Bindend voor de Rijksoverheid

Dit beleid is bindend voor alle ministeries, hun directoraten-generaal, inspecties en uitvoeringsorganisaties die onder de ministeriële verantwoordelijkheid vallen. Dit omvat de gehele Rijksdienst.

Ministerie van Defensie

Het Ministerie van Defensie valt, gezien zijn specifieke taken, unieke dreigingsbeeld en operationele vereisten, buiten de directe scope van dit beleid, conform de aanpak in het beleid van 2022. Echter, de vrijstelling is niet onvoorwaardelijk. Defensie wordt verplicht een eigen, specifiek cloudbeleid te voeren dat aantoonbaar ten minste gelijkwaardig is aan de principes en beschermingsniveaus zoals vastgelegd in dit Rijksbrede beleid. De concrete invulling van 'gelijkwaardigheid' wordt nader gespecificeerd in een toetsingskader, op te stellen door CIO Rijk in overleg met de CIO van Defensie. Dit kader houdt rekening met de specifieke operationele en beveiligingseisen van Defensie, zoals vastgelegd in de BIO-Defensie. Het Ministerie van Defensie legt hierover jaarlijks verantwoording af aan CIO Rijk, die de gelijkwaardigheid toetst.

Zelfstandige Bestuursorganen (ZBO's)

In navolging van de expliciete aanbeveling van de Algemene Rekenkamer, wordt dit beleid van toepassing verklaard op Zelfstandige Bestuursorganen (ZBO's), tenzij de wet die het ZBO instelt zich hier expliciet en gemotiveerd tegen verzet. De minister onder wiens politieke verantwoordelijkheid het ZBO valt, ziet toe op de naleving van dit beleid door het ZBO.

Medeoverheden

Dit beleid geldt niet direct voor medeoverheden. Echter, het wordt dringend geadviseerd dit beleid te volgen om een consistent beschermingsniveau binnen de gehele Nederlandse overheid te bevorderen. Waar systemen van medeoverheden direct koppelen met de digitale infrastructuur van het Rijk, kan naleving van relevante onderdelen van dit beleid als technische en contractuele koppelvoorwaarde worden gesteld.

Contractering van derden

Waar departementen of ZBO's taken uitbesteden aan of diensten subsidiëren van externe (markt)partijen (bijvoorbeeld in de zorg- of sociale sector) die gevoelige data verwerken, dient naleving van de principes van dit cloudbeleid (met name ten aanzien van soevereiniteit en gegevensbescherming) als voorwaarde te worden opgenomen in de betreffende contracten of subsidievoorwaarden.

Voorafgaand aan elke oriëntatie op, aanbesteding van of contractering voor een clouddienst, is de data-eigenaar binnen het desbetreffende departement verplicht de betreffende data en het ondersteunde proces te classificeren. Deze classificatie geschiedt conform de methodiek en de assen van de Baseline Informatiebeveiliging Overheid (BIO): Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV).

De uitkomst van de dataclassificatie (bijvoorbeeld 'Vertrouwelijkheid: Hoog') is leidend en direct bepalend voor de selectie van toegestane cloud-inzetmodellen, zoals dwingend voorgeschreven in de tabel "Dataclassificatie en toegestane cloudmodellen" (zie Bijlage 1). Elke classificatie moet worden gedocumenteerd, gemotiveerd en vastgelegd in het centrale Rijksbrede Cloudregister (zie Hoofdstuk 4).

Ongeacht de uitkomst van enige risicoanalyse, is de verwerking van de volgende data- en toepassingstypen in een public cloud onder geen enkele voorwaarde toegestaan:

1. Staatsgeheime informatie: Alle data die conform de Wet op de inlichtingen- en veiligheidsdiensten 2017 is gerubriceerd als 'Staatsgeheim Zeer Geheim', 'Staatsgeheim Geheim' of 'Staatsgeheim Confidentieel'.
2. Specifieke justitiële en forensische data: Data die de kern van het forensisch proces en de strafrechtketen raken, waaronder onversleutelde DNA-profielen in de DNA-databank, de centrale opslag van biometrische gegevens (zoals vingerafdrukken) ten behoeve van strafrechtelijke opsporing, en de primaire, onversleutelde opslag van digitaal bewijsmateriaal zoals beheerd door het NFI.
3. Kerngegevens van Basisregistraties: De centrale, authentieke bronnen van de in het stelsel van basisregistraties opgenomen registraties. Randapplicaties, analyse-omgevingen of publieke ontsluitingen van (delen van) deze data kunnen, na een sluitende risicoafweging, wel in aanmerking komen voor andere cloudmodellen.
4. Data betreffende de nationale veiligheid: Data van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD), tenzij deze verwerkt worden binnen een door deze diensten zelf geaccrediteerde en volledig beheerde (soevereine) cloudomgeving.

