Staatssecretaris Van Huffelen (Koninkrijksrelaties en Digitalisering) deelt het Rijksbrede cloudbeleid van 2022 met de Tweede Kamer.
Datum 29 augustus 2022
Betreft Rijksbreed cloudbeleid 2022
Met deze brief informeer ik u over het Rijksbrede cloudbeleid 2022; een uitwerking van de nieuwe visie op gebruik van publieke clouddiensten door de Rijksoverheid. Dit beleid vervangt het eerdere beleid uit 2011, waarin nog gestreefd werd naar gebruik van private clouddiensten. Gebruik van publieke clouddiensten biedt potentiële voordelen, er zijn echter ook risico’s die beheerst moeten worden. Op beide ga ik in deze brief in. In de bijlagen vindt u een duiding van hetgeen verstaan wordt onder (publieke) clouddiensten en de eerdere beleidsontwikkelingen op dat terrein.
Rijksbreed cloudbeleid 2022
Onder het nieuwe beleid mogen overheidsdiensten, met enkele uitzonderingen, onder voorwaarden publieke clouddiensten gebruiken. Deze uitzonderingen en voorwaarden worden hieronder uitgewerkt.
In de eerste plaats gelden voorwaarden voor de verwerking van persoonsgegevens in publieke clouddiensten. Dit vergt een goedgekeurde pre-scan gegevens-beschermingseffectbeoordeling (ook wel pre-scan DPIA genoemd). Bij hoog risico wordt een volledige data protection impact assessment (of formele DPIA) uitgevoerd, waarin zowel de verwerking zelf als de geldende grondslagen, de aard van de verwerking en de bijbehorende risico’s en maatregelen zijn beschreven. Dit geldt ook bij verwerking van gegevens in een publieke cloud. Elk departement is zelf verantwoordelijk om de relevante risico’s van het gebruik maken van een publieke cloud toepassing in beeld te hebben en tijdens het gebruik in beeld te houden. Op basis van deze risicoafweging kan de betreffende minister voor tot en met departementaal vertrouwelijk gerubriceerde informatie besluiten tot gebruik van de publieke cloud. Voor die risicoafweging zal door de CIO Rijk met de departementale CIO’s voor het einde van 2022 een “implementatierichtlijn risicoafweging cloudgebruik” worden opgesteld, mede op basis van de Baseline Informatiebeveiliging Overheid. Hiermee kan de departementale CIO-office bij gebruik van een clouddienst desgevraagd aan CIO Rijk een gegevensbeschermingseffectbeoordeling met daarin een samenhangende risicoanalyse overhandigen. Dit past binnen de bestaande coördinerende verantwoordelijkheid en het instrumentarium van CIO Rijk. Hetzelfde geldt voor interne en externe verantwoording aan de Auditdienst Rijk en de Algemene Rekenkamer.
Lees hier de gehele Kamerbrief over Rijksbreed cloudbeleid 2022