Meer documenten
Disclaimer: deze transcriptie is geautomatiseerd omgezet vanuit audio en dus geen officieel verslag. Om de transcripties verder te verbeteren wordt constant gewerkt aan optimalisatie van de techniek en het intrainen van namen, afkortingen en termen. Suggesties hiervoor kunnen worden gemaild naar info@1848.nl.
Digitale soevereiniteit Rijksoverheid en besluitvorming bij migraties naar buitenlandse IT-diensten.
[0:00:04] Goedemiddag allemaal.
[0:00:06] Van harte welkom bij deze technische briefing.
[0:00:08] En die gaat over digitale soevereiniteit, rijksoverheid en besluitvorm bij migraties naar buitenlandse IT-diensten.
[0:00:16] Deze bijeenkomst duurt een uur van twee tot drie uur.
[0:00:21] Ik zal eventjes zeggen wie er aanwezig is.
[0:00:24] Dat is Aart de Blauw van CIO Rijk.
[0:00:30] Dan Aart Jochem van CISO Rijk.
[0:00:35] Dan Fleur Terborg van CTO Rijk.
[0:00:38] Ron Rozeboom van COO SSCICT.
[0:00:42] En dan Henrik Barnaar van SLM Microsoft Rijk.
[0:00:47] Aan de zijde van de Kamer is aanwezig de heer Buijzen van de VVD, de heer Sigrid Stijkstra van NSC, mevrouw Katman van GroenLinks PvdA en de heer Valize van de PVV.
[0:00:59] Ik ga dadelijk u het woord geven, want ik begreep dat er eerst een korte presentatie zal zijn.
[0:01:05] En als jullie inbreng klaar is, ga ik het woord geven aan de Kamerleden voor hun vragen.
[0:01:12] Dus aan u het woord.
[0:01:16] Dank u wel, voorzitter.
[0:01:17] En ook leden van de commissie aanwezig en mensen die op afstand meekijken.
[0:01:21] Allereerst wil ik danken voor de gelegenheid om hier te spreken over het belangrijke onderwerp van digitale soevereiniteit en besluitvorming over cloud-migraties bij de Rijksoverheid.
[0:01:30] We gaan een aantal van deze vraagstukken toelichten.
[0:01:32] Dat doe ik ook samen met een aantal collega's.
[0:01:35] Ik zal het toch nog even heel kort toelichten.
[0:01:37] Aart Jochem is de CISO-rijker, dus verantwoordelijk voor de informatiebeveiliging bij het Rijk.
[0:01:42] Fleur Terborg is de Chief Technology Officer.
[0:01:45] Zit ook in het team van het CEO Rijk.
[0:01:48] Daarnaast hebben we Ron Rozenboom.
[0:01:50] Is Chief Operations Officer bij SEC-ICT.
[0:01:54] En daarnaast zit Henrik Benaar.
[0:01:55] Die plaatsvervangend Strategisch Levantie Manager is bij SLM Rijk.
[0:02:00] We gaan een presentatie geven die ongeveer 15 minuten duurt.
[0:02:04] En daarna kunnen we uw vragen beantwoorden.
[0:02:07] Ik wil allereerst het woord geven aan Aad Jochum.
[0:02:16] Dankjewel.
[0:02:18] Ik zal als eerste even meenemen in de kern van het Rijkscloudbeleid.
[0:02:24] Dus wat voor kader er ligt achter de keuzes om migratie naar de cloud te doen.
[0:02:31] De evaluatie ervan en de herziening die eraan komt.
[0:02:34] Maar als eerste even naar het kern van het cloudgebruik.
[0:02:38] Gebruik van de cloud door de overheid, public cloud heb ik het dan over, biedt flexibiliteit, ook wel innovatie, nieuwe diensten, functionaliteit en ook gebruikersgemak.
[0:02:53] Maar vereist ook wel een zorgvuldige afweging om met name de veiligheid, maar ook de afhankelijkheid, de digitale autonomie te kunnen waarborgen.
[0:03:02] In verschillende kamerbrieven en technische briefings... bent u al geïnformeerd over de inhoud van het cloudbeleid... en de werking van de clouddienstverlening.
[0:03:11] Maar de kern gaat er eigenlijk om dat de departementen...
[0:03:17] ...die daar met cloud aan de gang gaan... ...als eerste een eigen strategie en visie moeten hebben... ...en waar ook de risicoafweging centraal staat.
[0:03:27] Dus zowel de kansen van cloudgebruik worden natuurlijk meegenomen... ...daarom begint zoiets, maar zeker ook de risico's die er zijn.
[0:03:37] Even kijken hoor, dat zijn...
[0:03:43] Inmiddels zijn die clouddiensten ook niet meer weg te denken uit het maatschappelijk verkeer.
[0:03:50] En de meeste bedrijven die hier doen, die hebben al zo'n stap gemaakt.
[0:03:56] De overheid is daar terughoudend in geweest.
[0:03:58] Maar in 2022 met het Rijksbrede Cloudbeleid is aangegeven... die stap kunnen we maken met restricties en voorwaardes.
[0:04:07] En die zorgen ervoor dat er een zorgvuldige afweging gemaakt wordt...
[0:04:14] Vooraf moet er een risicoafweging opgesteld worden.
[0:04:18] Als er ook persoonsgegevens worden verwerkt... dan moet er natuurlijk een Data Privacy Impact Assessment, een DPA, worden opgesteld.
[0:04:27] En als het gaat om wat wij noemen materieel cloudgebruik... wat ook wel een bredere gebruikte term is in andere sectoren... dan moet dat ook geregistreerd en vastgelegd worden.
[0:04:37] En materieel cloudgebruik betekent dat het echt gaat over de...
[0:04:43] Bedrijfsleven noemen dat de business, het primaire proces van de organisatie.
[0:04:50] Als extra eis is dat er ook een exit-strategie moet worden opgesteld.
[0:04:55] Dus wat ga je doen als je uit die public cloud dienst wil om dat ook te doen?
[0:05:04] En dat moet voorkomen dat je vastzit en afhankelijk bent van één leverancier.
[0:05:09] Eigenlijk om lock-in risico's wat om te zetten naar walk-out mogelijkheden.
[0:05:18] Verder moet men rapporteren over het cloudgebruik aan CEO Rijk.
[0:05:21] Als het gaat over materieel cloudgebruik.
[0:05:23] En CEO Rijk monitort de goede toepassing van het cloudbeleid hierin.
[0:05:29] Vanuit de wettelijke rol houden ook de rekenkamer en de auditdienst rijk toezicht op kloutgebruik.
[0:05:34] En daar is onlangs ook over gerapporteerd.
[0:05:36] Daar heeft u kennis van kunnen nemen.
[0:05:39] En tot slot, dat heb ik net al aangegeven, sommige gegevens kunnen gewoon echt niet de klout in.
[0:05:44] En dat zijn staatsgeheimen en wat wij noemen basisregistraties.
[0:05:48] Dus identiteitsgegevens en dat soort registraties.
[0:05:52] En voor andere gegevens heeft het cloudbeleid de mogelijkheid om public cloud diensten te gebruiken.
[0:05:59] Nou ja, mits aan die voorwaarden wordt voldaan.
[0:06:03] Dat is even het huidige cloudbeleid van 2022.
[0:06:05] We zijn ook bezig met de herziening van het cloudbeleid.
[0:06:13] Dat is de volgende slide.
[0:06:17] We zien dat vandaag de dag dat digitale technologie niet slechts ondersteunend is, maar eigenlijk het fundament vormt van onze samenleving en van de overheid, het handelen van de overheid.
[0:06:28] Economische stabiliteit, democratische processen en nationale veiligheid zijn steeds meer afhankelijk van digitale infrastructuren.
[0:06:38] Geopolitieke ontwikkelingen, maar ook cyberdreigingen en het geconstateerde marktconcentraties die we ook al besproken hebben, die onderstrepen ook wel de kwetsbaarheid van deze afhankelijkheid.
[0:06:55] Daarom staat de Rijksoverheid en de hele overheid denk ik steeds meer voor de uitdaging om haar digitale open strategische autonomie te versterken.
[0:07:04] En ongewenste afhankelijkheden van enkele grote leveranciers te verminderen.
[0:07:08] En in samenwerking met andere relevante departementen werkte het ministerie van Binnenlandse Zaken en Koninkrijksrelaties daarom specifieke randvoorwaarden uit...
[0:07:18] die zijn gericht op de ICT van en voor de overheid en die toezien op het versterken van de digitale weerbaarheid van de overheid.
[0:07:25] Maar ook het verminderen van strategische afhankelijkheden die ongewenst zijn en het waarborgen van de veiligheid van kritieke overheidssystemen en overheidsinformatie tegelijk.
[0:07:38] We doen dit onder andere door in te zetten op de herziening van het cloudbeleid.
