De Rijksoverheid mag voortaan van commerciële clouddiensten gebruikmaken, zo heeft staatssecretaris Van Huffelen van Digitalisering in een brief aan de Tweede Kamer laten weten. Tot nu toe mochten overheidsinstanties alleen eigen clouddiensten gebruiken. Het nieuwe cloudbeleid geldt niet voor het ministerie van Defensie en is ook niet toegestaan voor staatsgeheim gerubriceerde informatie. Voor gegevens uit de basisregistratiepersoonsgegevens en bijzondere persoonsgegevens geldt het principe "nee tenzij".

Ooit waren er plannen voor een private Rijkscloud, maar die is nooit van de grond gekomen. Wel zijn er bij verschillende ministeries en uitvoeringsorganisaties zelfstandige private cloudoplossingen in gebruik genomen. Volgens Van Huffelen heeft de markt voor publieke clouddiensten het afgelopen decennium een grote ontwikkeling doorgemaakt, versneld door de coronapandemie.

"Diensten zijn betrouwbaarder geworden en worden op zeer grote schaal door burgers en bedrijven gebruikt. Ook zijn de veiligheidsmogelijkheden uitgebreid en geeft de grootschalige uitrol van updates en patches de mogelijkheid veel sneller te reageren op fouten in software dan in het verleden. Daarom is het hoog tijd om het Rijksbrede cloudbeleid uit 2011 te herzien", zo schrijft ze in de brief aan de Kamer.

Voor persoonsgegevens die de Rijksoverheid straks zal opslaan en verwerken in de cloud gelden de privacyvereisten uit de AVG. Zo is opslag en verwerking binnen de Europese Economische Ruimte verplicht, of in landen waarvoor een adequaatheidsbesluit bestaat, of op basis van een passend doorgiftemechanisme dat voldoet aan de vereisten van de AVG, zoals een modelcontract.

"Voor veel mensen en bedrijven is de cloud al een vertrouwd gegeven. De overheid heeft daar bewust mee gewacht. Anders dan een paar jaar geleden winnen de voordelen het nu van de risico’s. Dat neemt niet weg dat we nog steeds strikte voorwaarden stellen, met name op het gebied van beveiliging en privacy”, aldus Van Huffelen. Om veiligheidsrisico’s te minimaliseren zijn overheidsinstellingen verplicht vooraf een risico-analyse te maken.

De staatssecretaris zegt dat ze van plan is om de ministeries extra aandacht te vragen voor verantwoording over de risicoanalyses en bescherming van persoonsgegevens. Daarnaast is ze van plan om het nieuwe cloudbeleid volgend jaar te evalueren.