De Nederlandse overheid moet weg uit de Amerikaanse cloud – of juist niet?

Het debat mist nuance en soms ook de benodigde vakinhoudelijke kennis. Schermen met een ‘public-cloud exit’ doet geen recht aan de complexiteit van het probleem. De vraag is niet óf we uit de cloud en de Amerikaanse hyperscalers moeten stappen, maar hoe we de cloud op een verantwoorde manier kunnen gebruiken.

De Amerikaanse Cloud Act verplicht techbedrijven om data met de Amerikaanse overheid te delen, wat botst met de Europese AVG, vooral sinds de Schrems II-uitspraak. Dit roept juridische onzekerheid en vragen op over de wenselijkheid van afhankelijkheid van mondiale cloudproviders. De overheid dreigt grip op data en infrastructurele kennis te verliezen, terwijl het debat lijkt te gaan over simplistische oplossingen zoals het volledig verlaten van de Amerikaanse cloud. Dit gebrek aan nuance en kennis draagt bij aan angst, zonder realistische alternatieven te bieden.

De cloud biedt belangrijke voordelen zoals schaalbaarheid, gebruiksgemak en betere security, vooral bij toenemende cyberdreigingen. Het volledig verlaten van de Amerikaanse cloud is onrealistisch vanwege de inmiddels vergaande integratie met overheidsorganisaties. Hoewel alternatieven zoals Gaia-X veelbelovend zijn, worden ze vertraagd door regelgeving en marktbeperkingen, waardoor een snelle overstap niet haalbaar is. Daarnaast is de schaal waarop de hyperscalers investeren in ontwikkelingen en aanvullende diensten, niet te vergelijken met de budgetten die hier Europees voor zijn vrijgemaakt.

De oplossing ligt daarom niet in het afwijzen van de public-cloud, maar in slim datamanagement. We zouden moeten focussen op een datagerichte aanpak met risicoprofielen en dataclassificatie, in plaats van simplistische ‘alles of niets discussies’ te voeren. Het gaat niet om óf de cloud wordt gebruikt, maar om welke data waar wordt opgeslagen, een vraagstuk dat vakkennis en expertise vereist. Een hybride cloudstrategie biedt een oplossing door publieke clouds te gebruiken voor minder kritieke data en private clouds voor gevoelige informatie. Dit combineert schaalvoordelen met eigen controle en AVG-naleving, minimaliseert afhankelijkheid van buitenlandse providers, en biedt flexibiliteit om data veilig en efficiënt te beheren op basis van risicoclassificatie. Ook houdt deze manier van werken relevante kennis in Nederland.

Een verantwoord cloudbeleid begint met een gestructureerde aanpak, opgebouwd uit vier belangrijke stappen. Eerst is het essentieel om risicoprofielen op te stellen. Dit houdt in dat er een impactanalyse wordt uitgevoerd om de gevoeligheid van data te beoordelen en mogelijke risico’s in kaart te brengen. Vervolgens moet data worden geclassificeerd. Door gegevens onder te verdelen in categorieën zoals vertrouwelijk, intern of publiek, kan elk type data op een passende manier worden behandeld.De derde stap is het kiezen van de juiste cloud. Op basis van de classificatie wordt bepaald of data het beste thuishoort in een publieke, private of hybride cloud, of dat een on-premise oplossing geschikter is. Hierbij moet ook rekening worden gehouden met de aanbestedingswet. Tot slot is een continue evaluatie van de cloudinfrastructuur noodzakelijk. Regelmatige beoordelingen zorgen ervoor dat de infrastructuur blijft aansluiten bij veranderende veiligheidseisen, efficiëntiedoelen en technologische ontwikkelingen.

De roep om uit de Amerikaanse cloud te stappen suggereert dat er eenvoudige oplossingen bestaan voor complexe problemen, maar gaat voorbij aan de nuance die nodig is. De toekomst van de digitale infrastructuur van de overheid ligt niet in een keuze voor of tegen Amerikaanse cloudproviders, maar in het ontwikkelen van een slimme strategie voor databeheer. Een hybride cloudstrategie, waarin we publieke en private cloud omgevingen combineren, stelt de overheid in staat om veiligheidsrisico’s beheersbaar te maken, controle te behouden en te voldoen aan Europese richtlijnen.

Door risicoprofielen en dataclassificatie centraal te stellen, kunnen we veilig en efficiënt gebruikmaken van de cloud zonder onnodig afhankelijk te zijn van buitenlandse partijen. Het is tijd dat we gezamenlijk werken aan pragmatische oplossingen die de balans tussen veiligheid, efficiëntie en toegankelijkheid te waarborgen. Het verlaten van de cloud is geen oplossing; intelligent cloudmanagement op basis van een hybride strategie is de sleutel tot een toekomstbestendige digitale overheid.

Neem contact op met Marlijn Mulder of Mike Wilmot.