Brief regering : Overzicht geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland

Nr. 1243
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 22 november 2024

In het ordedebat van 21 mei 2024 heeft het Lid Kathmann (GroenLinks/PvdA) de Staatssecretaris
van Binnenlandse Zaken en Koninkrijksrelaties verzocht de Kamer te informeren over
alle voorgenomen en geplande migraties van overheids-ICT naar het buitenland, een
onderbouwing per voorgenomen migratie en de bijbehorende risico-assessments. Ook heeft
zij verzocht dat er tot die tijd (debat) geen onomkeerbare stappen genomen worden.
Deze brief adresseert de vragen van het Lid Kathmann (GroenLinks/PvdA).

Om de hoofdvraag goed te beantwoorden ga ik in deze brief in op de context en definities
van de verschillende onderdelen van de vraag: 1. Alle voorgenomen en geplande migraties
van overheids-ICT naar 2. Het buitenland. Vervolgens geef ik een toelichting op de
uitkomsten van de uitvraag aan de departementen, de risico-assessments en de onomkeerbare
stappen. Het onderwerp «cloud» behoeft enige toelichting, die hieronder uiteen wordt
gezet.

Wat is «de cloud»? Wat zijn clouddiensten?

Er zijn meerdere manieren om diensten van ICT-voorzieningen (bijv. netwerken, servers,
opslag, applicaties) af te nemen. De term «cloud» is een verzamelnaam voor een aantal
variaties daarvan. Wat de cloud in belangrijke mate onderscheidt van andere manieren
van ICT-voorzieningen afnemen, is dat een afnemer zelf (zonder menselijke interactie
met de leverancier) de voorzieningen kan afnemen.

«De cloud» komt in verschillende modellen. De twee meest gebruikte zijn de public
cloud en de private cloud. Bij de public cloud worden de computermiddelen aangeboden
door een commerciële partij. Zowel de Rijksoverheid als andere bedrijven en particulieren
kunnen een deel van die middelen op hetzelfde platform afnemen.

Als één overheidsorganisatie toegang heeft tot computermiddelen, dan spreken we van
een private cloud. Een private cloud kan in beheer zijn van de Rijksoverheid zelf
of exclusief door een marktpartij worden aangeboden.

Een mengvorm van de private en public cloud heet een hybride cloud. Een hybride cloud
is opgebouwd uit meerdere delen, waarvan sommige in een public en sommige in een private
cloud zijn ondergebracht. Om goed overzicht te houden op de informatie in dat samenspel
van diensten wordt een informatiearchitectuur gebruikt.

Definitie clouddiensten

De definitie van clouddiensten zijn «digitale diensten die beheer op verzoek en brede
toegang op afstand («broad remote access») tot een schaalbare en elastische pool van
deelbare computercapaciteit mogelijk maken, ook wanneer deze over verschillende locaties
is gedistribueerd. Computercapaciteit omvat middelen zoals netwerken, servers of andere
infrastructuur, besturingssystemen, software, opslag, toepassingen en diensten».

Het kabinet benadrukt dat de transitie naar het gebruik van cloudtechnologie onderdeel
is van een bredere strategische ontwikkeling die in de afgelopen jaren heeft plaatsgevonden.
Er is daarbij aandacht voor de voordelen en risico’s van cloudtechnologie. Het gebruik
van cloudtechnologie biedt over het algemeen voordelen zoals kostenbesparing, snellere
service en grotere flexibiliteit. Een overstap naar de cloud vereist alleen wel een
zorgvuldige afweging, zoals vastgelegd in het Rijksbrede Cloudbeleid, en is afhankelijk
van gedegen meerjarige contractuele afspraken. Daarnaast zijn goede monitoring, zowel
op technisch vlak als op het gebied van contractmanagement, essentieel. Dergelijke
migraties zijn complexe trajecten die vaak meerdere jaren duren.

