NLdigital waarschuwt voor schijnveiligheid bij cloudkeuzes

De discussie over digitale autonomie is door grote geopolitieke verschuivingen hoger dan ooit op de agenda komen te staan. Vooral wanneer het gaat om kritieke infrastructuur zoals DigiD, rijst de vraag hoeveel controle de overheid uit handen geeft aan private en buitenlandse partijen. NLdigital, de belangenbehartiger van de digitale sector, pleit in de Tweede Kamer echter voor een nuchtere benadering op basis van volwassen risicomanagement in plaats van emotie.

Leverancier versus eigenaar

Om de discussie rondom de casus Solvinity te duiden, wijst NLdigital op de feitelijke verhoudingen. DigiD wordt beheerd door Logius (onderdeel van het Ministerie van Binnenlandse Zaken), terwijl Solvinity enkel het platform levert waarop de dienst draait. Belangrijk detail: dit platform bevindt zich fysiek in een overheidsdatacentrum. Solvinity is dus een leverancier, geen eigenaar.

Toch begrijpt de branchevereniging de zorgen. Bij uitbesteding ontstaat altijd een 'leveranciersrisico'. Dit omvat scenario's waarin de beschikbaarheid of integriteit van een dienst wordt beïnvloed door factoren buiten de directe controle van de klant. In de context van autonomie gaat het erom of een buitenlandse mogendheid via een moederbedrijf toegang kan vorderen tot data of systemen.

De valstrik van 'Binnenlands is Veilig'

Volgens NLdigital is de stelling dat een Nederlandse leverancier per definitie veiliger is dan een buitenlandse, een gevaarlijke simplificatie. "Een keuze voor maximale soevereiniteit zonder passende investeringen kan leiden tot een slechter beveiligingsniveau," stelt de organisatie. Grote internationale cloudproviders bieden vaak hypermoderne veiligheidsfunctionaliteiten die lokale spelers simpelweg niet kunnen financieren.

De kernvraag is volgens de brancheorganisatie niet waar een bedrijf vandaan komt, maar onder welke wetgeving het valt (jurisdictie) en welke technische barrières er zijn opgeworpen. Zelfs als data fysiek in Europa staat, kan wetgeving zoals de Amerikaanse CLOUD Act invloed hebben. Daarom moet er gekeken worden naar technische maatregelen zoals versleuteling, waarbij de leverancier de 'sleutel' niet heeft, en strikt fysiek beheer door gescreend personeel binnen de EU.

CIA-Kader als meetlat

Om de risico's objectief te beoordelen, hanteert de sector het zogenaamde CIA-kader: Beschikbaarheid (Availability), Integriteit (Integrity) en Vertrouwelijkheid (Confidentiality).

1. Beschikbaarheid: Kan de leverancier de toegang blokkeren door juridische beperkingen of faillissement? Zijn er exit-plannen om snel over te stappen?
2. Integriteit: Wie kan software-updates doorvoeren? Is er een 'vier-ogen-principe' bij kritieke wijzigingen aan het systeem?
3. Vertrouwelijkheid: Wie heeft toegang tot de data? Wordt dit technisch afgedwongen of vertrouwt de overheid enkel op een contractueel papiertje?

Geen 'Zero-Sum Game'

NLdigital benadrukt dat digitale autonomie niet betekent dat we de grenzen moeten sluiten. Het versterken van de eigen Europese cloud-industrie is noodzakelijk — zeker gezien de achterstand op de VS en China — maar dit moet hand in hand gaan met een open economie. We kunnen profiteren van buitenlandse innovatie, mits we zelf aan het stuur blijven zitten door middel van strikte configuratie en beheer van eigen encryptiesleutels.

De conclusie van de branchevereniging is helder: digitale autonomie kun je niet simpelweg 'kopen' door voor een lokale partij te kiezen. Het vereist dat de afnemer — in dit geval de overheid — zelf verantwoordelijkheid neemt voor het categoriseren van data en het periodiek testen van exit-scenario's. "Vertrouwen alleen is onvoldoende; een benadering waarin je voortdurend verifieert, hoort de norm te zijn."