Gegevensbescherming in de publieke cloud: een blik op de Nederlandse publieke sector

Highlights

• De publieke sector maakt steeds meer gebruik van de publieke cloud.
• 2022 is een markeerpunt.
• Een van de grootste uitdagingen is de verwerking van staatsgeheimen en geclassificeerde gegevens in de publieke cloud.
• Meerdere initiatieven bieden oplossingen voor een private cloud op Europees of landelijk niveau.
• De Nederlandse publieke sector moet beslissen hoe de toekomst eruit gaat ziet.

De grote overstap naar de publieke cloud

De meeste Nederlandse overheidsinstanties zullen de komende jaren volledig overstappen op clouddiensten. Een onderzoek van Gartner toont aan dat 63% van de overheidsinitiatieven op het gebied van cloudcomputing in de afgelopen jaren succesvol waren[1]. Clouddiensten bieden veel waardevolle kansen, van efficiënter werken (op afstand) tot betere dienstverlening aan burgers. Overheidsinstanties kiezen dan ook steeds vaker voor oplossingen in de publieke cloud. Deze oplossingen worden aangeboden door hyperscalers, grote aanbieders van publieke clouddiensten als Microsoft, Google en Amazon. Zij bieden goed schaalbare en zeer flexibele opties voor de opslag en verwerking van gegevens. Het verwerken van gegevens in de publieke cloud vereist over het algemeen meer digitale weerbaarheid dan de ‘traditionele’ private cloud op locatie. In alle gevallen moeten (persoonlijke) gegevens in de cloud veilig en privacyvriendelijk worden verwerkt, vooral als het gaat om gevoelige gegevens.

Vanwege meerdere (politieke) ontwikkelingen in de afgelopen jaren is de weerstand ten aanzien van publieke clouddiensten geleidelijk afgenomen en hebben Nederlandse overheidsorganisaties deze diensten omarmt. De belangrijkste ontwikkelingen zijn:

• In 2011 meldde de toenmalige minister van Binnenlandse Zaken Donner dat slechts een klein deel van de diensten en cloudaanbieders volwassen genoeg was voor de Nederlandse publieke sector[2]. De cloudapplicaties van die tijd voldeden niet volledig aan de specifieke wensen en vereisten op het gebied van gegevensbescherming, zoals voor de opslag van gevoelige gegevens bijvoorbeeld.
• In 2019 werd een officieel advies over de invoering van de publieke cloud gepubliceerd[3]. In dit document werd onderzoek gedaan naar het cloudbeleid van de Nederlandse publieke sector. Het ging in op gegevensclassificatie in de publieke cloud en stelde dat het gebruik van de publieke cloud voor departementaal vertrouwelijke gegevens niet was toegestaan, tenzij aan bepaalde voorwaarden werd voldaan. Ook het verwerken van staatsgeheimen en geclassificeerde gegevens was niet geoorloofd.
• In 2019 wilde het Nationaal Bureau voor Verbindingsbeveiliging (NBV) niet bevestigen of gegevensverwerking in de publieke cloud aan de voorwaarden voor de classificatie van departementaal vertrouwelijke gegevens kon voldoen. In 2021 kwam het bureau echter terug op dit besluit. Het adviseerde dat deze gegevens wel in de publieke cloud verwerkt mochten worden, mits er aan bepaalde voorwaarden werd voldaan om dreigingen van overheidsactoren te signaleren en voorkomen[4]. Maar het verwerken van staatsgeheimen en geclassificeerde gegevens was nog steeds niet toegestaan.
• In 2022 zal de Rijksoverheid met richtlijnen komen voor de Nederlandse publieke sector, gericht op risicobeheersing met betrekking tot publieke clouddiensten. Dit zal meer duidelijkheid scheppen over de verantwoordelijkheden ten aanzien van de te nemen maatregelen voor gegevensbescherming en -beveiliging.

Geconcludeerd kan worden dat Nederlandse overheidsorganisaties meer sturing en ondersteuning krijgen voor een vliegende start en verdere overstap naar de publieke cloud[5].

Overzicht van de regelgeving met betrekking tot privacy en beveiliging

Bij het verwerken van gegevens in de publieke cloud moet de Nederlandse publieke sector aan verschillende wetten en regels voldoen, zowel op landelijk als op Europees niveau. De belangrijkste verordeningen daarvan zijn:

Gegevensbescherming

Als het gaat om gegevensbescherming, dient de Algemene Verordening Gegevensbescherming (AVG) als uitgangspunt voor de bescherming van persoonsgegevens in de publieke cloud. De AVG is van toepassing op alle overheidsorganisaties binnen de Europese Economische Ruimte (EER) en beschrijft aan welke voorwaarden en criteria de verwerking van persoonsgegevens moet voldoen. De verordening besteedt aandacht aan meerdere privacybeginselen, zoals het beperken van de verwerking van (gevoelige) persoonsgegevens en de verplichtingen met betrekking tot de rechten van betrokkenen.