Kamervraag

De volgende paragrafen behandelen de context en definities die van belang zijn voor
de vraag over geplande en voorgenomen migraties van overheids-ICT naar het buitenland.
Hierbij wordt ingegaan op de verschillende onderdelen van de vraag:

1. Alle voorgenomen en geplande migraties van overheids-ICT:

In lijn met de context van de gestelde vragen spitst de beantwoording zich toe op
alle voorgenomen en geplande migraties naar public clouddiensten, oftewel zgn. «cloudmigraties».1

Overheids-ICT:

Het begrip «Overheids-ICT» is complex door de decentrale inrichting van de Rijksoverheid
en de verscheidenheid van diensten. De diverse en onderling afhankelijke informatiesystemen
binnen de overheid maken het moeilijk om een eenduidig begrip hiervoor te hanteren.
In de context van de gestelde vraag betrekken we het begrip migraties van overheids-ICT op de cloud. Het begrip dat we daarom hanteren voor «alle overheids-ICT» is die in
de zin van het Rijksbrede cloudbeleid. Dit omvat al het «materieel» public cloudgebruik:2

Materieel public cloudgebruik:

«Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van
het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de
organisatie is die (cloud)dienst van wezenlijk belang. Ter verduidelijking hier vallen
ook daarbij ondersteunende bedrijfsvoerings-processen voor zover van wezenlijk belang
voor de primaire taken.»

2. Naar het buitenland:

Onder «migraties naar het buitenland» kan worden verstaan migraties buiten Nederland
binnen de Europese Economische Ruimte (EER), en migraties buiten de EER. Op inkoop
en gebruik van diensten binnen of buiten de EER zijn verschillende stelsels van toepassing
die verderop in de brief worden toegelicht.

1.1 Centraal overzicht van alle geplande en voorgenomen migraties

In lijn met de in de Grondwet verankerde ministeriële verantwoordelijkheid is elk
departement zelf verantwoordelijk voor zijn ICT-beheer en dienstverlening. In het
Rijksbrede cloudbeleid is vastgesteld dat departementen zelf verantwoordelijk zijn
voor het bijhouden van migraties naar de public cloud en de bijbehorende risicoafweging.3

1.1.1 Rijksbrede cloudbeleid

In het Rijksbrede cloudbeleid vindt besluitvorming, risicoacceptatie, toezicht en
monitoring plaats via de reguliere afspraken: ministeriële verantwoordelijkheid, departementale
mandateringsregeling, CIO-stelsel, BVA-stelsel en de rol van toezichthouders zoals
de Algemene Rekenkamer, de Auditdienst Rijk en andere specifieke inspectiediensten.4 CIO Rijk heeft in voorkomende gevallen een adviesrol bij migratie naar de cloud en
houdt een vinger aan de pols via de jaarlijkse CIO-gesprekken en het bestaande Informatiebeveiligings-beeld.
Ook moeten de departementen in geval van verwerking van (bijzondere) persoonsgegevens
in de public cloud een melding maken bij CIO-Rijk.5 Enkel bij het opslaan en verwerken van basisregistraties in de public cloud is advies
vooraf verplicht.6 Ook beoordeelt CIO-Rijk risico’s, zoals departement-overstijgende risico’s, waaronder
een te grote marktconcentratie. CIO-Rijk heeft daarin een adviserende en monitorende
rol.7 Om goed te kunnen monitoren heeft men inzicht en overzicht nodig. Ik heb geconstateerd
dat er momenteel onvoldoende structureel geborgd centraal inzicht en overzicht is
in het voorgenomen gebruik van cloud. Daarom is het overzicht in deze brief tot stand
gekomen door een uitvraag bij alle departementen, die, zoals ik eerder heb aangegeven,
zelf verantwoordelijk zijn voor het bijhouden van hun cloudgebruik. In het hernieuwde
cloudbeleid zal ik uiteenzetten hoe centraal inzicht en monitoring van organisatie-overstijgende
afhankelijkheden van aangekochte diensten beter gaat worden gewaarborgd.

