Niederländische Regierung darf endlich Public Cloud nutzen

 

Public Cloud ist für die niederländischen öffentlichen Dienste endlich in Reichweite. Zuvor durfte die niederländische Regierung aufgrund von Datenschutz- und Sicherheitsrisiken nur private Clouds nutzen.

 

Der Markt für Public Clouds hat in den letzten zehn Jahren enorme Entwicklungen erlebt, wobei die Covid-Pandemie ein wichtiger Beschleuniger war. Cloud-Dienste sind zuverlässiger geworden und werden derzeit von einer großen Zahl von Bürgern und Unternehmen genutzt. Die Sicherheit der öffentlichen Cloud-Dienste hat zugenommen und die groß angelegte Bereitstellung von Updates und Patches macht es viel einfacher als früher, Fehler in der Software zu beheben. Aus diesen Gründen war es an der Zeit, die „Nationale Cloud-Politik 2011“ zu überarbeiten.

Die neue Politik erlaubt es niederländischen Behörden, öffentliche Cloud-Dienste zu nutzen. "Public-Cloud-Dienste bieten eine attraktive Perspektive für die Entwicklung einer innovativeren, transparenteren, flexibleren und effizienteren digitalen Verwaltung", schrieb die Staatssekretärin für Digitalisierung Alexandra van Huffelen an das niederländische Unterhaus. "Niedrige Anfangskosten und Pay-per-Use machen die Public Cloud zu einer transparenten Lösung.“

„Außerdem sind die Risiken heute überschaubarer als in der Vergangenheit, weil die Anbieter von öffentlichen Clouds massiv in die Sicherung ihrer Dienste investieren. Das ist viel mehr, als die Regierung bereit oder in der Lage ist, selbst in die Informationssicherheit zu investieren.“

Damit ist endlich der Weg frei für die Nutzung öffentlicher Clouds durch niederländische Behörden, wenn auch unter strengen Auflagen.

Zu den Nutzungsbedingungen gehört zum Beispiel die Verarbeitung personenbezogener Daten. Öffentliche Clouds dürfen nicht für die Basisregistrierung oder für die Speicherung und Verarbeitung besonderer personenbezogener Daten genutzt werden. Jede Speicherung und Verarbeitung personenbezogener Daten muss im Einklang mit der Allgemeinen Datenschutzverordnung stehen.

Darüber hinaus dürfen Beamte keine Staatsgeheimnisse in einer öffentlichen Cloud speichern. Auch sollten sie keine Cloud-Dienste aus Ländern nutzen, die "ein aktives Cyberprogramm gegen niederländische Interessen" haben. Jedes niederländische Ministerium ist selbst dafür verantwortlich, alle relevanten Risiken bei der Nutzung eines öffentlichen Cloud-Dienstes zu bewerten und zu überwachen. Das niederländische Verteidigungsministerium bleibt von der neuen Politik ausgenommen und darf keine öffentlichen Cloud-Dienste nutzen. 

Obwohl Van Huffelen der neuen nationalen Cloud-Politik eher positiv gegenübersteht, ist sie sich bewusst, dass Risiken bestehen bleiben - auch indirekt. Sollte beispielsweise ein US-amerikanischer Cloud-Anbieter von einem chinesischen Staatsunternehmen aufgekauft werden, wäre die Nutzung dieser speziellen öffentlichen Cloud für niederländische öffentliche Dienste nicht mehr zulässig.

Alle Ministerien formulieren ihre eigene Cloud-Politik und -Strategie auf der Grundlage der neuen nationalen Cloud-Politik. Diejenigen Ministerien, die nicht Teil des öffentlichen Dienstes sind, werden ermutigt, diese Empfehlungen zu befolgen. Darüber hinaus müssen die Ministerien eine "Ausstiegsstrategie" in ihre Verträge mit Public-Cloud-Anbietern aufnehmen, um sicherzustellen, dass ihnen die sofortige Beendigung des Dienstes im Falle des oben genannten Übernahmebeispiels zugesichert wird. Diese Ausstiegsstrategie sollte auch festlegen, wie die Daten auf Seiten des Anbieters zurückgegeben und vernichtet werden.

"Die digitale Welt ist nicht ohne Risiken", sagte Van Huffelen. "Nicht einmal, wenn wir eine vollständig selbstverwaltete Cloud hätten."

Nach Angaben des niederländischen Zentralamts für Statistik werden bis 2020 53 % der niederländischen Unternehmen die Cloud nutzen, davon 39 % eine öffentliche Cloud.

Van Huffelen schrieb in ihrem Brief, dass diese Unternehmen auch ein hohes Maß an Sicherheit und Datenschutz verlangen. Die niederländische Zentralbank (DNB) hat beim Cloud-Risikomanagement im Finanzsektor Pionierarbeit geleistet.

Heute nutzen 49 % der niederländischen Banken die Cloud, davon 38 % eine öffentliche Cloud. Fast 60 % der Gesundheitsorganisationen in den Niederlanden nutzen eine private Cloud, und 43 % von ihnen verwenden auch eine öffentliche Cloud.

Darüber hinaus zeigen Untersuchungen, dass über 50 % der Regierungsorganisationen weltweit Büroanwendungen aus der Cloud nutzen. Diese Zahlen waren ein wichtiger Anstoß für die Überarbeitung der nationalen Cloud-Politik der Niederlande im Jahr 2011.

Van Huffelen plant, die neue Cloud-Politik ab 2023 zu evaluieren.