Open brief

Geachte mevrouw van Huffelen,

Deze open brief als reactie op uw kamerbrief van 29 augustus 2022 met kenmerk 2022-0000478290.

Deze brief is een reactie op de kamerbrief van Staatssecretaris Digitalisering en Koninkrijksrelaties Van Huffelen. De brief bevat een uitwerking van de nieuwe visie op gebruik van commerciële clouddiensten door de Rijksoverheid. Dit beleid vervangt het eerdere beleid uit 2011, waarin nog gestreefd werd naar gebruik van eigen clouddiensten.

“Onder het nieuwe beleid mogen overheidsdiensten, met enkele uitzonderingen, onder voorwaarden publieke clouddiensten gebruiken.

(…)

Elk departement is zelf verantwoordelijk om de relevante risico’s van het gebruik maken van een publieke cloud toepassing in beeld te hebben en tijdens het gebruik in beeld te houden. Op basis van deze risicoafweging kan de betreffende minister voor tot en met departementaal vertrouwelijk gerubriceerde informatie besluiten tot gebruik van de publieke cloud.“

Middels deze brief willen we alle ministeries binnen ons rijk, want kennelijk is ieder ministerie zelf verantwoordelijk, nadrukkelijk vragen hier verantwoord mee om te gaan. In de brief wordt verwezen naar de AVG, en benoemd dat moet worden voldaan aan één van de volgende eisen:

1. Opslag en verwerking binnen de EER
2. Opslag in een land met adequaatheidsbesluit
3. Opslag in een land met passend doorgiftemechanisme (zoals een modelcontract)

Wij vragen ons af waarom we überhaupt over de landsgrens moeten gaan met onze data. Voor de duidelijkheid; dit gaat over persoonsgegevens die binnen de Algemene Verordening Gegevensbescherming vallen. Dit gaat dus per definitie ook over persoonsgegevens van Nederlandse burgers. Zou data die persoonsgegevens van Nederlanders bevatten, afkomstig van Nederlandse ministeries, ook niet gewoon binnen de grenzen van Nederland moeten blijven?

In de bijlage van de brief wordt onder andere verwezen naar Amazon, Microsoft en Google, Amerikaanse bedrijven, die dus niet vallen binnen de EER. Als oplossing hebben deze bedrijven zich met datacenters gevestigd binnen de EER, maar de band met het Amerikaanse moederbedrijf blijft bestaan. Met de Amerikaanse CLOUD Act hebben Amerikaanse opsporings- en veiligheidsdiensten een middel gekregen om gegevens te vorderen van Amerikaanse providers van elektronische communicatiediensten, zoals Amazon, Microsoft en Google. Dit kan zonder rechterlijke toetsing, ongeacht waar ter wereld de servers gelokaliseerd zijn. Ja, er moet verdenking zijn van een ‘ernstig misdrijf’, maar nergens staat exact gespecificeerd wat dit is, en hoe dit getoetst moet worden. Kort samengevat: Nederlandse ministeries kunnen nooit garanderen dat Amerikaanse bedrijven binnen de EER geen gegevens uitleveren aan Amerikaanse overheden. Zie ook het advies, uitgebracht op aanvraag van het rijk, van het nationaal cyber security centrum die dit precies onderschrijft.

We willen de departementen bij deze dan ook uitdagen om, met bovenstaande informatie in het achterhoofd, de data veilig binnen de Nederlandse landsgrenzen te houden.

Als onderdeel van het Nederlandse IT-landschap, weten we dat het zeker mogelijk is om de voordelen van de commerciële publieke Cloud ook in Nederland te realiseren, inclusief veilige opslag, verwerking en distributie. Zeker niet alleen bij Bytesnet, maar ook bij onze partners en concurrenten. Veilig en vertrouwd onder Nederlandse wet- en regelgeving, zonder inmenging van andere staten.

Met vriendelijke groet,

Jan-Joris van Dijk
Managing Director Bytesnet

Gepubliceerd op: 20 sep 2022