1.1.2 Evaluatie Rijksbrede cloudbeleid

Momenteel wordt het Rijksbrede cloudbeleid geëvalueerd en herzien. In de evaluatie
van het Rijksbrede Cloudbeleid worden de uitkomsten van de onderzoeken van de Auditdienst
Rijk (ADR) en de Algemene Rekenkamer (ARK)8, evenals de ontwikkelingen op digitale open strategische autonomie binnen de geopolitieke
context meegenomen.9 Aan de hand van de evaluatie en de analyse van de ARK zal in 2025 een herzieningsvoorstel
worden opgesteld voor het Rijksbrede cloudbeleid en het bijbehorende implementatiekader.
Als voorschot op de herziening is in de Kamerbrief Evaluatie Rijksbreed Cloudbeleid
al een aantal verbeterpunten genoemd zoals verbeteringen op de rapportage-, en registratieplicht
en aanscherping van de risicoafweging op punten zoals publieke waarden, digitale soevereiniteit
en marktconcentratie.10

Een van de doelen, die dit kabinet nastreeft, is het inzetten van technologie voor
een betere en betrouwbaardere dienstverlening door de overheid. Het is van belang
dat er meer centrale sturing, regie en verantwoordelijkheid wordt genomen over ICT
en ICT-voorzieningen. Mijn voornemen is om dit als prioriteit op te nemen in de Nederlandse
Digitaliseringsstrategie. Tot slot start ik, om uw Kamer goed te kunnen informeren,
nog dit najaar een inventarisatie om op informatiesysteemniveau het IT-landschap voor
de rijksbrede voorzieningen van de Rijksoverheid beter in kaart te brengen.

1.2 Cloudgebruik binnen de overheid

ICT-dienstverleners van de Rijksoverheid, zoals SSC-ICT, DICTU, DUO en JIO (Justitiële
ICT Organisatie), hebben de afgelopen jaren veel werk verzet om het Rijksbrede Cloudbeleid
te implementeren. Bij de ondersteuning van overheidsprocessen staat het streven naar
de beste technische oplossingen centraal. In sommige gevallen blijkt een public clouddienst
de beste keuze te zijn voor een moderne werkplek, optimale ondersteuning van overheidsopdrachten,
of het beste aan te sluiten bij innovatiewensen en veranderkracht. In andere gevallen
kiest de overheid voor andere ondersteuningsopties, zoals ICT-oplossingen in (gedeeld)
eigen beheer. Tegelijkertijd zien we de afgelopen jaren een verschuiving bij softwarebedrijven,
die zich steeds meer richten op de ontwikkeling voor de public cloud, waardoor de
on-premise versies vaak minder functionaliteit bieden of soms zelfs helemaal verdwijnen.

1.3 Overheidsdatacenters

De Rijksoverheid heeft vier overheidsdatacenters (ODC’s) en Logius (binnen hun verzorgingsgebieden)
die elk platformen bieden die gezien kunnen worden als een private clouddienst voor
overheidsorganisaties. De ODC’s, Logius en CIO-Rijk verkennen in bredere zin de mogelijkheden
om de diensten van de ODC’s op elkaar af te stemmen en breder aan te bieden voor de
gehele overheid.

1.4 Digitale open strategische autonomie en cloud

De agenda Digitale Open Strategische Autonomie (DOSA) biedt een beleidskader voor
strategische afhankelijkheden in het digitale domein. Het kabinet erkent daarin dat
de Europese digitale economie, vooral op de cloudmarkt, onvoldoende concurrerend is,
met vier grote niet-Europese aanbieders die de markt domineren. Om de Europese cloudpositie
te versterken, neemt Nederland deel aan diverse initiatieven, zoals het Important
Project of Common European Interest Cloud Infrastructure and Services (IPCEI CIS).

