Overheidsinstanties stappen over op de publieke cloud
Op 29 augustus jl. ontving de Tweede Kamer een brief van Staatssecretaris Alexandra van Huffelen van Digitalisering. In deze brief stond te lezen dat alle overheidsinstanties (met uitzondering van het Ministerie van Defensie en staatsgeheim gerubriceerde informatie) vanaf nu gebruik mogen maken van publieke clouddiensten, zoals bijvoorbeeld Jira. Deze nieuwe regeling – Rijksbreed Cloudbeleid 2022 – vervangt het oude beleid uit 2011 dat stelde dat overheidsinstanties alleen gebruik mochten maken van private clouddiensten, zoals de Rijkscloud.
Voordelen
Volgens Van Huffelen dragen publieke clouddiensten bij aan “de ontwikkeling naar een meer innovatieve, transparante, flexibele en efficiënte digitale Rijksoverheid”. Maar dat zijn niet de enige voordelen. De overstap naar de publieke cloud kent lage instapkosten, waardoor de overheid meer budget overhoudt om te investeren in de innovatieve technologieën die aan de lopende band worden geïntroduceerd door cloudleveranciers. Daarnaast gaat de cloud gepaard met een hoge mate van standaardisatie wat de kwaliteit en de implementatiesnelheid van de ICT-projecten binnen de overheid verhoogt. Tot slot zijn publieke clouddiensten goed schaalbaar en in sommige gevallen zelfs te combineren (multi-cloud). Hierdoor is het makkelijk om digitale dienstverlening op- of af te schalen, te wisselen van leverancier en/of de diensten van verschillende aanbieders te combineren om zo het best mogelijke aanbod te creëren.
Voorwaardes
De overheid zou de overheid niet zijn als ze niet verschillende voorwaardes verbinden aan de overstap naar publieke clouddiensten:
departementaal beleid
Alle departementen formuleren hun eigen cloudbeleid en cloudstrategie
Risicoafweging
Publieke Cloud alleen gebruiken als relevante risicoafweging is gemaakt door CIO Rijk
Gekend gebruik
Departementen rapporteren jaarlijks over publiek cloudgebruik en de risico’s daarvan
Exit-strategie
Elke overeenkomst met elke cloudleverancier heeft een exit-strategie over wat er gebeurt na de beëindiging van het contract
Voldoen aan eisen voor ICT-dienstverlening
Clouddienstverlening moet voldoen aan de bestaande voorwaarden voor ICT-dienstverlening
Toegespitste risicoanalyse
Risicoanalyse bevat informatie over het gebruik van de clouddienst en hoe de dienstverlener controle en verantwoordingsonderzoeken toelaat of daarover rapporteert
Cyberveiligheid
Leveranciers of diensten uit landen met een actief cyberprogramma dat gericht is tegen Nederlandse belangen worden uitgesloten
Openbaarheid
Besluitvorming is, conform de Woo, openbaar
Opslag en verwerking van persoonsgegevens
Alle opslag en verwerking van persoonsgegevens is compliant met de AVG
De oplossing(en) van Atabix
Alle SaaS-producten die je afneemt bij Atabix worden gehost op onze beheerde public cloudomgeving. Als leverancier van zowel gemeentelijke instanties als van rijksdiensten werken wij conform alle inkoopvoorwaarden die de overheid stelt aan softwarepartners: GIBIT-2020, ARBIT-2018, ARVODI-2018 en AWBIT-2018. Zo zijn de eisen die de Staatssecretaris stelt aan bijvoorbeeld een exit-strategie en ICT-dienstverlening als geheel altijd geborgd. Informatiebeveiliging staat bij Atabix hoog in het vaandel, en wij zijn dan ook ISO27001 gecertificeerd. In aanvulling op de vereiste maatregelen vanuit de ISO27001 norm heeft Atabix een set aanvullende maatregelen geïmplementeerd om ervoor te zorgen dat onze dienstverlening voldoet aan de BIO (baseline informatiebeveiliging overheid). Op verzoek kunnen wij altijd meewerken aan audits die hierop toetsen. Daarnaast bieden wij een SLA met rijke opties op het gebied van rapportage. Hiermee kunnen wij goed invulling geven aan alle specifieke rapportage eisen die er mogen zijn. Tot slot is Atabix een Nederlands bedrijf met servers die binnen de landgrenzen van de EU staan, namelijk in Frankfurt. Dit betekent dat alle data die wij verwerken nooit de grenzen van de EU overgaat. Op de Atabix-servers is je data altijd BIV (beschikbaar, integer en vertrouwelijk).