[0:07:43] Daar gaan we de komende maanden een stap in maken.
[0:07:47] De planning daarvan is ook al gedeeld.
[0:07:51] Maar ook te kijken naar een IT-sourcingstrategie om die te vernieuwen.
[0:07:55] En binnen de Nederlandse digitaliseringsstrategie is het digitale autonomie en digitale weerbaarheid ook een apart thema.
[0:08:06] In juli heeft de auditdienst Rijk gerapporteerd.
[0:08:10] En uit dat rapport en de evaluatie van het cloudbeleid komen een aantal punten naar voren.
[0:08:16] Waar we zeggen, nou hier gaat het cloudbeleid op herzien worden.
[0:08:21] Dat die nodig is, dat wordt eigenlijk nogmaals onderstreept door de aanbevelingen uit die rapportages.
[0:08:27] En met name ook uit het rapport van de rekenkamer onder de titel Rijk in de cloud.
[0:08:33] Van januari afgelopen maand.
[0:08:37] We gaan daar natuurlijk mee aan de slag met die bevindingen, die gaan ook terugkomen daarin.
[0:08:43] Hoofdpunt uit de evaluatie van het cloudbeleid die we oppakken om te herzien is, we gaan echt voor de volledige implementatie van het cloudbeleid bij de departementen.
[0:08:54] Ook kijken naar de rapportage en registratieplicht van het cloudbeleid om dat nog wat strakker vorm te geven.
[0:09:02] Kijken naar concentratierisico's, maar ook zeker naar de effectiviteit van de risicoafwegingen, waar zeker ook een grote bevinding van de rekenkamer op kwam.
[0:09:12] De verdere borging van de exit-strategie en het verhelderen van bepaalde termen, waaronder materieel cloud gebruik, wat is dat nu, en begrip bij het cloud-beleid.
[0:09:24] Specifiek voor het thema digitale soevereiniteit wordt in de herziening van het cloudbeleid aandacht besteed aan het risico van marktconcentratie van enkele grote leveranciers, de afweging van publieke waarde, soevereiniteit en concentratierisico's bij de gang van de cloud.
[0:09:41] Hierbij wordt zowel gekeken vanuit het oogpunt van nationale veiligheid als vanuit de noodzakelijkheid van beschikbaarheid van kritische processen.
[0:09:48] En nogmaals ook de implementatie van de exit-strategieën.
[0:09:53] De planning is dat u die herziening van het cloudbeleid medio 2025 ontvangt.
[0:10:01] Ook is de verwachting dat de invoering van de Algemene Beveiligingseisen Rijksoverheid opdrachten, de APRO, zoals die afgekort wordt, ook zal bijdragen aan het nog sterker mitigeren van risico's van cloudgebruik.
[0:10:15] En dan specifiek in de situatie dat nationale veiligheid...
[0:10:20] In het geding is dit stelt meer eisen aan de dienstverleners en de dienstverlening.
[0:10:25] En wordt standaard onderzocht of die ook voldoen aan de eisen die in de APRO zijn gegaan.
[0:10:33] Dat even kort als overzicht van waar we de komende maanden mee aan het werk zijn.
[0:10:38] En dan geef ik graag het woord aan mijn collega Fleur Terborg.
[0:10:49] Naast de bestaande beleidsdossiers werkt de staatssecretaris ook aan de Nederlandse digitaliseringsstrategie die in het voorjaar naar uw kamer komt.
[0:10:58] In deze strategie zijn onderwerpen zoals cloud en de digitale weerbaarheid en autonomie specifieke prioriteiten waar de staatssecretaris vanuit één overheidsgedachte stappen in wil zetten.
[0:11:09] Ook in de IT-sourcingstrategie komen deze thema's aan bod.
[0:11:13] In de IT-sourcingstrategie wordt breder gekeken naar de sourcing van IT dan alleen de cloudmogelijkheden.
[0:11:19] Bij de strategie betrekken we sourcing van applicaties, werkplekken, infrastructuur, ontwikkeling en onderhoud van ICT.
[0:11:27] Belangrijke redenen voor de herijking van de strategie is het voorkomen van ongewenste afhankelijkheden.
[0:11:33] onzichtbare marktconcentratie en fragmentatie van de vraag en het aanbod.
[0:11:38] De IT-sourcingstrategie heeft als doel om in kaders zowel technisch en procesmatig... bij te dragen aan de vermindering van deze strategische afhankelijkheid.
[0:11:48] De strategie wordt daarom in samenhang met andere lopende trajecten ontwikkeld... zoals de NDS en de APRO, zoals Aart net ook toelichtte.
[0:11:56] Om alvast een tipje van de sluier te geven... richten wij ons in de IT-sourcingstrategie op een overheidsbereden aanpak...
[0:12:02] Waarbij de eerste invoering gericht is op rijksoverheid.
[0:12:06] Daarnaast onderzoeken we hoe vraag en aanbod kunnen bundelen.
[0:12:10] Om zo een sterkere positie richting leveranciers te creëren.
[0:12:13] Maar ook met het idee om het interne aanbod van onze ICT-dienstverleners te bundelen.
[0:12:19] In het interne aanbod zal ook gekeken worden wat andere EU-overheden van plan zijn in hun aanbod.
[0:12:27] Andere voordelen bij het bundelen van aanbod en vraag zijn het bundelen van expertise, capaciteit en de techniek die daarmee beschikbaar komt bij elkaar.
[0:12:35] Al deze punten moeten leiden naar de beantwoording van de vragen wat doen we of moeten we zelf doen en welke categorie of welk aanbod past bij die vraag.
[0:12:43] De verwachting is dat we de herijking van de IT-sourcingstrategie in kwartaal 2 ongeveer gereed zullen hebben voor de interdepartementale bespreking.
[0:12:51] En dan geef ik nu het woord aan de heer Roosboom van SSC-ICT.
[0:12:59] We gaan het ook samen zo.
[0:13:00] Dank.
[0:13:02] Ik kan me voorstellen dat de SEC-ICT niet onmiddellijk bekend is bij iedereen.
[0:13:05] Dus daarom even een korte inleiding.
[0:13:07] Wij zijn een van de grote ICT-dienstverleners van het Rijk.
[0:13:11] En we leveren momenteel circa 58.000 digitale werkplekken aan de Nederlandse Rijksoverheid.
[0:13:18] En die scope omvat een negental departementen waar wij de IT voor arrangeren.
[0:13:25] Kijken of hij ook op mij reageert.
[0:13:27] Dat doet hij.
[0:13:29] De term cloud wordt te pas en te onpas gebruikt.
[0:13:31] Uw Kamer maakt zich terecht zorgen over de cloud, zoals die wordt aangeboden door de grote, vooral Amerikaanse leveranciers.
[0:13:38] Daarbij speelt vooral de vraag in hoeverre het opslaan van data in de cloud, in de public cloud, veilig is en of er data door anderen, zoals de Amerikaanse overheid, kunnen worden opgevraagd.
[0:13:48] De recente geopolitieke ontwikkelingen en toegenomen cyberdreiging dwingen ons daarbij na te denken over soevereiniteit en digitale autonomie.
[0:13:57] SSICT maakt op dit moment gebruik van een beperkt aantal clouddiensten, zoals bijvoorbeeld van Microsoft, en levert op dit moment nog geen diensten aan afnemers waarbij data in de cloud wordt geplaatst.
[0:14:09] Toch biedt de cloud veel kansen, met name op het gebied van beheer, continuïteit en security.
[0:14:14] Voordat de stap naar de cloud wordt gezet, wordt een wel overwogen en doordacht proces gevolgd, waarbij ook een risicoafweging plaatsvindt samen met afnemers.
[0:14:25] Dit geldt ook voor cloud-applicaties die al langer in gebruik zijn.
[0:14:28] Denk aan Microsoft Teams en Webex, waarmee videovergaderen en chatten mogelijk is.
[0:14:33] We bekijken daarbij samen met onze afnemers de risico's op het gebied van privacy.
[0:14:38] En natuurlijk wordt er ook een business impact analyse gemaakt.
[0:14:41] Al deze risico's worden in kaart gebracht, zodat ze kunnen worden gemitigeerd.
[0:14:45] Dan wel worden geaccepteerd.
[0:14:47] En dat doen we conform het Rijkscloudbeleid.
[0:14:53] Uw Kamer maakt zich zorgen met betrekking tot cloud en of anderen straks bij uw data kunnen komen.
[0:14:58] Zijn die data wel veilig?
[0:14:59] Het is begrijpelijk dat u verzocht hebt om geen onomkeerbare stappen te zetten.
[0:15:05] We hebben de afgelopen jaren gewerkt aan de modernisering van onze werkplek, want die is alweer zo'n acht jaar oud.
[0:15:10] Daarbij stond centraal dat we een veilige, prettig gebruikbare, maar ook een goed beheerbare werkplek willen ontwikkelen.