Het Instituut Clingendael heeft onlangs onderzoek gedaan naar Europese cloudsoevereiniteit
en benadrukt dat een evenwicht tussen efficiëntie en soevereiniteit bij public clouddiensten
essentieel is. Dit sluit aan bij de doelstellingen van de DOSA-agenda, zoals het kabinet
heeft gesteld in zijn reactie op het Clingendael-rapport.

Daarnaast ontbreekt een duidelijk eisenpakket voor de Nederlandse overheid om richting
te geven aan de cloudmarkt. Daarom is het kabinet voornemens een IT Sourcingskader
Rijk te introduceren, waarin wordt beschreven hoe IT-diensten worden ingekocht, risico's
worden beheerst en hoe aanbestedingsregels effectief kunnen worden toegepast om marktconcentratie
te voorkomen en de ontwikkeling van een divers aanbod te stimuleren.

Voor de volledigheid verwijs ik naar de aankomende kabinetsreactie op de initiatiefnota
«Wolken aan de Horizon» van de Kamerleden Six Dijkstra (NSC) en Kathmann (GL-PvdA)
(Kamerstuk 36 574), waarin door het Kabinet verder ingegaan wordt op de vraagstukken rondom cloud.

1.5 Departementaal gebruik van de cloud

Voor de beantwoording van de Kamervraag is een uitvraag gedaan bij alle departementen.
Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten
de scope van het Rijksbrede cloudbeleid vallen. Dit neemt niet weg dat Defensie wel
gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor
de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling
over wat zij onder (materiële) cloudmigraties naar verstaan.

Om de Kamervraag zo goed mogelijk te beantwoorden is de vraag verder uitgesplitst
in geplande en voorgenomen migraties:

1.5 Onder geplande migraties wordt verstaan: trajecten die in voorbereiding zijn waar sprake is van een toekomstige
(gedeeltelijke) public cloudmigratie.

1.6 Onder voorgenomen migraties wordt verstaan: trajecten waar mogelijk sprake is van een toekomstige (gedeeltelijke)
public cloudmigratie.

De departementen geven in de beantwoording aan hun cloudgebruik zorgvuldig te overwegen,
waarbij functionele behoeften en de kansen die cloud biedt tegen de risico's worden
afgewogen. De ministeries benadrukken dat cloud geen doel op zich is. Gekeken wordt
naar de best passende (technische) oplossing binnen de gestelde kaders. Zij wijzen
op het belang van een gedegen afweging en onderstrepen de noodzaak voor het publieke
debat over het gebruik van de public cloud.

Op basis van de inventarisatie zijn we tot het onderstaande overzicht gekomen. Hoewel
deze inventarisatie een momentopname van de huidige situatie biedt en niet volledig
is, zijn er uiterste inspanningen gedaan om alles in kaart te brengen. Toch blijft
het mogelijk dat er elders een traject loopt dat onverhoopt buiten de inventarisatie
is gebleven.

1.5.1 Geplande cloudmigraties

De volgende ministeries hebben aangegeven een of meerdere geplande migratie(s) te
hebben:

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Onder het interdepartementale programma Beter Samenwerken (BSW) wordt gezocht naar betere digitale ondersteuning van het «moderne hybride (samen)werken».
Daartoe wordt door de desbetreffende ICT-aanbieder (SSC-ICT, een shared service-organisatie
die ressorteert onder BZK) een pilot uitgevoerd met aanvullende functionaliteiten
van Microsoft (MS Teams).11 Zodoende wordt ervaring opgedaan met het samenwerken in Microsoft Teams (bv. Documenten
delen en samen bewerken). Departementen bepalen zelf of ze deze functionaliteit willen
gebruiken, en dienen alsdan te voldoen aan het implementatiekader risicoafweging cloudgebruik.12 Er is nog geen concrete uitrolplanning vanuit SSC-ICT omdat de pilot en voorbereidingen
nog lopen.

