E-mail en documentbeheer niet langer in publieke cloud
Het kabinet raadt Rijksorganisaties af om e-mail en documentdiensten in een publieke cloud onder te brengen. Deze diensten worden in het nieuwe beleid aangemerkt als een nationaal belang. Brondata van basisregistraties zoals de Basisregistratie Personen en de Basisregistratie Kadaster mogen niet meer in een publieke cloud worden beheerd. Zo blijven deze gegevens veilig en beschikbaar voor burgers, bedrijven en overheden.
Daarnaast moeten organisaties bij het gebruik van belangrijke clouddiensten een exitplan opstellen. Daarin staat welke maatregelen zij treffen om de dienstverlening voort te zetten als een clouddienst plotseling uitvalt. Denk aan overstappen naar een andere leverancier of zelfstandig verdergaan. Deze maatregel moet voorkomen dat de overheid volledig afhankelijk wordt van één cloudleverancier.
Vier jaar voor aanpassing aan nieuwe regels
Rijksorganisaties krijgen vier jaar de tijd om bestaande diensten aan het nieuwe beleid aan te passen. In complexe gevallen kan deze termijn worden verlengd om hoge kosten, risico’s en desinvesteringen te voorkomen. Het nieuwe Rijkscloudbeleid geldt voor alle Rijksoverheidsorganisaties. Alleen het ministerie van Defensie en de hoge colleges van staat, waaronder de Eerste en Tweede Kamer, vallen buiten het beleid.
Staatssecretaris Aerdts gaat de komende tijd met de medeoverheden in gesprek om te komen tot een overheidsbreed cloudbeleid. Clouddiensten bieden organisaties de mogelijkheid om online bestanden op te slaan, applicaties te draaien of grote hoeveelheden gegevens te verwerken op servers van cloudleveranciers. Dat biedt veel voordelen, maar brengt ook risico’s met zich mee die per clouddienst, organisatie en dienstverlening verschillen.
Kernfeiten
- Rijksoverheid voert strengere eisen in voor clouddiensten bij kritieke overheidsorganisaties
- Kerntaken mogen geen diensten gebruiken van aanbieders onder wetgeving buiten EU of EER
- Beleid moet digitale soevereiniteit vergroten en leveranciersafhankelijkheid verminderen
- Staatssecretaris Aerdts van Digitale Economie en Soevereiniteit presenteerde het nieuwe beleid
Veelgestelde vragen
Wat betekent dit cloudbeleid voor mijn bedrijf als overheidscontractor?
Als uw bedrijf diensten levert aan rijksorganisaties, moet u voortaan aantonen dat uw cloudinfrastructuur binnen de EU of EER is gevestigd. Dit kan betekenen dat u uw leveranciers moet controleren of van leverancier moet wisselen. Bedrijven die al EU-gebaseerde cloudoplossingen gebruiken, hebben hier een voordeel.
Hoe beïnvloedt digitale soevereiniteit ondernemers in de ICT-sector?
Dit beleid creëert kansen voor Nederlandse en Europese cloudleveranciers om overheidscontracten binnen te halen. Tegelijkertijd moeten ICT-bedrijven hun supply chain transparanter maken en kunnen geopolitieke risico’s hun bedrijfsmodel beïnvloeden. Het beleid stimuleert investeringen in Europese cloudinfrastructuur.
Wat zijn de gevolgen van dit beleid voor bedrijven die Amerikaanse cloudservices gebruiken?
Bedrijven die voor overheidswerk afhankelijk zijn van Amerikaanse cloudproviders zullen hun infrastructuur moeten aanpassen of alternatieve leveranciers zoeken. Dit kan extra kosten met zich meebrengen, maar het beleid geeft duidelijkheid over toekomstige eisen. Niet-kritieke overheidsorganisaties hebben meer flexibiliteit.
Welke acties zijn relevant voor ondernemers die met de overheid samenwerken?
Controleer waar uw cloudinfrastructuur en die van uw leveranciers fysiek zijn gevestigd. Inventariseer welke diensten onder EU-wetgeving vallen en welke niet. Neem contact op met uw overheidscontactpersoon om te begrijpen welke eisen voor uw specifieke contract gelden. Dit geeft u tijd om eventuele aanpassingen door te voeren.