[0:15:17] En dat is ook een noodzaak, omdat bepaalde onderdelen van de huidige werkplek straks niet meer worden ondersteund.
[0:15:22] Binnenkort, moet ik eigenlijk zeggen.
[0:15:25] We kunnen daardoor niet onbeperkt uitstellen.
[0:15:28] En onze ervaring met de vorige vervanging, die leert dat we rond deze zomer moeten starten met die vervanging.
[0:15:35] We gaan ervan uit dat uw Kamer dit belangrijk vindt voor die 58.000 werkplekken, omdat die die Rijksambtenaren ondersteunen.
[0:15:44] Met een werkplek die niet meer door de leverancier wordt ondersteund, kun je immers niet meer werken.
[0:15:49] Met het oog op uw zorgen is het goed om te weten dat we met onze nieuwe werkplek geen data of e-mail naar de cloud brengen.
[0:15:56] Alleen voor het veilig kunnen beheren van die werkplek zijn wel een bepaald aantal cloud componenten onmisbaar.
[0:16:01] En daarbij zijn applicaties betrokken van Microsoft en Netscope.
[0:16:06] Voor onze nieuwe werkplek is uiteraard gekeken naar mogelijkheden om die risico's te spreiden.
[0:16:10] Risico's van afhankelijkheid bijvoorbeeld van een enkele leverancier of een klein aantal leveranciers.
[0:16:15] Daarbij hebben we gekeken naar en kijken we ook voortdurend naar de mogelijkheden om meerdere aanbieders daarbij te betrekken.
[0:16:22] Voor de korte termijn hebben zich echter geen Europese aanbieders gemeld.
[0:16:27] En zijn we uitgekomen bij de bekende geselecteerde leveranciers.
[0:16:30] En die komen inderdaad uit de Verenigde Staten.
[0:16:34] Belangrijk is wel te beseffen dat de data en de e-mail voorlopig gewoon veilig in onze eigen datacenters blijven.
[0:16:41] SSCICT ontwikkelt een exit-strategie en onderzoekt ook meer autonome alternatieven, zodra deze beschikbaar komen.
[0:16:50] Uiteraard om die afhankelijkheid af te bouwen.
[0:16:52] Hierbij wordt actief samengewerkt met CIA-rijk en ook Europese partners.
[0:16:58] Maar het is wel een uitdaging, want op dit moment zijn er eigenlijk geen gelijkwaardige alternatieven.
[0:17:03] En dan geef ik graag het woord aan Henrik Banaar.
[0:17:05] Ja, dankjewel.
[0:17:10] Strategisch leveranciersmanagement, niet alleen op Microsoft, maar ook op Google Cloud en Amazon Web Services.
[0:17:15] Dus de drie grote Amerikaanse hyperscalers.
[0:17:18] In de reactie van de regering op de initiatiefnota Wolken aan de horizon is de positie en de rol van SLM, strategisch leveranciersmanagement, al uitgebreid toegelicht.
[0:17:27] Dus dat ga ik verder nu niet doen.
[0:17:30] SLM richt zich op deze drie partijen omdat die een min of meer vergelijkbaar aanbod hebben qua mogelijkheden in de cloud.
[0:17:37] We zorgen voor juiste voorwaarden.
[0:17:39] We leggen de afspraken vast en we onderhouden die afspraken.
[0:17:42] Ook een belangrijke in een continu veranderende wereld.
[0:17:46] Daarmee faciliteert SLM partijen binnen de Rijksoverheid... met het op een compliant manier kunnen gebruiken van de producten en diensten van die aanbieders.
[0:17:55] Bij die compliance is er dus veel aandacht voor de locatie van de overheidsdata... en de mogelijke verwerking van andere type data buiten Nederland of Europa.
[0:18:04] SLM oefent ook het bedongen auditrecht uit.
[0:18:06] We hebben met alle drie de partijen ook een right to audit.
[0:18:10] En als je het hebt, dan moet je het ook effectueren elk jaar.
[0:18:13] Dat doen we ook heel dapper.
[0:18:16] Jaarlijks laten we door een externe order het nakomen van de afspraken die we met die partijen hebben controleren.
[0:18:24] Alle drie die partijen ontwikkelen ook een public cloud aanbod dat meer tegemoet komt aan de in heel Europa merkbare roep om meer soevereiniteit en minder afhankelijk zijn van de Verenigde Staten.
[0:18:36] Ook die omgevingen zullen door SLM worden onderworpen aan een nauwgezet onderzoek.
[0:18:41] En sinds begin 2023 kijken we ook naar Europese aanbieders van cloud diensten om te kijken of daar vergelijkbaar aanbod is.
[0:18:48] En het enkele feit dat het aanbod van een Europese partij komt... geeft ook geen garanties dat het compliant gebruikt kan worden.
[0:18:54] Daarom hanteren we graag het principe van een level playing field.
[0:18:58] En ook Europese of Nederlandse cloud-aanbieders... worden door SLM op dezelfde manier en op dezelfde aspecten onderzocht.
[0:19:04] We hebben gesprekken gehad met OVH Cloud inmiddels.
[0:19:07] En we zijn nu ook de eerste verkennende gesprekken gestart met Stackit.
[0:19:11] Beter bekend als de Lidl Cloud.
[0:00:00] 100% Duits zou dat moeten zijn.
[0:19:17] Even heel in het kort activiteit van SLM.
[0:19:20] Dank u. Dank voor de inbreng.
[0:19:27] Zou u uw microfoon nog willen uitzetten?
[0:19:31] Ja, dank u wel.
[0:19:32] Gaan we nu naar de zijde van de Kamer voor de vragen.
[0:19:35] Ik stel voor dat we beginnen met één vraag per Kamerlid.
[0:19:40] En dan kijken we vervolgens hoeveel tijd er nog over is.
[0:19:42] En dan is het eerste aan de beurt de heer Buijsen van de VVD.
[0:19:48] Dankjewel aan u allen voor uw komst en ook de interessante bijdrage.
[0:19:55] Voor mezelf is dit een leertraject, want ik leer elke keer weer iets nieuws.
[0:19:59] Dus goed om te vernemen.
[0:20:00] Een van de zaken die ik de laatste tijd ook nadrukkelijk in mijn overwegingen meeneem, is het beeld van de cloudlandschap.
[0:20:09] anno 2040, even zo voorgesteld.
[0:20:11] Ik zie dat we nu een wijkje hebben gebouwd aan cloudvoorzieningen, overwegend Amerikaans gestoeld.
[0:20:18] Maar ik zie dat wij de komende jaren van dat wijkje gaan groeien naar een dorp aan cloudvoorzieningen.
[0:20:24] Ik zie multicloudvoorzieningen in het straatbeeld verschijnen, met allerlei leveranciers van cloudvoorzieningen, diensten, ook naar onze inwoners en ondernemingen.
[0:20:36] En de vraag die ik wil stellen gaat over de ontwerpprincipes die we gaan hanteren voor dat uitbreidingsproces van dat straatje naar dat dorp.
[0:20:43] Want houdt CEO Rijk, we kijken met name even naar meneer De Blauw, er ook rekening mee dat je in de architectuur en de opzet van dat groeiproces eigenlijk ook gewoon architectuur nodig hebt.
[0:20:54] Want het kan goedkoop, het kan duur, het kan groen, het kan blauw.
[0:20:58] Dus dat is mijn vraag aan de heer De Blauw.
[0:21:02] En u het verhaal de heer De Blauw.
[0:21:03] Dank u wel.
[0:21:04] Al is het natuurlijk ook belangrijk dat er meer aanbod komt.
[0:21:07] Dat we ook de Europese initiatieven die er zijn toejuichen.
[0:21:12] Ik heb ook namens de staatssecretaris een intentieverklaring getekend.
[0:21:16] Sorry, met mijn Franse en met mijn Duitse collega.
[0:21:20] Daarnaast heb je ook een aantal principes nodig in de Raad.
[0:21:23] Zoals ook dat je dataportable is en dat je dat ook weer uit die cloud kan krijgen.
[0:21:27] Dat ook de services met elkaar kunnen communiceren.
[0:21:30] Als je mij nu om de man afvraagt van heeft u al een complete blauwdruk over hoe in 2040 dat eruit gaat zien.
[0:21:37] Dat hebben we nog niet.
[0:21:37] We zijn nu gewoon bezig met het herzien van ons cloudbeleid.
[0:21:40] Wat eind Q2 komt.
[0:21:43] En daar staan de uitgangspunten in.
[0:21:45] En het is heel belangrijk om in ieder geval tot een meer divers landschap te komen.
[0:21:51] Want of het nu Amerikaanse leveranciers zijn als voorbeeld, maar ook Europese leveranciers.
[0:21:56] Als je een te groot deel van je overheids-IT bij één leverancier hebt, word je te afhankelijk.