Verder is SSC-ICT bezig met de vervanging van werkplekken binnen haar verzorgingsgebied.
Deze vervanging is urgent omdat sommige componenten op korte termijn niet meer worden
ondersteund door leveranciers (zoals Ivanti, die Ivanti Workspace Control vanaf 31 december
2026 niet meer ondersteunt en Microsoft, die Windows10 niet meer ondersteunt vanaf
oktober 2025). De nieuw ontwikkelde werkplek is een cloud managed werkplek, waarbij
t.b.v. het beheer en de veiligheid gebruik wordt gemaakt van cloudtooling (SAAS).
Gezien de huidige (politieke) ontwikkelingen en veranderende zienwijze op datasoevereiniteit,
heeft SSC-ICT besloten de dataopslag bij de nieuwe werkplek vooralsnog niet in de
cloud onder te brengen; de data blijft dus vooralsnog on premise opgeslagen.

Er start bij het Rijksvastgoedbedrijf (RVB) één aanbestedingstraject voor een EU-public
clouddienst voor een BIS-bodeminformatiesysteem, waarin bodeminformatie en bodemonderzoeken geregistreerd zullen worden. Vanwege
de lopende aanbesteding wordt hierover op dit moment niet nader gespecificeerd.

Ministerie van Infrastructuur en Waterstaat

In twee gevallen (beide zijn nog niet live) zijn buitenlandse hosting partijen in
beeld:

• Caelus: Caelus is een systeem voor emissieregistratie van luchthavens dat momenteel
wordt ontwikkeld. De ontwikkeling vindt plaats op basis van een SaaS-afspraak waarbij
de leverancier gebruik maakt van clouddiensten van AWS. Ook geldt een «lift-and-shift»-afspraak,
waardoor IenW bij een livegang de mogelijkheid houdt om de oplossing op een platform
binnen een overheidsdatacenter te plaatsen. Die mogelijkheid is door de leverancier
ook aangetoond.

• Viewer Luchtvaart beperkingengebieden: deze viewer biedt inzicht in de beperkingen
voor obstakels en bouwwerken als gevolg van de militaire en civiele luchtvaart in
Nederland. Deze voorziening maakt gebruik van een oplossing van leverancier ArcGIS,
die weer is gebaseerd op platformdiensten van Microsoft Azure.

In beide gevallen is met de leverancier overeengekomen dat data niet buiten de Europese
Economische Ruimte (EER) wordt opgeslagen, beheerd, ingezien, verwerkt of bewerkt.

Ministerie van Onderwijs, Cultuur en Wetenschap

Het Ministerie van OCW gebruikt al enige tijd MS Teams voor videobellen en onderlinge
chats. Op dit moment is OCW bezig met fase 2 van de implementatie van MS Teams waarbij
in verschillende stappen meer functionaliteit wordt geactiveerd om uiteindelijk in
documenten samen te werken. In die laatste stap is de inzet van Onedrive/Sharepoint
mogelijk aan de orde. Documenten moeten uiteindelijk in het DMS van OCW opgeslagen
worden. Onderdeel van de implementatie is het opstellen van een risicoanalyse en DPIA.

Ministerie van Volksgezondheid, Welzijn en Sport

Het huidige kernsysteem van het CBG, genaamd ICI (Informatie- en Communicatie-Infrastructuur),
faciliteert de beoordeling en het beheer van ingediende dossiers voor een handelsvergunning
van een geneesmiddel. Ook ondersteunt dit systeem de activiteiten ten aanzien van
geneesmiddelenbewaking. Naast de officiële handelsvergunningen bevat het systeem ook
de officiële productinformatie van alle geneesmiddelen met een handelsvergunning in
Nederland. Met dit kernsysteem is het CBG in staat om zijn wettelijke taken adequaat
uit te voeren.

