Interne G-cloud krijgt andere regels

. © .
Pieterjan Van Leemputten

Nu de overheidscloud niet via een externe aanbesteding maar intern wordt gebouwd zijn ook de veiligheidsvoorwaarden anders. Intussen zijn de eerste diensten beschikbaar voor overheidsdiensten.

Het lastenboek voor de zogenaamde G-cloud werd in de vorige legislatuur niet gegund waarop enkele overheidsinstellingen, Fedict, Smals en de FOD Financiën voorop, op eigen initiatief een interne G-cloud opstelden.

Uit een parlementaire vraag van N-VA’er Peter Dedecker aan minister voor digitale agenda De Croo (Open VLD) blijkt dat die interne cloud minder strenge voorwaarden krijgt opgelegd dan in de publieke aanbesteding stond vermeld. Al wil dat niet zeggen dat de lat lager ligt.

Zo is er geen tweede onafhankelijke standby cloudprovider nodig voor disaster recovery. Ook valt de certificatie van het IaaS-platform en de organisatie weg evenals de vraag voor een bijkomende beveiliging met een virtuele netwerklaag. Ook de vereiste om hosting in een datacenter van de provider valt weg, maar dat is eerder logisch omdat de gegevens in de interne G-cloud per definitie niet bij een externe provider staan.

De Croo vult aan dat de eisen in de aanbesteding strenger zijn omdat het om externe partners gaat. Dat is vandaag minder relevant omdat de G-cloud wordt gehost in de datacenters van de overheid waarbij de bestaande veiligheidsregels als norm worden genomen. Wel kan de veiligheidscel van de cloud governance board (bestaande uit cio’s van enkele overheidsdiensten en Smals en Fedict) strengere eisen opleggen waar nodig.

Dedecker is daar niet blij mee. “Net zoals een privaat datacenter de verschillende klanten op elk vlak strikt van elkaar scheidt, moeten we dat ook doen voor de overheidsdiensten om te vermijden dat een lek of inbraak in één dienst zich verspreidt over de gehele overheid. Het gaat hier immers om bijzonder gevoelige informatie, namelijk de persoonsgegevens van alle burgers.” Dedecker is ook geen fan van het feit dat er geen plannen zijn voor externe onafhankelijke audits. Al zijn die indien nodig wel mogelijk.

Geen laksheid

Maar wil dat zeggen dat data in de G-cloud minder veilig is dan bij andere cloudaanbieders of overheidsdatabanken? Waarschijnlijk niet. Zo zijn de regels voor externe partners wel vaker strenger omdat je daar als overheid minder aan te zeggen hebt. Wie morgen met een Belgisch datacenter in zee gaat dat overmorgen wordt overgenomen, wil nog steeds dat zijn data veilig en toegankelijk blijft.

Concreet wil het ontbreken van een back-up provider bijvoorbeeld niet zeggen dat de data van de G-cloud slechts enkelvoudig wordt opgeslagen. Ook de certificatie van het IaaS-platform is van minder belang omdat je er van uit kan gaan dat een door de overheid opgezette cloud voldoet aan de noden van diezelfde overheid. Ook wat scheiding van data tussen verschillende overheidsdiensten betreft vernemen we op de redactie dat dit vandaag al gebeurt.

Bij Smals benadrukt men eveneens dat het niet de bedoeling is om G-cloud laks te behandelen. “We hebben, onder meer met de sociale zekerheid, al meer dan tien jaar ervaring met het beveiligen van persoonsgegevens,” zegt woordvoerder Jan-Frans Lemmens. “We volgen daar de regels en dat zijn de best practices uit de sector. De allusie dat dit minder veilig zou zijn omdat we het intern doen klopt niet.”

Anderhalf jaar geleden leek de G-cloud nog ingevrozen maar intussen is er een eerste aanbod beschikbaar. Zo laat De Croo in zijn antwoord nog weten dat overheidsinstellingen die willen hun bestaande infrastructuur kunnen inruilen voor een virtuele omgeving. waarbij ze de virtuele machines zelf beheren. Ook een SaaS-aanbod is intussen beschikbaar.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content