[0:22:02] En loop je daar te groot risico.
[0:22:04] En het is belangrijk om daar goed inzicht in te hebben.
[0:22:06] Dat hebben we nu niet op alle punten.
[0:22:08] En om daar ook zeg maar beleid op te vormen.
[0:22:15] Dank u wel, voorzitter.
[0:22:16] En ook vanuit mij veel dank voor uw komst en voor uw toelichting.
[0:22:20] Ik had een vraag aan de heer Rozenboom.
[0:22:23] Goed om ook te horen dat SSC-ICT in de stap die hij neemt... een hoge mate van autonomie betracht.
[0:22:28] Ik denk dat dat een stap in de goede richting is.
[0:22:30] En volgens mij bent u daar heel bewust en gedegen mee bezig.
[0:22:33] Dus ook complimenten van...
[0:22:35] Mijn kant.
[0:22:37] U geeft aan dat waar het gaat om nog een aantal bestaande cloud componenten... ook onderzoek wordt verricht naar de beschikbaarheid van meer autonome alternatieven... zodra die beschikbaar zouden gaan komen.
[0:22:48] Ik was benieuwd, zijn ook in het kader van de diversiteit die de heer Blauw net noemde...
[0:22:54] vereisten die daarvoor zouden moeten bestaan, ook voldoende kenbaar bij de markt, dat u denkt.
[0:23:02] Dat Europese of Nederlandse partijen, die graag zouden willen concurreren met de grote spelers, ook weten waar ze zouden moeten voldoen.
[0:23:10] De heer Rozeboom.
[0:23:12] Dat is een interessante vraag.
[0:23:13] We hebben natuurlijk wel te maken met aanbestedingsregels.
[0:23:18] En als je een bestek schrijft voor een aanbesteding, dan zet je daarin wat je wilt hebben.
[0:23:23] En het is ons gebleken dat met de keuze voor de componenten zoals wij die nu in onze nieuwe werkplek verwerken, dat het heel lastig is om daar partijen te vinden, behalve dan de grote Amerikaanse aanbieders die daaraan kunnen voldoen.
[0:23:37] Ik ga daarmee niet zeggen dat de aanbestedingsregels ons echt in de weg zitten, maar soms zou het wel eens handig zijn om wat korter door de bocht te zijn en je af te vragen van, nou maar dat is een interessante partij, waarom kan die niet aanbieden, wil die niet aanbieden?
[0:23:50] Dus ja, we proberen zoveel mogelijk binnen die regels natuurlijk te opereren.
[0:23:57] Voor wat betreft technische requirements, dat lijkt me vaak helder als we een bepaald component zoeken.
[0:24:03] Dan heb je daar de technische requirements voor om te zorgen dat dat kan aansluiten op de bestaande applicaties en systemen die je hebt.
[0:24:12] Is dat het antwoord op uw vraag?
[0:24:14] Als ik nog kort mag aanvullen.
[0:24:17] We zijn ook bezig met een experiment met software van de Franse collega Slash Suite en OpenDesk uit Duitsland.
[0:24:23] Om daar in ieder geval mee te experimenteren.
[0:24:25] Dat wil niet zeggen dat het overmorgen helemaal overkant.
[0:24:28] Maar we zijn er wel serieus naar aan het kijken.
[0:24:30] En de eerste experimenten lopen daarmee.
[0:24:35] Mevrouw Katman.
[0:24:36] Ja, en ook ik ben heel blij dat u er bent.
[0:24:39] En ook heel blij met de brief die we gisteren gekregen hebben van de staatssecretaris.
[0:24:44] Waar volgens mij ook heel erg blijkt wat voor werk u allemaal verzet heeft de afgelopen tijd.
[0:24:49] En ook heel fijn dat uiteindelijk in al dat harde werken er toch meer mogelijk leek dan misschien van tevoren gedacht.
[0:24:56] Ik denk dat dat veel...
[0:24:58] bloed, zweet en tranen heeft gekost.
[0:25:00] En dat een beetje een totaal overstap naar Microsoft is afgewend.
[0:25:06] Dus eigenlijk vind ik het ook een mooie gelegenheid... om u in ieder geval even dat harde werk alle credits voor te geven.
[0:25:13] Want dat is echt hartstikke knap en superfijn.
[0:25:18] Ik weet eigenlijk niet bij welke vragen ik moet beginnen, maar ik begin maar even bij... Ik denk aan de heer Roosboom.
[0:25:30] SSC-ICT bedient dus negen ministeries, dus niet allemaal.
[0:25:36] Hoe zit het nu in de communicatie tussen die ministeries?
[0:25:39] Kunnen zij op dit moment, van hoe we alles hebben ingericht, geheel helemaal vertrouwelijk met elkaar communiceren?
[0:25:47] De heer Rozenboom.
[0:25:50] Dat kan als het gaat om e-mail bijvoorbeeld.
[0:25:53] Dat is volledig binnen de eigen datacenters verwerkt.
[0:25:56] Dus ze kunnen daar zeer vertrouwelijk met elkaar kunnen communiceren.
[0:26:02] Ik weet niet of dat alle communicatie is die u bedoelt.
[0:26:05] Je hebt daarnaast natuurlijk nog mobiele telefoons en dat soort zaken.
[0:26:09] En daar zijn natuurlijk aparte beveiligingsmogelijkheden voor.
[0:26:14] Maar communiceren, met name in tekst en geschrift, dat gaat op dit moment primair, denk ik, via de systemen die daarvoor zijn, zoals e-mail.
[0:26:24] Ja, dat is dat niveau, departementaal, vertrouwelijk zeg ik even, geen staatsgeheim voor alle duidelijkheid.
[0:26:34] Er is ook een samenwerkingsruimte ingericht waar departementen onderling kunnen samenwerken op hetzelfde niveau.
[0:26:45] Goed, dan gaan we nu naar de heer Valize.
[0:26:49] Ja, voorzitter, dank voor het woord.
[0:26:50] Ik heb genoten van deze presentatie.
[0:26:52] Een helder verhaal wat u allemaal gebracht heeft.
[0:26:54] Dank daarvoor, ook voor de duidelijke toelichting.
[0:26:57] Vragen heb ik niet zoveel.
[0:26:58] Ik heb wel een vraag nog aan de heer Bernhard.
[0:27:00] Met betrekking tot de Europese clouddiensten.
[0:27:05] Omdat er werd gesproken over het plain field.
[0:27:09] Is het niet wenselijk om het gewoon echt in Nederlandse handen te houden?
[0:27:12] Want als we gaan kijken naar de Fransen, als we gaan kijken naar de Duitsers, naar de Leuken.
[0:27:14] Maar de Fransen hebben in het verleden nog wel eens vaker acties uitgevoerd die toch wel discutabel zijn als het gaat over de soevereiniteit.
[0:27:24] De heer Bonnard.
[0:27:26] Ja, dank u wel.
[0:27:28] Ik begrijp de vraag, maar het betreft beleid en strategisch leveranciersmanagement.
[0:27:35] Wij gaan niet over beleid, dus ik moet hem doorgeven, denk ik, aan Art.
[0:27:47] Mevrouw Teboer, dank u wel.
[0:27:49] Een hele terechte vraag.
[0:27:51] Ik denk dat er voordelen en nadelen in zitten.
[0:27:53] En voordat we alleen maar op de nadelen inzoomen wat het risico is, biedt het ook een hele grote mogelijkheid om juist Europees hierin op te trekken.
[0:28:02] Omdat er dan veel meer mogelijkheden bij elkaar gaan komen.
[0:28:05] ...expertise meer kunnen bundelen, krachten meer kunnen bundelen.
[0:28:08] Dus onze markt wordt wel heel klein als we het alleen tot Nederland zouden beperken.
[0:28:12] Dan moeten we nog steeds een afweging maken over wat voor soort risico's heb je het dan.
[0:28:17] En ik denk dat dat de manier is om het vraagstuk te benaderen.
[0:28:21] Maar niet per definitie te zeggen dat Europa niet het geschikte speelveld zou zijn.
[0:28:27] We moeten wel echt breder kijken...
[0:28:28] Ik denk ook dat het daarom altijd zo zou zijn dat in het mandje van allemaal technologische oplossingen ook de Amerikanen beschikbaar blijven.
[0:28:36] Het gaat er elke keer weer om waarvoor ga je het toepassen en ben je er dan van bewust of je in controle bent of niet.
[0:28:43] Ik hoop dat dat een antwoord is.
[0:28:48] Mevrouw Koekoek.
[0:28:51] Dank voorzitter.
[0:28:52] En ook van mijn kant veel dank en excuses dat ik te laat binnenkwam.
[0:28:58] De vraag die ik wil stellen, en daarom zeg ik het ook even, misschien heeft u hem al net beantwoord.
[0:29:03] Dus excuses als ik hem nu dubbel vraag.