Informatiebeveiliging

Kijken we naar informatiebeveiliging binnen de overheid, dan is de Baseline Informatiebeveiliging Overheid (BIO) het belangrijkste kader. De BIO ordonneert verschillende maatregelen, op basis van een risicogebaseerde aanpak, om de beveiliging van informatie te waarborgen. Zo bevat de BIO diverse maatregelen voor overheidsinstanties om de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens te handhaven. De BIO maakt gebruik van basisbeveiligingsniveaus (BBN’s) om risicobeheer hanteerbaar, efficiënt en transparant te maken. Het BBN-niveau bepaalt welke maatregelen geïmplementeerd moeten worden. Zie tabel 1 voor een volledig overzicht.

Specifieke landelijke wet- en regelgeving

Naast de wet- en regelgeving met betrekking tot gegevensbescherming en informatiebeveiliging zijn overheidsorganisaties ook aan diverse andere (wettelijke) verplichtingen gebonden. In de praktijk zijn verschillende wetten van invloed op de maatregelen waar overheden rekening mee moeten houden. Bijvoorbeeld de Archiefwet, de Basisregistratie Personen (BRP), de Wet politiegegevens (WPG) en de Wet openbaarheid van bestuur (Wob), om er maar een paar te noemen.

Overheidsorganisaties moeten een goed beeld hebben van welke specifieke verplichtingen op hen van toepassing zijn. De bovengenoemde opsomming is namelijk geen uitputtende lijst van alle relevante wetten en regels.

Staatsgeheimen, geclassificeerde gegevens en cloudcomputing

Om optimaal te profiteren van de voordelen van veilige gegevensverwerking in de publieke cloud, moeten overheidsorganisaties hun maatregelen op het gebied van gegevensbescherming en -beveiliging afstemmen op het vertrouwelijkheidsniveau van deze gegevens. Er is al veel mogelijk op dit moment, maar dat geldt niet voor het verwerken van staatsgeheimen en geclassificeerde gegevens. Zoals hierboven beschreven, kunnen dergelijke gegevens nog niet in een publieke cloud worden verwerkt. Staatsgeheimen en geclassificeerde gegevens kunnen gedefinieerd worden als ‘officiële informatie waarvan is vastgesteld dat deze in het belang van de nationale veiligheid beschermd moeten worden tegen ongeoorloofde openbaarmaking en die als zodanig is aangemerkt’. Deze gegevens mogen vooralsnog niet in de publieke cloud worden verwerkt, aangezien actieve bescherming tegen overheidsactoren en georganiseerde misdaad nog niet voldoende kan worden gegarandeerd.

Speciale aandacht moet worden besteed aan Advanced Persistent Threats (APT’s): doelgerichte cyberaanvallen waarbij een onbevoegd persoon gedurende een langere periode onopgemerkt toegang tot een netwerk krijgt. APT’s worden voornamelijk uitgevoerd door overheidsactoren omwille van politieke of economische beweegredenen, vaak met de bedoeling om staatsgeheimen en geclassificeerde gegevens te stelen of om op een bepaald moment (vitale) netwerken plat te leggen. Dit is de belangrijkste reden waarom de Nederlandse overheid terughoudend is met het verwerken van gevoelige informatie in de publieke cloud. Want in tegenstelling tot private clouds vallen de gegevens daarin niet onder de volledige controle van de EU-lidstaat zelf. De grote vraag hoe de Nederlandse publieke sector staatsgeheimen en geclassificeerde gegevens op een toekomstbestendige en veilige manier gaat verwerken, blijft dus nog even onbeantwoord.

De toekomst van gegevensbescherming in Europa: publieke of private clouds?

Sinds de wettelijke grondslag voor de internationale doorgifte van gegevens tussen de EU en de VS werd opgeschort uit hoofde van de ‘Schrems II’-uitspraak van het Europese Hof van Justitie[6], heerst er veel onzekerheid in de EU over het gebruik van publieke clouddiensten voor de verwerking van gevoelige gegevens. De ‘hyperscalers’ die op dit moment clouddiensten aan de Nederlandse publieke sector leveren, zijn allemaal Amerikaanse organisaties. De uitspraak stelde dat de Amerikaanse wetgeving de inlichtingendiensten van dat land bevoegdheden gaf die niet in lijn zijn met het recht op privacy van de inwoners van Europa, zoals omschreven in de AVG. De EU-lidstaten zagen zich hierdoor niet alleen geconfronteerd met informatiebeveiligingsrisico’s vanwege de macht van de Amerikaanse inlichtingendiensten, maar ook met nalevingsrisico’s.

Deze bijkomende risico’s wakkerden de discussies tussen de EU-lidstaten aan over de vraag in hoeverre ze gevoelige gegevens wel of niet beter in ‘soevereine’ private clouds, zoals Frankrijk[7] en Duitsland dat al van plan waren, zouden moeten opslaan. In reactie daarop gingen de Amerikaanse hyperscalers direct aan de slag met de ontwikkeling van clouddiensten om een antwoord te bieden op deze soevereiniteitskwestie met betrekking tot gegevens. Daarbij gaven ze de technische garantie dat alle (persoons)gegevens in Europa zouden blijven. Toch heerst er bij de EU-lidstaten nog altijd onzekerheid. Sommige landen vragen zich af of datasoevereiniteit ook politieke soevereiniteit impliceert. Zijn de gegevens nog wel echt Europees als er een Amerikaans bedrijf betrokken is bij de verwerking van deze gegevens in de cloud?

