Meer informatie over dit onderwerp?
Neem contact op met onze accountmanagers van het overheidsteam.
Meer informatie over dit onderwerp?
Neem contact op met onze accountmanagers van het overheidsteam.
Medio mei 2025 was er in de media consternatie over het ontzeggen van toegang tot de Microsoft e-mail van de hoofdaanklager van het Internationaal Strafhof in Den Haag (ICC) door Microsoft. Het probleem ligt vermoedelijk bij sancties die de Verenigde Staten in februari aan het ICC oplegde, maar hoe en waarom precies is tijdens het schrijven van dit blog nog niet volledig duidelijk,. Wel is het zeker dat de toegang tot Microsoft diensten voor de rest van het ICC niet in gevaar is geweest (1).
Terecht of onterecht, het ontzeggen van toegang tot clouddiensten is iets wat al langer speelt (2), vaak bij privé personen en meestal bij (Amerikaanse) Tech bedrijven zoals Microsoft, Apple, Meta en Google wanneer deze tech-reuzen vinden dat de TOS (Terms of Service) wordt overtreden. Personen gebruiken foto, e-mail- en documenten-opslag binnen de clouddiensten zonder rekening te houden met de mogelijkheid dat je de toegang kan verliezen. Na jaren gebruik kan dit een zeer zwaar verlies zijn van een account waar je vaak zeer moeilijk weer toegang tot kan krijgen nadat je bent afgesloten.
Desalniettemin heeft de recente media-aandacht een mogelijke kwetsbaarheid van Nederlandse (semi) overheden in relatie tot afhankelijkheid van (Amerikaanse) clouddiensten onmiskenbaar blootgelegd. Het publieke en politieke debat werpt een scherp licht op de mogelijke risico’s voor de digitale soevereiniteit wanneer cruciale IT-diensten onder buitenlandse zeggenschap vallen.
Het begrip ‘soevereiniteit’ komt dan ook vaak naar voren in deze discussies en wordt ook uitgebreid besproken in de Tweede Kamer en bijvoorbeeld in het rapport van de algemene rekenkamer “Het Rijk in de Cloud”. Maar wat bedoelen ze nu eigenlijk met dit begrip? De algemene rekenkamer hanteert de volgende definitie: Digitale soevereiniteit is het vermogen om autonoom te kunnen beslissen en handelen over de essentiële digitale aspecten in economie, maatschappij en democratie. (3)De centrale vraag is dan ook: wat kunnen overheidsorganisaties nu concreet doen om deze risico’s te beheersen en hun digitale soevereiniteit te vergroten? En meer specifiek hoe borg je soevereiniteit als je zakelijk gebruik maakt van Microsoft 365?
Voor overheidsdiensten is het essentieel om te starten met een risico analyse wanneer zij gebruikmaken van (Amerikaanse) clouddiensten, want hoewel deze diensten vaak worden gepositioneerd als ‘EU-dataresident’, blijven ze uiteindelijk onder zeggenschap van een Amerikaans moederbedrijf. Dit creëert een reeks risico’s die verder gaan dan alleen de technische beveiliging.
De risico analyse moet ten minste de volgende drie dimensies omvatten:
Wat gebeurt er als de toegang tot kritieke gegevens wordt geblokkeerd? Zijn er alternatieven beschikbaar binnen Europese of soevereine (cloud) omgevingen? Kunnen kernprocessen snel worden overgezet? Het uitvoeren van een realistische risicoanalyse is daarom geen papieren exercitie, maar een noodzaak om bestuurlijke weerbaarheid te versterken.
Een dergelijke risicoanalyse vormt niet alleen de basis voor strategische besluitvorming over cloudgebruik, maar zou ook richtinggevend moeten zijn voor het opstellen van een crisis- en exit strategie.
Heldere en proactieve communicatie richting stakeholders in de organisatie zoals directie, juridische afdeling, informatiebeveiliging en beleidsmakers is dan ook essentieel om draagvlak te creëren voor eventuele wijzigingen in het gebruik van clouddiensten. SoftwareOne adviseert om in kaart te brengen welke kernprocessen afhankelijk zijn van specifieke (Amerikaanse) clouddiensten en om de verwachtingen te managen over de haalbaarheid en impact van plotseling of gedwongen overstappen naar alternatieve diensten.