[0:29:06] Hij lijkt wel een beetje op die van collega Felice, omdat ik me wel afvroeg van wat zijn nu de criteria en ook wat is de ontwikkeling van criteria voor als je het hebt over welke techniek gebruiken we nou.
[0:29:18] Dus niet afhankelijke krijg ik mee natuurlijk en gebruiksgemak kan ik me zo voorstellen, kosten uiteraard.
[0:29:25] Zijn er nou ook andere criteria en zijn die criteria continu in ontwikkeling?
[0:29:30] Hoe maakt u die afweging?
[0:29:36] Mevrouw Taboor.
[0:29:39] Dank u wel voor de vraag.
[0:29:40] Eigenlijk de afwegingen en die criteria zijn best wel divers.
[0:29:44] En als het gaat over de techniek geldt het ook hiervoor dat je consequent alternatieven moet hebben eigenlijk.
[0:29:55] En ook hierin moeten we ons realiseren dat de techniek een oplossing is voor een ander vraagstuk.
[0:30:00] Waarin je een probleem wil oplossen van ik wil met data iets kunnen verwerken of ik moet het ergens opslaan.
[0:30:06] Dus per departement ook zijn er altijd bepaalde processen of te beschermen belangen, zoals we dat ook wel noemen, waarin je zegt daar willen we dichter op zitten.
[0:30:16] Dus als je vanuit de criteria kijkt, komen die in een ander mandje terecht dan wanneer je kijkt van oké, dit zijn gegevens die wat algemener bekend zijn, die wat minder vitaal zijn.
[0:30:26] Dus die kunnen we veranderen.
[0:30:28] via de andere route, zeg maar, gaan bewandelen.
[0:30:30] Dus op het moment dat je elke keer kijkt wat is nou de impact... en wat voor gegevens worden er verwerkt in dat proces... en welke technologie past daar dan bij... moet je tot een goede afweging kunnen komen.
[0:30:40] En het belangrijkste voor nu op de stap die we moeten maken... is dat die keuzemogelijkheid er komt.
[0:30:45] Omdat we nu nog maar een beperkte keuzemogelijkheid hebben.
[0:30:50] Ik zie nog een aanvulling van de heer Blauw.
[0:30:52] Ja, in het herzien van het klauwbeleid zullen we ook de criteria wat aanscherpen.
[0:30:57] Dus laten we zo zeggen, dat zal iets stringenter zijn dan het huidige klauwbeleid.
[0:31:01] Dus het is ook nog in ontwikkeling.
[0:31:04] En dan nog een aanvulling van de heer Jochem.
[0:31:05] En dan nog een toevoeging.
[0:31:07] En op dit moment gelden natuurlijk ook al eisen voor inkoop, ook techniek.
[0:31:11] Als het gaat om, nou laten we zeggen, vertrouwelijke informatie.
[0:31:15] Ook het, wat ik net al noemde, het APRO.
[0:31:19] Dus dat is een afwegingskader voor leveranciers.
[0:31:22] Als het gaat om vertrouwelijke informatie.
[0:31:25] Het veer bieden, ze zijn een veelheid aan raamwerken daarvoor.
[0:31:28] En ik kan u verzekeren dat die met regelmaat worden geactualiseerd.
[0:31:36] Dan ga ik weer naar de eerste vragenstellende, heer Buijzen, voor uw tweede vraag.
[0:31:41] Ja, dankjewel.
[0:31:42] Het ontspint zich een interessant gesprek.
[0:31:46] Aanvullend zou ik de vraag willen stellen, ook gezien mijn eerdere vraag over dat landschap en architectuur... en hoe ziet die voorzieningenstructuur en landschap eruit in 2040...
[0:31:57] Er komen allerlei partijen op de markt.
[0:32:00] We hebben zo onze wensen en behoeftes als het gaat.
[0:32:03] En ik zie dus echt een heel duidelijke trend opkomen.
[0:32:05] Dat we dus wel degelijk naar die dienstverlening voor inwoners en ondernemers toe gaan.
[0:32:08] En daar ook dus cloud voorzieningen gaan ontwikkelen.
[0:32:13] Maar ook in samenhang met AI en dat soort technologieën.
[0:32:17] Maar ja, dan de vraag, maar ik denk voor ieder, maar we beginnen bij meneer De Blauw, van hoe werkt dat nou in het praktijk eigenlijk?
[0:32:24] Hoe ziet dat proces er nou eigenlijk uit, waar jullie door lopen?
[0:32:27] Kun je daar ons wat gevoel bij geven, hoe dat werkt?
[0:32:31] En ook hoe je de onafhankelijkheid bewaart in een speelveld met natuurlijk heel veel lobby.
[0:32:37] De heer De Blauw.
[0:32:40] Al is dat tot uitdrukking komen in ons nieuwe sourcingbeleid waar we nu mee bezig zijn.
[0:32:44] Waar we ook goed kijken naar marktconcentraties.
[0:32:48] Wat ik al eerder zei, dat inzicht is er nu soms onvoldoende.
[0:32:51] Dus daar willen we helderder inzicht in hebben en ook op sturen.
[0:32:55] Ik denk ook dat het belangrijk is dat je voor primaire systemen van de overheid niet afhankelijk bent van slechts één leverancier.
[0:33:02] Het maakt niet uit welk klant die komt, maar als er dan met die leverancier iets misgaat, dan stop je primaire dienstverlening.
[0:33:12] En heel belangrijk wordt in dit kader ook het klauwbeleid.
[0:33:16] Om de voorwaarden goed aan te scherpen op een aantal punten.
[0:33:23] Fleur zei net al, je moet spreken in de term van te beschermen belangen.
[0:33:27] En in het huidige klauwbeleid staan daar op staatsgeheim en basisregistratie.
[0:33:33] Maar we gaan serieus kijken of we die lijst niet moeten uitbreiden in de herziening van het klauwbeleid.
[0:33:43] Een aanvulling van de heer Jochem.
[0:33:45] Ja, aanvullend ook richting de ontwikkeling van het cloudbeleid.
[0:33:50] We zijn, en daar is vorige week uw Kamer is ook, of uw Commissie heeft ook een roundtable over autonomie gehad.
[0:33:56] Ook de overheid heeft een brede vertegenwoordiging gehad afgelopen donderdag om ook het onderwerp digitale autonomie verder te brengen.
[0:34:05] En dat gaat ons echt wel helpen om, laten we zeggen, dat toekomstplaatje in meer richting te geven.
[0:34:10] Dat zal ook niet, dat is mijn inschatting, niet eenmalig zijn.
[0:34:14] Dat zal de komende tijd nog wel een paar keer herzien moeten worden.
[0:34:16] Als je ziet hoe snel ontwikkelingen gaan.
[0:34:23] De heer Seks-Dijkstra.
[0:34:24] Ja, dank u, voorzitter.
[0:34:26] Van mij kan nog een vraag aan de heer De Blauw.
[0:34:29] Als het gaat in de herziening van het cloudbeleid... om de afweging van de risico's voor marktconcentratie... hoe moeten wij dat in de praktijk voor ons zien?
[0:34:40] Vanuitgaan dat elk departement uiteindelijk nog een eigen afwegingskader heeft... en marktconcentratie natuurlijk een holistisch vraagstuk is over departementen heen.
[0:34:48] Wat is daarin de verantwoordelijkheid van het departement... en wat is daarin de verantwoordelijkheid van de ene overheid...
[0:34:55] De heer De Blauw.
[0:34:57] Ja, ik kan natuurlijk niet heel erg veel vooruit gaan lopen op de inhoudelijke herzieningen.
[0:35:02] Want dan moeten we ook nog met de departementen over spreken hoe we dat gaan doen.
[0:35:06] Maar nu is er nog best een grote vertaalslag.
[0:35:10] Ik wil liever naar een, laten we zeggen, meer uniform beleid.
[0:35:16] Maar goed, daar gaan we nog met de departementen over in gesprek.
[0:35:19] We zullen in ieder geval inzicht moeten hebben in welke leveranciers er allemaal gebruikt worden.
[0:35:24] En ook daar kaders voor gaan stellen.
[0:35:26] Maar het gaat nu wat te ver om te zeggen wat we eind Q2 hier voor gaan leggen.
[0:35:35] Mevrouw Katman.
[0:35:37] Ik weet eigenlijk niet aan wie ik mijn vraag naar het beste kan richten.
[0:35:39] Misschien wel aan degene die zich het meest geroepen voelt.
[0:35:44] Maar ik denk dat het nu zo is, en dat is misschien ook nog wel een beetje logisch... maar we moeten wel misschien naar iets anders bewegen.
[0:35:51] Dat we er nu nog van uitgaan dat we de grote dienstverleners...
[0:35:58] zijn partijen in een land wat we een bevriende natie noemen.
