Kamervragen: veilige opslag van data door de overheid?

Met dank overgenomen van B.Ch. (Bart) de Liefde i, gepubliceerd op vrijdag 30 mei 2014, 3:54.
Cloud-beveiliging
Bron: Blog Bart de Liefde

Afgelopen week heb ik samen met Perjan Moors; Klaas Dijkhoff en Pieter Litjens vragen gesteld over de opslag van vertrouwelijke data door overheidsorganisaties. Waar worden deze data opgeslagen en hoe veilig is dit? Hieronder een artikel dat op 28 mei 2014 op webwereld is gepubliceerd en natuurlijk de door ons gestelde Kamervragen.

Artikel www.webwereld.nl

VVD: overheidsdata niet bij buitenlandse bedrijven

28 mei 2014 door Andreas Udo de HaesGoogle+

Nieuws - Plasterk moet datagraaien van NSA voorkomen en gevoelige data in eigen land houden.

Nederlandse overheden en semi-overheden moeten gevoelige data alleen nog maar laten verwerken en opslaan door Nederlandse bedrijven in Nederlandse datacenters, vindt de VVD. De partij wil duidelijk hebben welke overheden nu gebruik maken van ict-diensten waar buitenlandse veiligheidsdiensten zich toegang tot kunnen verschaffen. Hoe zit het met buitenlandse datagraaien zoals door de NSA? Is de KPN-cloud hier kwetsbaar voor door bijvoorbeeld het Amerikaanse dochterbedrijf iBasis? Lees: De pijnpunten van KPN's volledig Nederlandse cloud.

Verbod op Office 365?

De VVD zwengelt het debat over dataveiligheid in de cloud weer aan met Kamervragen aan minister Plasterk. Als voorbeeld haalt de VVD Microsoft Office 365 aan, waarvan de minister moet melden of overheden hiervan gebruik maken. Deze data worden immers opgeslagen in de Microsoft-cloud, en daar kan de NSA bij, ook al staan die data buiten de VS.

KPN biedt sinds een tijd een "puur Nederlandse" cloud. Hier worden wel Microsoft serversoftware op gehost, maar geen volledige versie van Office 365.

Kamerbrede motie

Het is echter onduidelijk of de eis van opslag door Nederlandse bedrijven binnen de landsgrenzen wel kan volgens de aanbestedingsregels. Om die reden zien de collega's van D66 meer heil in een Europese oplossing. "Beperking tot Nederland is te karig", aldus de woordvoerster van D66 in een reactie.

In november nam de Kamer al een motie van PvdA en VVD aan die de regering opriep om "privacygevoelige gegevens van onze burgers uitsluitend op servers op te slaan die onder de Nederlandse wetgeving vallen, om weglekken naar buitenlandse partijen of naar commerciële partijen te voorkomen."

Kamervragen

Vragen van de leden De Liefde, Moors, Dijkhoff en Litjens (allen VVD) aan de minister van Binnenlandse Zaken en Koninkrijksrelaties over de opslag van vertrouwelijke data door overheidsorganisaties en semi-publieke instellingen.

  • Acht u het wenselijk dat buitenlandse inlichtingen- en veiligheidsdiensten vertrouwelijke data van de Nederlandse overheid kunnen inzien? Zo nee, welke stappen gaat u ondernemen om alle vertrouwelijke data van overheidsorganisaties en semi-publieke instellingen binnen Nederland te houden of anderszins te waarborgen dat buitenlandse veiligheidsdiensten zich geen toegang kunnen verschaffen tot deze vertrouwelijke data?
  • Hoe wordt de veiligheid van vertrouwelijke data die de overheid bewaart en bewerkt gewaarborgd? Waar worden deze data fysiek opgeslagen? Worden vertrouwelijke Nederlandse data ook opgeslagen bij (dochters van) buitenlandse bedrijven en instellingen? Zo ja, welke zijn dat? Maken overheidsorganisaties en semi-publieke instellingen uitsluitend gebruik van datacenters op Nederlands grondgebied en van Nederlandse bedrijven? Zo nee, waarom niet?
  • Zijn er standaardprocedures voor het kiezen van een dataopslaglocatie en -aanbieder, bijvoorbeeld in Nederland, Europa dan wel ergens anders in de wereld, voor het bewaren van vertrouwelijke data door overheidsorganisaties en semi-publieke instellingen?
  • Kan de minister een overzicht sturen in welke landen, en indien mogelijk bij welke organisaties, de vertrouwelijke data van alle ministeries, provincies, gemeenten en de semi-publieke instellingen wordt opgeslagen?
  • Kunt u uitsluiten dat vertrouwelijke data van overheidsorganisaties en/of semi-publieke instellingen in datacenters buiten Nederland of in eigendom van niet-Nederlandse bedrijven zijn opgeslagen? Zo ja, hoe dan? Zo nee, bent u bereid zich in te zetten dat op zo kort mogelijke termijn alle vertrouwelijke data in beheer bij overheidsorganisaties en semi-publieke instellingen enkel nog in datacenters binnen Nederland en van Nederlandse bedrijven en instellingen worden bewaard en beheerd? Zo nee, waarom niet? Zo ja, per wanneer kunt u dit bewerkstelligen?
  • Hoe wordt de veiligheid van vertrouwelijke data in het bezit van de overheid op het gebied van de gebruikte software gewaarborgd? Kunt u aangeven hoeveel overheidsorganisaties en semi-publieke instellingen bijvoorbeeld gebruik maken van Microsoft 365? Bent u er van op de hoogte dat vertrouwelijke data die in Microsoft 365 gegenereerd, bewerkt dan wel beheerd worden, in de Microsoft Cloud worden opgeslagen en dat bijvoorbeeld de NSA deze data desgevraagd kan inzien?
  • Speelt bij de overwegingen van overheidsorganisaties en semi-publieke instellingen om bepaalde software te gebruiken überhaupt de dataopslaglocatie die deze software gebruikt mee? Zo ja, uit welke documenten blijkt dat? Is hier een strategisch afwegingskader voor of hangt het af van omstandigheden die per situatie kunnen verschillen, zoals bijvoorbeeld kosten?
  • Bent u bereid meer aandacht te gaan besteden aan bewustwording bij lokale overheden en semi-publieke instellingen wat betreft de risico’s die de fysieke opslaglocatie van vertrouwelijke data buiten Nederland met zich meebrengen? Bent u bereid de AIVD om advies te vragen op welke wijze alle Nederlandse overheidsorganisaties hun vertrouwelijke data het beste kunnen opslaan en beheren? Zo ja, op welke termijn kunnen de ministeries, provincies, gemeenten en de semi-publieke instellingen dit AIVD-advies verwachten? Zo nee, waarom niet?