Voor de verwerking van data met de classificatie bijzondere persoonsgegevens (in de zin van artikel 9 AVG) of data met de rubricering 'Departementaal Vertrouwelijk' in een public cloud, geldt een strikt 'nee, tenzij'-regime. Toestemming is enkel en alleen mogelijk na een expliciet en positief besluit van de ministerraad. Dit besluit wordt gebaseerd op een sluitende en door CIO Rijk goedgekeurde risicoanalyse (DPIA/TIA) waaruit blijkt dat de risico's volledig zijn gemitigeerd, én een zwaarwegende en gedocumenteerde maatschappelijke noodzaak die de inzet van een public cloud onvermijdelijk maakt. Dit scherpt de voorwaardelijke regel uit het 2022-beleid significant aan.

Voor elk materieel cloudgebruik is een volledige, actuele en goedgekeurde risicoafweging verplicht. Deze risicoafweging bestaat integraal uit de volgende, onlosmakelijk met elkaar verbonden componenten:

1. Een Gegevensbeschermingseffectbeoordeling (DPIA), conform de vereisten van artikel 35 van de AVG.
2. Een Data Transfer Impact Assessment (TIA), indien data (inclusief metadata of supportdata) potentieel wordt doorgegeven naar, of toegankelijk is vanuit een land buiten de EER.

De huidige praktijk van uiteenlopende en soms kwalitatief onvoldoende departementale analyses wordt beëindigd. CIO Rijk stelt een verplichte, uniforme methodiek en een set van dwingende templates vast voor het uitvoeren van de DPIA en TIA. Deze methodiek is gebaseerd op de richtlijnen van de Autoriteit Persoonsgegevens en de European Data Protection Board (EDPB).

De TIA moet expliciet en diepgaand de risico's van extraterritoriale wetgeving (o.a. CLOUD Act, FISA) analyseren. De analyse mag zich niet beperken tot contractuele beloftes van de leverancier, maar moet een realistische inschatting maken van de kans en impact van een inzageverzoek door een buitenlandse overheid. De analyse moet concluderen dat de combinatie van contractuele, technische (bv. end-to-end encryptie, double key encryption) en organisatorische maatregelen een wezenlijk gelijkwaardig beschermingsniveau biedt als binnen de EU. Hierbij moet worden erkend dat technische oplossingen zoals de Microsoft EU Data Boundary, hoewel risicoverminderend, dit fundamentele juridische risico niet volledig kunnen mitigeren of wegnemen. Voor data met de classificatie 'Departementaal Vertrouwelijk' of hoger is een cruciale technische maatregel dat de gebruikte encryptie wordt uitgevoerd met sleutels die exclusief door de Rijksoverheid (of een door haar aangewezen, volledig soevereine Europese partij) worden beheerd en te allen tijde ontoegankelijk zijn voor de cloudprovider.

De DPIA/TIA wordt uitgevoerd onder verantwoordelijkheid van de data-eigenaar. Het concept wordt ter toetsing voorgelegd aan de departementale CISO en Functionaris Gegevensbescherming (FG). De finale versie wordt voor goedkeuring voorgelegd aan de departementale CIO en vervolgens geregistreerd bij CIO Rijk. De uiteindelijke acceptatie van eventuele restrisico's ligt bij de verantwoordelijke minister en moet expliciet worden gedocumenteerd.

Elk contract voor een clouddienst, afgesloten door of namens een onderdeel van de Rijksoverheid, moet voldoen aan een set van Rijksbrede standaardvoorwaarden voor clouddiensten. Deze voorwaarden worden opgesteld en beheerd door Strategisch Leveranciersmanagement (SLM) Rijk (zie Hoofdstuk 4) en omvatten ten minste de volgende elementen:

1. Right to Audit: Een onvoorwaardelijk en effectief contractueel recht voor de Rijksoverheid, of een door haar aangewezen onafhankelijke derde, om de naleving van alle beveiligings-, privacy- en contractuele afspraken te auditen. Dit omvat zowel fysieke locaties als de softwarematige en organisatorische inrichting.
2. Transparantie in de toeleveringsketen: Een verplichting voor de leverancier om volledige transparantie te bieden over de gehele keten van (sub)verwerkers, inclusief hun bedrijfsnamen, taken en geografische vestigingslocaties. Wijzigingen in deze keten vereisen voorafgaande schriftelijke goedkeuring van de Rijksoverheid.
3. Gegarandeerde datalocatie: Een contractuele garantie over de fysieke opslag- en verwerkingslocaties van alle klantdata, inclusief back-ups, diagnostische data en metadata. Afwijkingen hiervan zijn enkel toegestaan na expliciete, voorafgaande toestemming.
4. Aansprakelijkheid en vrijwaring: Duidelijke en afdoende aansprakelijkheidsclausules die de leverancier verantwoordelijk stellen voor schade als gevolg van datalekken, non-compliance met de AVG, of andere contractbreuken, inclusief een vrijwaring voor boetes opgelegd door toezichthouders.
5. AVG-conformiteit: Een sluitende verwerkersovereenkomst (Data Processing Addendum, DPA) die volledig voldoet aan alle vereisten van Artikel 28 van de AVG.
6. Rapportageverplichtingen: Een proactieve verplichting voor de leverancier om onverwijld te rapporteren over beveiligingsincidenten, en periodiek over de resultaten van externe audits (bv. SOC2, ISO 27001) en, voor zover wettelijk toegestaan, over het aantal en de aard van ontvangen verzoeken van buitenlandse overheden.
7. Exitbepalingen: Robuuste clausules die de uitvoerbaarheid van de exitstrategie (zie Artikel 2.5) garanderen.