[0:36:02] En ook al is het geopolitiek spannend of zitten we aan tafels met elkaar... in welke vorm dan ook, dan heb je nog altijd het idee... dat die bedrijven redelijk autonoom nog kunnen opereren.
[0:36:14] Maar houden we nu ook al rekening mee met andere scenario's?
[0:36:19] Als je bijvoorbeeld kijkt naar de bedreiging die is gedaan...
[0:36:23] Richting het internationaal strafhof bijvoorbeeld.
[0:36:27] Als dat waarheid wordt, dan heeft het helemaal niks meer met autonoom opereren te maken.
[0:36:33] Zit dat in de scenario's van onafhankelijkheid of in de scenario's van bedenken als we een categorie moeten uitbreiden?
[0:36:43] Moeten we dan die bak nog groter maken?
[0:36:46] Wordt daar in ieder geval over nagedacht?
[0:36:50] Wie wil deze vraag beantwoorden?
[0:36:52] De heer De Blauw.
[0:36:53] Ja, daar wordt zeker over nagedacht.
[0:36:56] Ik wil ook wel stellen dat het denk ik utopisch is om te zeggen, nou we doen alles helemaal zelf.
[0:37:02] Dat altijd afhankelijkheden houden van andere landen binnen en buiten Europa, ook Amerika.
[0:37:08] En natuurlijk is het geopolitieke klimaat wat veranderd.
[0:37:11] Ook daar houden we rekening mee.
[0:37:15] U noemt ook het ICC.
[0:37:17] Ja, het zou een bijzonder vervelend president zijn als daar de dienstverlening niet wordt gecontinueerd door Microsoft.
[0:37:22] Maar naar mijn weten gaat die dienstverlening gewoon door.
[0:37:28] De heer Jochem wil er ook nog graag iets over zeggen.
[0:37:31] Ik wil er nog wel aan toevoegen.
[0:37:34] Aansluitend op wat de heer De Blauwe ook aangeeft.
[0:37:38] We zitten op dit moment natuurlijk nog wel met dat de Verenigde Staten ook conform het kabinetsstandpunt over digitale open strategische autonomie, DOSA, mooi samengevat, nog wel een bondgenoot is.
[0:37:52] Natuurlijk hou je met heel veel dingen rekening.
[0:37:53] Je probeert een paar jaar vooruit te kijken.
[0:37:56] Maar dit is wel de situatie zoals die nu is.
[0:38:02] De heer Valize.
[0:38:05] Ja, voorzitter.
[0:38:06] Dank voor het woord.
[0:38:06] Zoals ik bij de eerste vraag onderlaagde, ik had niet veel vragen.
[0:38:09] Alleen die ene vraag is al prima beantwoord door mevrouw Ter Borch.
[0:38:11] Dus ik sta mijn beurt af aan mevrouw Koekoek.
[0:38:14] Mevrouw Koekoek.
[0:38:17] Dank voorzitter.
[0:38:18] Ik zit nog wel even te kouden op het vorige antwoord.
[0:38:21] Want daar ben ik zelf ook wel geïnteresseerd in.
[0:38:23] Omdat juist die geopolitieke ontwikkelingen ook heel rap en ook wel...
[0:38:28] Niet geleidelijk, laat ik het maar zo zeggen, ontwikkelen.
[0:38:31] Dat ik de vraag zo voor me leg.
[0:38:33] Wat is de beste manier om dat in de gaten te houden?
[0:38:35] En hoe wendbaar zijn we daarin?
[0:38:37] Dus hoe snel kan er gereageerd worden?
[0:38:40] Omdat die situatie nu eenmaal, volgens mij, zich moeilijk te voorspellen lijkt.
[0:38:44] In ieder geval op dit moment.
[0:38:47] Wie wil deze vraag beantwoorden?
[0:38:48] Wil Jochem?
[0:38:49] Ja.
[0:38:49] Aan u het woord.
[0:38:53] De ontwikkeling van dreiging is natuurlijk ook echt wel... En dat in de gaten houden is ook wel het vakwerk van een CISO in een departement en bij een organisatie.
[0:39:05] En ook bij SCICT is ook een CISO aanwezig.
[0:39:08] En de dreiging, of dat nu is door ransomware of door, laten we zeggen, politieke, geopolitieke ontwikkelingen...
[0:39:17] Of dat er iets gebeurt aan de oostgrens van Europa, aan de oostkant.
[0:39:21] Dat is iets wat we steeds meenemen en ook proberen om daar reactie op te geven.
[0:39:29] En datzelfde geldt dus ook voor wat er nu in de Verenigde Staten gebeurt.
[0:39:33] De vraag is van hoe snel kun je je uit een dienstverlener omtrekken.
[0:39:36] Dat is natuurlijk een algemene vraag.
[0:39:38] Dat geldt ook voor Europese dienstverleners, integrators.
[0:39:44] Dat is wel iets waar je rekening mee moet houden.
[0:39:47] En dat is eigenlijk een eis aan continuïteit die je per organisatie of per toepassing moet stellen.
[0:39:54] Soms is het...
[0:39:56] Heb je alle tijd om dingen te doen?
[0:39:57] Soms moet je binnen twee weken jezelf hebben teruggetrokken.
[0:40:00] En hoe doe je dat dan?
[0:40:02] Dat is iets wat case by case bekeken moet worden.
[0:40:09] Dan denk ik dat we nog tijd hebben voor één ronde vanuit de Kamerleden met vragen.
[0:40:15] En dan kijk ik weer naar de heer Buijs.
[0:40:16] U mag als eerste.
[0:40:17] Ja, dankjewel.
[0:40:18] En vooral kan ik me heel goed voorstellen dat CEO Rijk en aanverwante diensten er veel baat bij hebben dat er meer kaderstelde bevoegdheden zijn bij de departementen.
[0:40:35] Maar ik zou het eigenlijk ook willen omdraaien, want de departementen hebben nu gewoon best veel autonomie en best veel zeggenschap voor zichzelf.
[0:40:42] En ik zou eigenlijk een beetje willen helpen om te zoeken naar hoe we daar overheen kunnen komen.
[0:40:48] Dus ik zou de vraag willen omdraaien van welk probleem lossen we nou voor de departementen op?
[0:40:54] Als de CEO rijk en verwante diensten meer bevoegdheden zou hebben.
[0:41:00] Welk probleem voor die departementen lost dat op?
[0:41:02] En daarmee de vraag van kunnen we de departementen daarmee ook overtuigen?
[0:41:07] Om hen daar losser in te laten zijn.
[0:41:11] De heer De Blauw.
[0:41:14] Ja, deels is het natuurlijk een politieke vraag.
[0:41:16] De artikel 44 van het Grondwet versus Coördinatiebesluit.
[0:41:19] Dus daar ga ik niet specifiek op in.
[0:41:22] Ik denk wel, als ik hem wat breder beantwoord, is dat je kan zeggen dat het helpt als de departementen niet elke keer zelf het wiel opnieuw hoeven uit te vinden.
[0:41:32] Maar dat we, en ik zeg dat ook gezamenlijk, want ik ben tevens de voorzitter van het CAO-beraad.
[0:41:37] Op het moment dat we gewoon gezamenlijke richtingen afspreken, dat helpt.
[0:41:41] En trouwens ook de mede-overheden, dat merk je in de NDS, ook de mede-overheden willen graag horen wat is de richting qua cloud.
[0:41:48] En ik denk dat dat gewoon helpt als we dat gezamenlijk, zeg ik dan, samen met de departementen in het CEO-beraad opstellen.
[0:41:56] En het zou ook fijn zijn als dan het cloud-beleid niet alleen voor de Rijksdienst kan gelden.
[0:42:01] Maar ook voor de ZBO's.
[0:42:03] En er komen allerlei wettelijke aspecten dan.
[0:42:05] Waar ik nu ook even niet op inga.
[0:42:06] Maar ik denk dat de departementen daarbij geholpen zijn.
[0:42:10] En ook graag gezamenlijk die richting met ons willen uitzetten.
[0:42:15] Mevrouw Ter Borch wil graag nog even aanvullen.
[0:42:20] Ik denk dat we elkaar ook helpen omdat we de expertise meer gaan bundelen.
[0:42:23] Want er is best wel een schaarstaande expertise als het om digitalisering en ICT gaat.
[0:42:28] Dus ook hier geldt dat het efficiënter is om daarin samen op te trekken.
[0:42:32] Datzelfde heeft natuurlijk een relatie met de capaciteit die je daarmee beschikbaar krijgt als overheid.
[0:42:36] En de gedachte om daarin ook gezamenlijk wat slagvaardiger naar de markt te kunnen optreden.
[0:42:41] Waarin we nu nog best versnipperd die discussies voeren.
[0:42:44] Dus ik denk dat dat wel kansen kunnen zijn.
[0:42:52] De heer Seksdijkstra.