De angst om de volledige controle over de verwerkingsactiviteiten kwijt te raken, heeft geleid tot meerdere Europese en landelijke initiatieven voor private cloudoplossingen[8]. Voorbeelden daarvan zijn ‘Blue’[9], een initiatief van Capgemini voor een private cloud in Frankrijk, en het Europese project ‘Gaia-X’[10]. De ontwikkeling van dergelijke initiatieven verloopt echter langzaam vergeleken met die van hyperscalers. Daarnaast bleek het lastig om de kwaliteit van deze Amerikaanse clouddiensten te evenaren, net als hun innovatievermogen op het gebied van informatiebeveiliging en gegevensbescherming. Het bovenstaande plaatst de publieke sector in Nederland maar ook andere EU-landen voor een dilemma. Er moet een keuze worden gemaakt tussen:

• Publieke clouds gebruiken voor de verwerking van gevoelige gegevens en het verhogen van de innovatiecapaciteit, waarbij we de bijkomende digitale soevereiniteitsrisico’s accepteren of;
• Private clouds gebruiken voor de verwerking van gevoelige gegevens en de (politieke) soevereiniteit omarmen om volledig onafhankelijk te zijn, maar waarbij de publieke sector over minder innovatiecapaciteit beschikt.

De meeste Nederlandse overheidsinstanties zullen de komende jaren massaal overstappen op clouddiensten. De Nederlandse publieke sector kan gebruikmaken van publieke clouddiensten voor de verwerking van (persoons)gegevens die geclassificeerd zijn als ‘departementaal vertrouwelijk’. Voor het verwerken van staatsgeheimen en geclassificeerde gegevens moeten overheidsorganisaties echter andere middelen gebruiken. Het opslaan van gevoelige gegevens in een publieke cloud kan gepaard gaan met Advanced Persistent Threats (APT’s), die de nationale veiligheid in gevaar kunnen brengen. Door de recente ontwikkelingen in het publieke cloudlandschap kan hier echter snel verandering in komen. Aanbieders van publieke clouddiensten lijken gehoor te geven aan de Europese roep om datasoevereiniteit. Zij bouwen landelijke infrastructuren en geven overheden vrijwel de volledige controle over hun gegevens. De Nederlandse publieke sector moet daarom een besluit nemen over de toekomst van gegevensverwerking: ofwel gebruikmaken van innovatieve publieke clouds en (beperkte) risico’s ten aanzien van politieke en datasoevereiniteit accepteren, of gebruikmaken van private clouds die minder innovatief zijn, maar wel volledige soevereiniteit bieden.

Auteurs:

Manisha Ramsaran

Manisha is een privacyconsultant met uitgebreide ervaring op het gebied van privacyrecht en gegevensbescherming. Haar juridische achtergrond en aandacht voor mensen maken van Manisha een toegewijde sparringpartner met oog voor detail. Ze adviseert zowel publieke als private organisaties bij privacygerelateerde zaken.

Ruben Tienhooven

Ruben is senior consultant op het gebied van gegevensbescherming en is gespecialiseerd in de bescherming van digitale mensenrechten en cloudcomputing. Als jurist en IT-specialist weet Ruben deze beide werelden van het cyberdomein bij elkaar te brengen. In zijn werk weet Ruben hoe hij zowel juridische en wettelijke als zakelijke vereisten om kan zetten in concrete acties en maatregelen die in de praktijk kunnen worden toegepast.

References:

1. https://www.gartner.com/smarterwithgartner/how-can-governments-scale-up-cloud-adoption
2. https://zoek.officielebekendmakingen.nl/kst-26643-179.html
3. https://www.noraonline.nl/wiki/BIO_Thema_Clouddiensten/Standpunt_AIVD_en_beleidsverkenning_BZK
4. https://www.noraonline.nl/wiki/BIO_Thema_Clouddiensten/Standpunt_AIVD_en_beleidsverkenning_BZK
5. https://www.digitaleoverheid.nl/wp-content/uploads/sites/8/2021/09/I-Strategie-Rijk.pdf
6. https://iapp.org/news/a/the-schrems-ii-decision-eu-us-data-transfers-in-question/
7. http://www.sgdsn.gouv.fr/uploads/2017/03/plaquette-saiv-anglais.pdf
8. https://blogs.microsoft.com/eupolicy/2021/05/06/eu-data-boundary/
9. https://preprod.wcms.capgemini.com/news/press-releases/capgemini-and-orange-announce-plan-to-create-bleu-a-company-to-provide-a-cloud-de-confiance-in-france-2/
10. https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html