Waarom het cloudbeleid van de Nederlandse overheid onveilig is

In de scriptie staat centraal hoe wetgeving en beleid de Nederlandse datasoevereiniteit beschermen bij het hosten van overheidsgegevens in een publieke cloud. De jury prees Van der Wal’s scriptie vanwege de uitzonderlijke diepgang en zijn kennis van zowel de juridische als technische aspecten.

Dwingen gegevens te delen

Van der Wal legt uit waarom de beveiliging van Nederlandse data bij met name Amerikaanse partijen beter kan. Volgens hem vormt de Amerikaanse jurisdictie een extra beveiligingsrisico in vergelijking met zelfgehoste oplossingen. De VS kan op basis van wetgeving Amerikaanse clouddiensten, hun dochterondernemingen en bedrijven met voldoende Amerikaanse contacten dwingen om klantgegevens te overhandigen, ook als deze gegevens van de Nederlandse overheid zijn.

Aanvullende maatregelen, zoals encryptie en adequaat sleutelbeheer, kunnen het risico verminderen, maar volgens Van der Wal is dit niet altijd haalbaar of mogelijk voor alle soorten cloudservices, zoals SaaS. Bovendien is de effectiviteit van deze maatregelen afhankelijk van de implementatie van de clouddienst. Daarnaast is het mogelijk dat de VS in de toekomst bedrijven dwingt hun services aan te passen, zodat klantgegevens alsnog kunnen worden gedeeld.

Aanvullende maatregelen

Van der Wal schrijft dat het huidige juridische en beleidsmatige kader voor het hosten van overheidsdata in een publieke cloud een risicogebaseerde benadering hanteert. 'Op advies van de AIVD kan informatie die als staatsgeheim is geclassificeerd, niet in een publieke cloud worden opgeslagen. Dit garandeert effectief datasoevereiniteit voor staatsgeheimen. Voor persoonsgegevens gelden aanvullende maatregelen.'

Echter, volgens Van der Wal is het onduidelijk hoe het risico voor datasoevereiniteit moet worden afgewogen in deze risicobeoordeling, vergeleken met bijvoorbeeld de vermeende voordelen van zelfgehoste oplossingen. Dit zou mogelijk een politieke kwestie zijn, afhankelijk van de bereidheid om te investeren in beveiliging voor een zelfgehoste oplossing, of een alternatief dat de datasoevereiniteit van de overheid beter beschermt, maar duurder is en mogelijk minder functionaliteiten biedt.

Strengere eisen

In zijn conclusie beveelt Van der Wal aan dat het invoeren van strengere eisen voor datasoevereiniteit bij extra gevoelige gegevens zou kunnen leiden tot betere bescherming. In zo'n geval zou een clouddienst niet onder de wetgeving van een niet-EU-land mogen vallen. Nederland zou in dat geval de huidige risicogebaseerde aanpak moeten herzien.

Dit artikel is eerder gepubliceerd op Binnenlands Bestuur, zustertitel van AG Connect.