[0:42:53] Dank u wel, voorzitter.
[0:42:54] Ik had geen verdere vragen meer, dus dank voor uw eerdere beantwoording.
[0:42:59] Mevrouw Katman.
[0:43:00] Ik heb een vraag over de exit-strategieën.
[0:43:02] Want we hebben natuurlijk al meteen vastgelegd in het cloudbeleid dat we die eigenlijk wilden.
[0:43:07] Daar is toen eigenlijk geen invulling aan gegeven en nu bij die herziening.
[0:43:12] Dus gaan we dat invullen?
[0:43:15] Dat is de ambitie.
[0:43:16] Maar wat gaan we nu anders doen...
[0:43:19] Dat we het nu wel gaan doen.
[0:43:21] En ook wordt er in die strategie ook rekening mee gehouden.
[0:43:24] Want als we die exit-strategie gaan invullen, dan wordt het natuurlijk ook heel leuk.
[0:43:29] Want dan weet het Nederlands-Europese veld ook... hé, maar ik ben de exit-strategie misschien wel.
[0:43:35] En wat moet ik dus gaan doen om dat echt te zijn?
[0:43:38] En noem het allemaal maar op.
[0:43:39] Dus we gaan ook steeds meer echt de hele goede, voorwaardige alternatieven krijgen.
[0:43:45] Is dat dan ook gelijk de strategie bij het invullen van de exitstrategieën?
[0:43:49] Dat zodra we een goede hebben, dat we dan ook gelijk hop overgaan.
[0:43:55] Wie gaat deze vraag beantwoorden?
[0:43:57] De heer Jochem.
[0:44:00] De exit-strategie wordt per cloud-migratie ook uitgevoerd.
[0:44:07] Dus op het moment dat je vanuit het bestaande Rijksbrede Cloud-beleid dit doet... ...en je ziet dat dit een serieus materieel proces is... ...wat nu voorstaat om met een cloud-dienst uitgevoerd te worden... ...ga je daarover een exit-strategie bepalen.
[0:44:24] Die exit-strategie helpt dus om op voorhand heel goed na te denken... over portabiliteit, over koppelingen.
[0:44:34] Ook welke partijen heb ik nog nodig op momenten... of moet ik zelf een capaciteit achterhouden om in tijden van nood... of, dat is niet alleen maar met fysieke dreiging... maar je kan ook zeggen, er ontstaat een verschil van mening... of een juridisch conflict, of welke situatie dan ook...
[0:44:52] of een faillissement van de dienstverlener, dat je in staat bent om snel een alternatief te bieden en je dienstverlening door te kunnen laten gaan.
[0:45:01] Het is vrij gebruikelijk ook wel in andere sectoren waar continuïteit van dienstverlening belangrijk is en dus ook opgenomen voor de Rijksoverheid.
[0:45:10] En ik denk dat dat zeker een stimulans is om alternatieven beschikbaar te hebben, achter de hand te hebben, over na te denken.
[0:45:18] En hij is geïntroduceerd met het Rijksbrede Cloud-beleid.
[0:45:22] Het uitvoeren van risicoanalyses is al veel langer in gebruik.
[0:45:25] Dus vandaar dat je ziet dat die exit-strategieën... die komen eraan en die worden ook ontwikkeld.
[0:45:32] Maar ik heb er ook wel vertrouwen in.
[0:45:35] SCICT is er ook mee bezig om daar een goed plan op te maken.
[0:45:40] En dat kan zeker een aanzwengende werking hebben.
[0:45:45] Daarmee de vraag beantwoord.
[0:45:48] Maar de vraag was vooral ook van, is het ook strategie dat zodra we een goede, volwaardige exitstrategie hebben, dat je dan dus ook gelijk gaat?
[0:46:01] De strategie is dat op het moment dat je met je rug tegen de muur staat, dat je een alternatief hebt.
[0:46:08] En dat is wat zich natuurlijk in meerdere scenario's ook wel begint af te spelen nu.
[0:46:14] Dus ja, of het een inkoopstrategie is, dat misschien kan de heer Bernardo wat over zeggen, maar...
[0:46:24] De keuze voor een exit en waarheen dan, die ligt natuurlijk bij de departementen, ZBO's, bij ons achterban, waar ze voor kiezen.
[0:46:31] Wat wij vanuit SLM wel doen, is afspraken maken met die leveranciers over het terughalen van die data.
[0:46:38] Het afdwingen van medewerking aan het terughalen, zorgen dat de data die daar stond en eventuele kopieën daarvan binnen 30 dagen vernietigd zijn, et cetera.
[0:46:48] Dat soort zaken wel.
[0:46:49] Dus dat je dan ook helemaal clean bent bij zo'n leverancier.
[0:46:52] En waar je heen gaat, dat is afhankelijk van het type data, het proces wat ondersteund moet worden en of dat elders kan.
[0:46:59] En strategieën heb je nodig, zeg ik altijd, per proces.
[0:47:03] Er zijn verschillende redenen waarom je weggaat.
[0:47:05] Wil je bij Microsoft weg omdat je ziet dat het in Amerika wel heel erg spannend gaat worden?
[0:47:11] Dan kan je ook niet naar Amazon of naar Google.
[0:47:13] Dus zo heb je meerdere strategieën nodig voor verschillende redenen waarom je weg zou willen.
[0:47:17] Dat maakt het complex.
[0:47:23] De heer Verliesen had geen vragen, maar misschien inmiddels wel.
[0:47:26] Dus ik kijk toch even zijn kant op.
[0:47:29] Ik heb wederom geen vragen, maar ik zie uit naar de herzien cloudbeleid.
[0:47:33] Dan kunnen we daar nog politieke afwegingen maken.
[0:47:37] Dank.
[0:47:38] Dan mevrouw Koekoek.
[0:47:40] Dank.
[0:47:42] Volgens mij had mevrouw Ter Borch het eerder over van... het zou goed zijn als we die krachten bundelen... omdat je dan ook je marktkracht vergroot.
[0:47:50] Dus ik was wel benieuwd van in hoeverre gebeurt dat nu?
[0:47:53] Welke uitdagingen zitten eraan?
[0:47:56] Zien we daar snelle ontwikkelingen met bijvoorbeeld een aantal landen... of andere soorten partners?
[0:48:02] Ik was wel benieuwd hoe dat nu loopt.
[0:48:05] Mevrouw Ter Borch.
[0:48:06] Dank u wel.
[0:48:08] Een van de manieren om daar invulling aan te geven is onder andere het strategisch leveranciersmanagement.
[0:48:14] Dat gebeurt ook vanuit de departementen.
[0:48:17] Dus de link blijft op dit moment vooral nog vanuit een departement.
[0:48:22] Wat is daar de opgave en hoe wordt het daar ingekocht?
[0:48:25] Omdat daar ook het belang in het primaire proces ligt.
[0:48:29] Dus dat is op dit moment gewoon het uitgangspunt.
[0:48:32] Er zijn gesprekken hoe we daar beter in kunnen optrekken, meer in kunnen samenwerken.
[0:48:37] Maar daarin blijven we wel afhankelijk van die verantwoordelijkheid op dat primaire proces.
[0:48:45] Dank.
[0:48:46] Ik kijk eventjes naar de zijde van de Kamer of er nog vragen zijn.
[0:48:51] De heer Buijzen zie ik neerklekken.
[0:48:53] De heer Verlies weet ik het ook van.
[0:48:54] Dus ik kijk even naar mevrouw Katman.
[0:48:56] Mevrouw Koek hoeft niet meer.
[0:48:57] Mevrouw Katman, u dan nog een laatste vraag?
[0:49:00] Ja, toch nog even over die exitstrategie.
[0:49:03] En eigenlijk ook meteen die risicoafweging, want daar had u het ook over.
[0:49:07] Het is gewoon...
[0:49:08] Nou ja, gelijk goed dat dat benoemd is ooit, dat we dat ook gingen doen.
[0:49:12] Maar hebben we wel, ondanks ook in een rapport van de Rekenkamer te horen gekregen... dat we dat eigenlijk ook heel vaak gewoon niet doen.
[0:49:20] Dus mijn vraag was ook van wat gaan we nou nu anders doen... dat we daar wel invulling aan...
[0:49:27] Of zitten er dingen in de weg waar we moeilijk grip op hebben en moeten we daar beter op communiceren?
[0:49:36] En dat geldt dan ook zowel voor die extra strategie, maar ook dezelfde vraag bij die risicoafwegingen.
[0:49:46] Nou, laten we zeggen, het resultaat van de Algemene Rekenkamer, daar zijn we natuurlijk ook van geschrokken dat dat zo weinig gebeurd is.
[0:49:55] Er werd zijn noemde getal van 30 procent.
[0:49:58] Nou is daar natuurlijk wel een situatie dat er met een achterstand moet worden weggewerkt.