Het huidige ICI is sterk verouderd. Het programma Nieuw GBS (Geneesmiddelen Beoordeling
Systeem) is gestart om het huidige verouderde ICI te vervangen. Op dit moment zit
dit programma in de aanbestedingsfase. De gunning wordt in Q4 2024 verwacht. Na de
gunning wordt ook bekend welke oplossing er specifiek zal worden gerealiseerd. Dan
wordt ook bekend waar de data opgeslagen zal worden (on premise, private cloud of
een private tenant). Uitgangspunt bij de aanbesteding is dat data niet opgenomen mag
worden in het generieke publieke domein. Daarmee zal data dus niet in de public cloud
opgenomen worden.

Overige ministeries

De Ministeries van Algemene Zaken, Buitenlandse Zaken, Economische Zaken, Financiën,
Klimaat en Groene Groei, Landbouw, Visserij, Voedselzekerheid en Natuur, Justitie
en Veiligheid, Sociale Zaken en Werkgelegenheid, hebben aangegeven geen geplande migraties (binnen de kaders van het Rijksbrede cloudbeleid) te hebben.

1.5.2 Voorgenomen cloudmigraties

De volgende ministeries hebben aangegeven een of meerdere voorgenomen migratie(s) te hebben:

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Het ministerie is een project gestart rondom planning personenvervoer waar mogelijk een cloudgebasseerde oplossing voor wordt gebruikt. Het project is
in de beginfase.

Ministerie van Buitenlandse Zaken

Momenteel zijn er twee trajecten in voorbereiding met mogelijk een toekomstige cloudmigratie:

• Registratie en beheer gegevens van personeel.

• Contactcenter dienstverlening ten behoeve van Nederland Wereldwijd (NWW).

Ministerie van Economische Zaken, Ministerie van Klimaat en Groene Groei en het Ministerie
van Landbouw, Visserij, Voedselzekerheid en Natuur

Er loopt een traject voor de overgang van het financiële system Oracle EBS naar zijn opvolger Oracle Fusion Cloud. Dit behelst mogelijk migratie naar de public cloud en vindt plaats omdat het huidige
product door leverancier Oracle op over enkele jaren niet meer wordt ondersteund en
uitsluitend een cloudversie als opvolger krijgt.

Ministerie van Financiën

Er wordt een pilot uitgevoerd met een nieuwe werkplek (Digitale Brug Overheid) voor de Belastingdienst, Toeslagen en Douane. Deze pilot maakt gebruik van het Rijksbrede
contract voor de Microsoft M365 Suite. De pilotfase wordt afgesloten met een evaluatie.
Onderdeel van deze evaluatie is ook een nieuwe risicoanalyse voor de grootschalige
uitrol. Aan de hand van de resultaten van deze pilot wordt beoordeeld of M365 beschikbaar
komt voor alle medewerkers, er worden geen onomkeerbare stappen gezet.

Het programma Verbeterde informatiepositie Douane (VID) werkt sinds 2021 aan manieren om data geautomatiseerd en in samenhang te ontsluiten.13 Voor een betere risicoanalyse, en dus een betere handhaving. Maar ook voor meer interne
doelen: voor een betere verantwoording en betere managementinformatie. Sinds 1 juli
2024 komen stap voor stap nieuwe rapporten en dashboards beschikbaar voor de organisatie.14 De Belastingdienst heeft een eigen contract voor Azure met Microsoft afgesloten,
binnen de kaders van het contract dat SLM Rijk eerder met MS heeft afgesloten.

Het adviescollege ICT-Toetsing heeft een toets uitgevoerd op het programma TVS naar de Cloud van de Dienst Toeslagen. De Kamer heeft op 22 maart 2024 het definitieve
advies en de bestuurlijke reactie bij dit advies ontvangen.15 Naar aanleiding van het advies zijn de uitvoerende activiteiten gepauzeerd en wordt
geconcentreerd op een fase van validatie.

