De Dienst ICT Uitvoering (DICTU) heeft een nieuw toetsingsinstrument gepubliceerd om de mate van digitale soevereiniteit van clouddiensten te beoordelen. Het instrument moet de rijksoverheid helpen bewuste en transparante keuzes te maken bij het gebruik en de inkoop van cloudtechnologie.
Nieuw instrument om clouddiensten te toetsen
DICTU beoordeelt clouddiensten aan de hand van vijf dimensies: juridisch, data & AI, technologie, operationeel en mens.
Volgens het rapport biedt de publieke cloud belangrijke voordelen, zoals schaalbaarheid, beveiliging en toegang tot geavanceerde diensten voor data-analyse en kunstmatige intelligentie. Tegelijkertijd wijst DICTU op een groeiende afhankelijkheid van een klein aantal grote buitenlandse cloudproviders. Meer dan 70 procent van de wereldwijde cloudmarkt is in handen van Amerikaanse aanbieders zoals Microsoft, Google en Amazon. Deze afhankelijkheid kan gevolgen hebben voor autonomie, veiligheid en de onderhandelingspositie van overheden.
Het rapport plaatst deze ontwikkelingen in het bredere kader van digitale soevereiniteit. Digitale soevereiniteit wordt daarin gedefinieerd als het vermogen van een organisatie of overheid om autonoom te beslissen en te handelen over essentiële digitale aspecten in economie, maatschappij en democratie. Een soevereine cloud moet ervoor zorgen dat data, infrastructuur en technologie niet kunnen worden beïnvloed door andere rechtsgebieden en beschermd zijn tegen directe toegang door overheden uit derde landen.
Vijf dimensies voor beoordeling
Het door DICTU ontwikkelde toetsingsinstrument beoordeelt clouddiensten aan de hand van vijf dimensies: juridisch, data & AI, technologie, operationeel en mens. Binnen deze dimensies worden verschillende criteria toegepast, zoals de jurisdictie van de aanbieder, datalokaliteit, encryptiebeheer, interoperabiliteit, controle over infrastructuur en de herkomst en expertise van personeel.
Elke dimensie bevat specifieke vragen en beoordelingsniveaus die inzicht moeten geven in de mate van soevereiniteit van een clouddienst. Deze systematische aanpak moet het mogelijk maken om cloudleveranciers te beoordelen op basis van objectieve, transparante en herhaalbare criteria.
Juridische en geopolitieke risico’s
Het rapport beschrijft ook verschillende risico’s die de digitale soevereiniteit van overheden kunnen beïnvloeden. Zo kunnen extraterritoriale wetten, zoals de Amerikaanse CLOUD Act, ertoe leiden dat buitenlandse autoriteiten toegang tot data kunnen eisen, zelfs wanneer die data fysiek buiten de Verenigde Staten is opgeslagen. Ook wordt gewezen op risico’s zoals vendor lock-in, beperkte dataportabiliteit en afhankelijkheid van buitenlandse infrastructuur en technologie.
Daarnaast noemt DICTU operationele en organisatorische risico’s, bijvoorbeeld wanneer internationale spanningen of sancties leiden tot onderbreking van cloudservices. Ook kan een gebrek aan kennis over cloudjuridica, datalokaliteit en geopolitieke afhankelijkheden binnen organisaties de regie over digitale infrastructuur bemoeilijken.
Onderdeel van breder beleid
Het toetsingsinstrument sluit aan bij verschillende nationale en Europese initiatieven rond digitale autonomie. Het rapport verwijst onder meer naar Europese kaders zoals het EuroStack-initiatief en het Cloud Sovereignty Framework van de Europese Commissie. Ook sluit het instrument aan bij beleidsdocumenten van het rijk, waaronder de Nederlandse Digitaliseringsstrategie en het implementatiekader voor risicoafweging bij cloudgebruik.
Met het nieuwe instrument wil DICTU een gestructureerde methode bieden om cloudoplossingen te beoordelen op soevereiniteit. Daarmee moet het rijk beter in staat zijn om de regie over data, technologie en digitale infrastructuur te behouden en tegelijkertijd gebruik te blijven maken van de voordelen van cloudtechnologie.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.