[0:50:04] Maar wij gaan er echt als CEO Rijk achteraan, maar ook bij de CEO's.
[0:50:08] Jij hebt daar nog aandacht voor gevraagd ook.
[0:50:11] Om dit te doen.
[0:50:13] Wij zijn ook bezig om een rijksbrede aanpak voor risicomanagement nog een keer duidelijker te doen.
[0:50:18] Zodat het op een vergelijkbare manier ook gebeurt.
[0:50:20] En dat we daar ook die expertise en kennis kunnen opdoen om dat goed te doen.
[0:50:27] We stellen natuurlijk ook steeds andere eisen aan risico's.
[0:50:34] De aanpak die we kiezen is weet waar je te beschermen belangen zijn.
[0:50:39] Herken de dreigingen en weet welke risico's je hebt op die dreigingen.
[0:50:43] En dat doen we ook met de, nou ja, ik ben dan voorzitter van de CISO-raad, doen we ook regelmatig die dreigingsanalyses.
[0:50:50] Maar het hameren op van, jongens, doe die risicoanalyse.
[0:50:53] En collega Rozeboom kan er alles van zeggen dat we daarop hameren en dat we dat ook doen.
[0:50:59] En dat we ook meekijken van, gaat die goed genoeg?
[0:51:02] Daarmee proberen we in ieder geval die verbeteringen ook in gang te zetten.
[0:51:13] voldoende voor u, mevrouw Katman?
[0:51:15] Gewoon te denken, want we zitten gewoon een beetje... in een kip-ijssituatie heel vaak.
[0:51:21] Want als we de risicoafweging wel doen, dan denken we heel vaak... oh, dan moeten we naar Microsoft, want dat is de enige plek... waar het veilig en dit en dat en alle vinkjes gezet zijn.
[0:51:31] En daarom ook net die vraag...
[0:51:33] ...van als dat dan de reden is van gaan... ...en je hebt dadelijk je exitstrategie op orde... ...waardoor denk ik ook de markt heel erg gaat bewegen... ...en er steeds meer voorwaardige alternatieven zullen komen... ...dat je dan eigenlijk gelijk dus in meeneemt dat... ...oh hé, zodra er dan iets voorwaardig staat... ...en ik ging eigenlijk alleen maar omdat ik anders van mijn risicoafweging dacht... ...ik heb geen andere keus, maar die keuze is er wel...
[0:51:59] Dat je dan meeneemt in je beleid van ja, als je kan, dan ga je, zeg maar.
[0:52:06] De heer Jochem.
[0:52:07] Ja, u hebt gelijk.
[0:52:08] Ik was ook niet volledig in het opzommen van de dingen die we deden.
[0:52:13] Ken je te beschermen belangen?
[0:52:15] Ken je dreigingen?
[0:52:16] Kijk welke risico's die dreigingen voor je belangen zijn.
[0:52:20] Neem maatregelen.
[0:52:21] En dan die vijfde is het meest belangrijke.
[0:52:23] Zorg ervoor dat er een proces bestaat waarbij je dat regelmatig doet.
[0:52:28] Dat is heel erg belangrijk.
[0:52:29] Dus een risicoanalyse is altijd een momentopname.
[0:52:33] En die afweging van die risico's... Er kunnen financiële risico's aan zitten, er kunnen juridische risico's aan zitten.
[0:52:41] Privacy is heel erg belangrijk daarin.
[0:52:44] Er kunnen risico's over nationale veiligheid in zitten.
[0:52:47] Er zijn een aantal risico's die je gewoon moet afgaan.
[0:52:50] En soms prevaleert het ene risico boven het andere.
[0:52:54] En dat heeft ook te maken met een risicobereidheid...
[0:52:57] Die je hebt en als overheid is bijvoorbeeld het juridisch risico of het voldoen aan de wet staan natuurlijk buiten kijf dat dat er een is.
[0:53:07] Andere risico's heb je wat meer marge om mee om te gaan.
[0:53:11] Maar het is wel een continu proces en zo'n risicoanalyse is in ieder geval op het moment dat je...
[0:53:17] ...een aanschaf doet of zo'n migratie doet.
[0:53:19] We zeggen ook voor belangrijke te beschermen belangen doe je dat ieder drie jaar.
[0:53:24] Maar ook als er een belangrijke wijziging is doe je dat opnieuw.
[0:53:27] Dus het is niet een eenmalige stap die je zet.
[0:53:33] Ik zie nog een aanvulling van de heer De Blauw.
[0:53:35] Ja, ik zal even specifiek op de exitstrategie ingaan.
[0:53:38] Ik denk dat u gelijk heeft dat dat stimuleert... zeg maar, voor andere partijen ook oplossingen te creëren.
[0:53:43] Maar zeg maar, zo'n exitroepje, dus dat helpt.
[0:53:47] Maar aan de andere kant, een exitroepje pas af... als er een bepaalde contractuele voorwaarde...
[0:53:51] Dus niet zodat je opeens morgen bedenkt, ik stap over, want je hebt gewoon een contract en een aanbesteding.
[0:53:55] Dan moet er echt een situatie zijn waar je aan het contract voldoet.
[0:53:58] Dus het helpt om de markt te stimuleren door er serieus over na te denken.
[0:54:02] Maar het is niet dat we dan opeens aan de knop draaien.
[0:54:04] Dat moet je gewoon aan de voorkant doen.
[0:54:07] Door van tevoren te kijken, hoe gaan we ons risico spreiden over meerdere leveranciers.
[0:54:10] Dus ik ga deels met u mee.
[0:54:14] Ja, nog één aanvulling van mevrouw Terborg.
[0:54:18] De strategie bij een exit-strategie is eigenlijk dat je flexibel moet kunnen zijn.
[0:54:22] En dat je aan de voorkant van hoe je het contract ingaat daar de goede afspraken over maakt.
[0:54:26] Op het moment dat je dat in je huidige contract weet in te regelen... moet je ook nog het alternatief beschikbaar hebben dat als er een keer zo'n issue is... dat je ergens anders heen kan gaan.
[0:54:35] En juist die alternatieven moeten we wat meer op gang proberen te krijgen met elkaar.
[0:54:39] En dan wordt het interessant dat de leverancier bij bijvoorbeeld departement X... de exitstrategie voor departement Y kan zijn.
[0:54:46] En zo kan je het ook weer gaan uitwisselen.
[0:54:48] Maar dan moeten die alternatieven er dus wel meer gaan komen.
[0:54:51] En dan moeten in die contracten aan de voorkant afspraken gemaakt zijn... over hoe zorg je dat je ook weer uit kan stappen met elkaar.
[0:54:58] Dus het uitgangspunt is daarin eigenlijk flexibel zijn met elkaar.
[0:55:05] met alle afspraken.
[0:55:09] Ja, nog een laatste aanvulling van de heer Belna.
[0:55:11] Ja, kleine aanvulling.
[0:55:12] SLM heeft natuurlijk al sinds 2021 gewerkt aan naast Microsoft ook twee andere partijen, weliswaar grote Amerikanen, in positie te brengen voor compliant gebruik binnen het Rijksoverheid.
[0:55:24] We kijken nu naar de Europese aanbieders.
[0:55:27] Ik denk niet dat een exit een doel op zich is.
[0:55:30] Er moet een reden zijn dat je weggaat.
[0:55:31] En bij contractafloop ga je natuurlijk ook opnieuw aanbesteden.
[0:55:34] En dan kan ook een andere partij uitkomen.
[0:55:37] En ik zie meer in wat er nu staat even laten staan.
[0:55:41] En nieuwe gang naar de cloud.
[0:55:43] Daar bewust te zijn.
[0:55:44] En dan kijken naar een concentratie.
[0:55:46] Is het nu verstandig om dit ook nog bij die leverancier te zetten?
[0:55:49] Of zullen we nou eens...
[0:55:50] gaan zorgen dat deze workload, zoals dat zo mooi heet, ergens anders terechtkomt.
[0:55:55] Ik denk dat daar winst zit om dat landschap snel gespreid te krijgen.
[0:55:59] En dan hebben partijen ook wat meer tijd om echt een exit-strategie te ontwikkelen... en klaar te zijn en te kijken van wie kan mijn proces dan ondersteunen.
[0:56:06] Want dat is wel een essentiële natuurlijk.
[0:56:11] Goed, dank.
[0:56:13] Dan zijn we aan het einde gekomen van deze technische briefing.
[0:56:16] En dan wil ik de heren De Blauw, Jochem, Roosboom, Emmernaar en mevrouw Terborg hartelijk danken voor hun inbreng.
[0:56:23] Voor de toelichting, maar ook de beantwoording van de vragen.
[0:56:26] En ook de Kamerleden wil ik hartelijk danken voor hun vragen.
[0:56:30] En dan sluit ik hierbij deze vergadering.
[0:56:33] Dank.