Ministerie van Infrastructuur en Waterstaat

Voor de benodigde transformatie van het bedrijfsvoeringssysteem dat gebaseerd is op
SAP is het Programma VGP (Vernieuwing Generieke Processen) in scope als voorgenomen cloudmigratie. Het landschap van de bedrijfsvoerings-ICT
bestaat uit meerdere componenten die gefaseerd worden ge-upgrade naar cloudplatformen.
Daarbij wordt gebruik gemaakt van beschikbare contractafspraken en sjablonen die door
SLM Rijk beschikbaar worden gesteld, zowel voor Microsoftdiensten (Azure) als voor
SAP.

Voor het Programma Horizon (vervanging Content Manager) is besloten dat de clouddiensten vanuit overheidsdatacenter ODC-Noord worden geleverd.
Deze dienst zal wel worden aangesloten op Microsoft clouddiensten die worden geleverd
via overheidsdienstverleners als SSC-ICT en Rijkswaterstaat CIV (Centrale Informatievoorziening).
Beide baseren zich op de contractafspraken van SLM Rijk met Microsoft.

Ministerie van Justitie en Veiligheid en het Ministerie van Asiel en Migratie

In het veiligheids- en migratiedomein is er vooralsnog één traject in voorbereiding
met een mogelijke migratie. Vanwege de lopende aanbesteding wordt hierover op dit
moment niet nader gespecificeerd.

Ministerie van Volksgezondheid, Welzijn en Sport

Bij aCBG wordt EURS (European Review System) gebruikt bij het beoordelen van geneesmiddelen.
Bij een toekomstige vernieuwing is aCBG voornemens om ook de optie van een migratie
naar een Software as a Service (SaaS) oplossing te onderzoeken. Naar verwachting wordt
dit project in 2026 of 2027 opgestart. Op dit moment is dit nog geen lopend project.

De Dienst Uitvoering Subsidies aan Instellingen (DUS-I) van VWS gaat binnen een termijn van 3 jaar het systeem ter ondersteuning van het
primair proces vervangen. Hierbij wordt mogelijk een keuze gemaakt voor een cloudoplossing.

Het programma IV-voor Infectieziektebestrijding bij het RIVM omvat een voorgenomen migratie naar een cloudoplossing.

Overige ministeries

Het Ministerie van Algemene Zaken, Sociale Zaken en Werkgelegenheid en het Ministerie
van Onderwijs, Cultuur en Wetenschap hebben aangegeven geen voorgenomen migraties
(binnen de kaders van het Rijksbrede cloudbeleid) te hebben.

1.6 Onderbouwing per voorgenomen migratie en de bijbehorende risico-assessments

Er is gevraagd om de onderliggende risico-assessments naar uw Kamer te sturen. Conform
het Rijksbrede cloudbeleid zijn departementen zelf verantwoordelijk voor het openbaar
maken van hun besluitvorming.16 De risico-assessments bevatten bepaalde informatie die niet openbaar gemaakt kan
worden in verband met de veiligheid van de staat en vertrouwelijk meegedeelde bedrijfs-
en fabricagegegevens. De departementen hebben daarom besloten om deze informatie niet
openbaar te maken.

2 Wet- en regelgeving inkoop cloud-producten

Onder «migraties naar het buitenland» kan worden verstaan migraties buiten Nederland
binnen de Europese Unie, en migraties buiten de Europese Unie. Op inkoop binnen of
buiten de Europese Unie zijn verschillende stelsels van toepassing die hieronder worden
toegelicht:

2.1 Aanbestedingsregels buiten Nederland en binnen de EU

Ten eerste moet opgemerkt worden dat het kabinet een landenneutraal beleid hanteert.
Het uitsluiten van aanbieders uit Europese lidstaten of landen die lid zijn van de
Government Procurement Agreement (GPA) is in beginsel niet toegestaan.17

De aanbestedingsregels voor inkoop binnen de Europese Unie zijn vastgelegd in verschillende
richtlijnen die zijn ontworpen om eerlijke concurrentie en transparantie te waarborgen
bij het verstrekken van overheidsopdrachten.