Diversificatie van leveranciers: Voor overheidsdiensten die sterk leunen op één enkele Cloud aanbieder (zoals Microsoft) is het verstandig om actief te kijken naar diversificatie van leveranciers. Om zo de afhankelijkheid te spreiden of om de continuïteit van cruciale processen beter te waarborgen in geval van storingen, escalaties of beleidswijzigingen bij de aanbieder.
Denk bijvoorbeeld aan het combineren van Microsoft 365 met oplossingen zoals:
De recente ontwikkelingen vormen voor veel organisaties een logisch moment om hun eigen beleid rond digitale infrastructuur en cloudgebruik te herzien. Dit betekent niet alleen toetsen of huidige keuzes nog voldoen aan juridische en operationele eisen, maar ook vooruitkijken: zijn er alternatieven beschikbaar die beter aansluiten bij de strategische waarden van de organisatie, zoals privacy, autonomie en compliance?
Het opnemen van principes als ‘privacy by design’ en ‘sovereign cloud-first’ in het IT-beleid naast de security strategie helpt om bewuster te sturen op veilige en toekomstbestendige keuzes, zonder in te boeten op innovatie of productiviteit.
Het zelf of extra versleutelen van de eigen data is een van de krachtigste middelen die organisaties kunnen inzetten om informatie te beschermen tegen ongewenste toegang van met name buitenlandse overheden. Encryptie vormt daarmee een belangrijke verdedigings-laag tegen mogelijke druk of juridische vorderingen vanuit andere staten, waaronder de VS.
Binnen Microsoft diensten worden gegevens al versleuteld door Microsoft met behulp van Microsoft encryptie sleutels (zogenaamde Microsoft Managed Keys). Voor organisaties die meer controle willen, is het mogelijk om eigen encryptie-sleutels te gebruiken bijvoorbeeld via een Azure Key Vault een aanpak die bekend staat als Bring Your Own Key (BYOK). Dit betekent dat de organisatie zelf het beheer over de sleutels houdt, waardoor Microsoft de encrypties sleutels in principe niet zelfstandig kan gebruiken.
Voor nog meer onafhankelijkheid is er ook een mogelijkheid om de sleutels volledig buiten Microsoft te beheren (Hold Your Own Key, HYOK). Deze aanpak biedt maximale controle, maar vereist wel meer technische kennis en een eigen beveiligde infrastructuur.
Het is belangrijk om te beseffen dat versleuteling weliswaar extra beveiliging biedt, maar niet beschermt tegen situaties waarbij Microsoft zelf besluit om contracten stop te zetten of toegang tot diensten te blokkeren. Encryptie is dus een waardevolle maatregel binnen een breder geheel van risicobeheersing, maar geen volledige oplossing op zichzelf.
Om gevoelige informatie beter te beschermen en de naleving van bestaande wetgeving te waarborgen, is het voor overheidsdiensten steeds belangrijker om bewust om te gaan met waar data wordt opgeslagen en verwerkt. De Algemene Verordening Gegevensbescherming (AVG) stelt al strikte eisen aan de omgang met persoonsgegevens, en met de aankomende NIS2-richtlijn komen daar extra verplichtingen bij voor organisaties die onderdeel uitmaken van de vitale infrastructuur.
De hierboven gedefinieerde aanpak is toegespitst om overheidsorganisaties te bewegen de komende tijd concrete stappen te zetten zonder direct volledig afscheid te nemen van Microsoft 365, maar wel met grip op de situatie en een duidelijk fall-back scenario waarbij het doel is om wendbaarheid en digitale soevereiniteit op-te-bouwen, zonder operationele verstoringen.
SoftwareOne adviseert al jarenlang overheidsdiensten op het snijvlak van technologie, veiligheid en governance waarbij we rekening houden met de geldende wet en -regelgeving en op de hoogte zijn van het actuele beleid. Op korte termijn ziet SoftwareOne vooral een taak weggelegd voor informatiespecialisten binnen de overheid, personen die een beeld hebben of kunnen creëren van waar data zich bevindt en hoe om te gaan met een eventuele calamiteit op het gebied van data.
(1)https://ibestuur.nl/artikel/microsoft-bevestigt-loskoppeling-icc-hoofdaanklager-van-diensten
(2)https://tweakers.net/reviews/9094/account-geblokkeerd-wat-nu.html
Neem contact op met onze accountmanagers van het overheidsteam.
Neem contact op met onze accountmanagers van het overheidsteam.