GroenLinks-PvdA wil een plenair debat in de Tweede Kamer afdwingen over de uitbesteding van ICT-diensten van de Rijksoverheid aan vooral Amerikaanse tech-bedrijven als Microsoft. Dit om te voorkomen dat mogelijk gevoelige data van de Nederlandse staat in buitenlandse handen vallen of inzichtelijk zijn.
De directe aanleiding voor dit debataanvraag is de recente verhuizing van het Shared Services Center ICT van de overheid naar de public cloud van Microsoft. Hierdoor zouden de ICT-diensten en data van zeven ministeries en ongeveer 50.000 ambtenaren bij de techgigant worden ondergebracht.
Uit onderzoek van de NOS bleek recent dat veel overheidsorganisaties, waaronder de Eerste en Tweede Kamer hun e-mailomgevingen al bij Microsoft onderbrachten. Ministeries hadden nog wel hun eigen omgevingen in beheer, maar daar komt nu blijkbaar verandering in.
Dit maakt deze e-mailomgevingen kwetsbaar, aangezien de Amerikaanse overheid wettelijk kan meekijken in de data van klanten die Amerikaanse big tech-bedrijven opslaan en beheren. Er wordt daarnaast veel data gezet bij onder meer Google.
Parlementaire actie
In de ogen van GroenLinks-PvdA is dit, bij monde van Kamerlid Barbara Kathmann dus zeer gevaarlijk, bericht BNR Nieuwsradio. Volgens haar geeft de Nederlandse staat hiermee een belangrijk deel van zijn autonomie uit handen en kunnen de gevolgen desastreus zijn. Over hoe dit proces plaatsvindt en wat de mogelijke (privacy)gevolgen zijn, wil Kathmann nu de onderste steen bovenhalen
Recent probeerde Kathmann over dit onderwerp al een plenair debat aan te vragen. Toen was er op één zetel na net geen meerderheid. Zij probeert het vandaag opnieuw en verwacht nu wel succes te hebben. Op termijn wil zij samen met toekomstig regeringspartij NSC een wetsvoorstel indienen dat voorkomt dat de Rijksoverheid normale ICT-diensten uitbesteden aan big tech-bedrijven.
Ook denktank Clingendaal waarschuwde dat dit spionagerisico’s met zich mee kan brengen. Daarnaast zou de maatregel ertoe kunnen leiden dat de Nederlandse cloudsector hiervan last ondervindt, omdat alleen met buitenlandse bedrijven zaken worden gedaan.
Reactie Microsoft
In een reactie aan BNR Nieuwsradio laat Microsoft weten dat bij het leveren van zijn diensten aan de Rijksoverheid de hoogste standaard hanteert als het gaat om privacy en security. Hierbij voldoet deze dienstverlening aan de GDPR-wet- en regelgeving en wordt ook gegarandeerd dat de data alleen binnen de EU worden opgeslagen.
Daarnaast is de samenwerking tussen de techgigant en de Nederlandse Rijksoverheid geheel in lijn met het SLM-raamwerk en cloudbeleid zoals opgesteld door CIO Rijk in het Rijksbrede cloudbeleid. De samenwerking wordt getoetst met risicoanalyses en in sommige gevallen met een data protection impact assessment (DPIA).
Waar het de US Cloud Act betreft, handelt de techgigant alleen in het geval van uitzonderlijke omstandigheden, zoals bij misdrijven. Ieder verzoek van zowel EU- als niet-EU-instanties worden door Microsoft juridisch getoetst, ook op de GDPR-principes, en -indien nodig- aangevochten.
Lees ook: Publieke sector speelt massaal persoonsgegevens door naar Google