Europese aanbestedingsrichtlijn

De belangrijkste richtlijn voor overheidsopdrachten is Richtlijn 2014/24/EU.18 Deze richtlijn is van toepassing op de aanbesteding van overheidsopdrachten boven
bepaalde drempelwaarden.

2.2. Aanbestedingsregels buiten de EU

De aanbestedingsregels voor binnen en buiten de EU zijn grotendeels gebaseerd op internationale
verdragen en afspraken19, evenals op nationale wetgeving zoals de Aanbestedingswet 2012. Hier volgt een overzicht
van de belangrijkste aanvullende regels en principes voor inkoop buiten de EU:

Internationale Verdragen

Nederland is als lid van de Europese Unie gebonden aan de WTO-overeenkomst inzake
overheidsopdrachten (Government Procurement Agreement, GPA).20 Deze overeenkomst heeft als doel een open, transparant en eerlijk aanbestedingsproces
te bevorderen.

Bilaterale en multilaterale handelsverdragen:

Nederland houdt zich ook aan bilaterale en multilaterale handelsverdragen die specifieke
bepalingen kunnen bevatten over overheidsopdrachten. Deze verdragen kunnen invloed
hebben op de toegang van niet-EU leveranciers tot Nederlandse aanbestedingen.

2.3. Aanvullende regelgeving en richtlijnen

Quickscan Nationale Veiligheid

Naast de bestaande Europese richtlijnen zijn er regels opgesteld om in bepaalde gevallen
landen uit te sluiten van inkoop. Hierbij moet men onder meer denken aan risico’s
voor de nationale veiligheid zoals bijvoorbeeld de verstoring van de continuïteit
van de vitale infrastructuur. Die moeten blijken uit bijvoorbeeld de quickscan en
risicoanalyse nationale veiligheid.21

Implementatiekader risicoafweging cloudgebruik

Voor de migratie van overheids-ICT naar cloudleveranciers in het buitenland is het
Rijksbreed Cloudbeleid van toepassing. Er zijn aanvullende regels opgenomen in het
implementatiekader risicoafweging cloudgebruik.22 Onder dit beleid dienen de departementen hun eigen cloudbeleid en -strategie te ontwikkelen.
Voor elke transitie naar de public cloud moet er een risicoafweging en een Data Protection
Impact Assessment (DPIA) uitgevoerd worden23, en bij elke overeenkomst met de cloudleverancier moet een exit-strategie opgenomen
zijn.24 Ook is een Data Transfer Impact Assessment (DTIA) verplicht wanneer er doorgifte
van persoonsgegevens plaats vindt naar landen buiten de EER zonder adequaatheidsbesluit.
Staatsgeheime informatie mag onder geen beding worden opgeslagen in de public cloud.
Mocht er het risico zijn op dreiging van statelijke actoren, dan moet er voortijdig
dreigings- en beveiligingsadvies ingewonnen worden bij de AIVD en/of MIVD.25

3. Geen onomkeerbare stappen

Door het ontstane maatschappelijke debat heeft de Kamer mij gevraagd in de casus van
SSC-ICT geen onomkeerbare stappen tot het voorgenomen debat te nemen.26 Ik zal toezien op de naleving hiervan. Wel vraag ik de Kamer oog te houden voor het
doel van het gebruik van technologische ontwikkelingen zoals de cloud. Als kabinet
willen we de komende jaren verder inzetten op het waarborgen van de digitale veiligheid
en technologische innovaties slim benutten voor een betere dienstverlening, overheidsbreed.
De publieke waarden die met deze technologie versterkt kunnen worden staan hierbij
centraal. Het kabinet zet zich in voor het waarborgen van deze waarden en op een toekomstbestendige
overheid.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
F.Z. Szabó