De eis uit het 2022-beleid voor een exitstrategie wordt aangescherpt. Een exitstrategie is niet langer slechts een contractuele clausule, maar een concreet, gedocumenteerd en periodiek getest plan dat de reversibiliteit van de dienst garandeert. Voor elke materiële clouddienst moet een dergelijke strategie worden opgesteld en onderhouden.

De uitvoerbare exitstrategie omvat ten minste de volgende componenten:

• Technisch plan:
  • Gedetailleerde afspraken over de dataformaten waarin data wordt geëxporteerd, met een sterke voorkeur voor open, gestandaardiseerde formaten.
  • Beschrijving van de beschikbare API's of andere technische middelen voor een volledige en efficiënte data-export.
  • Een analyse van de technische afhankelijkheden van platform-specifieke functionaliteiten en een plan om deze te mitigeren of te vervangen bij een migratie.
• Contractueel plan:
  • Vastlegging dat er geen onredelijke beëindigingsboetes of excessieve data-exportkosten (egress fees) in rekening worden gebracht.
  • Duidelijke afspraken over de termijn (bv. 90 dagen) waarbinnen de leverancier volledige medewerking verleent aan de dataoverdracht.
  • Een onherroepelijke verplichting voor de leverancier tot de gecertificeerde en aantoonbare vernietiging van alle data (inclusief alle kopieën en back-ups) na de beëindiging van de overeenkomst.
• Organisatorisch plan:
  • Een intern draaiboek met een duidelijke verdeling van rollen, taken en verantwoordelijkheden voor het uitvoeren van een migratie.
  • Een inschatting van de benodigde tijd, middelen en expertise voor een transitie naar een vooraf geïdenticeerd alternatief (of terug naar on-premise).

De haalbaarheid van de exitstrategie voor materieel cloudgebruik moet periodiek, en ten minste eens per twee jaar, praktisch worden getoetst. Deze toets kan variëren van een 'tabletop' oefening tot een daadwerkelijke test-export van een representatieve dataset. De resultaten van de toets worden gedocumenteerd. Een test wordt als succesvol beschouwd indien deze voldoet aan vooraf gedefinieerde, meetbare criteria, waaronder ten minste:

• Maximale migratietijd: De totale tijd die nodig is voor de migratie mag een vooraf vastgestelde drempel niet overschrijden.
• Datavolledigheid: Een vooraf vastgesteld percentage (bv. 99,9%) van de data moet succesvol en integer worden overgedragen.
• Functionaliteit na migratie: De kernfunctionaliteiten van de applicatie of dienst moeten na migratie naar de alternatieve omgeving aantoonbaar werken.

De inkoop en het gebruik van AI-functionaliteiten die als onderdeel van een clouddienst (bv. IaaS, PaaS, SaaS) worden aangeboden, vallen integraal onder zowel dit cloudbeleid als de vigerende Europese AI-Verordening.

Het is de Rijksoverheid verboden om clouddiensten te gebruiken die AI-praktijken aanbieden die onder de AI-Verordening als 'onaanvaardbaar risico' worden geclassificeerd. Dit omvat, maar is niet beperkt tot, systemen voor 'social scoring' door overheden, systemen die gebruikmaken van manipulatieve subliminale technieken, en bepaalde vormen van biometrische identificatie op afstand in de openbare ruimte. Deze verbodsbepalingen treden in werking conform de tijdlijn van de AI-Verordening (vanaf februari 2025).

Voor de inzet van clouddiensten die 'hoog-risico AI-systemen' bevatten, zoals gedefinieerd in Bijlage III van de AI-Verordening (bv. in de context van rechtshandhaving, migratie, of de toegang tot essentiële publieke diensten), gelden strenge aanvullende eisen. De leverancier moet een conformiteitsbeoordeling hebben uitgevoerd en het systeem moet geregistreerd zijn in de daarvoor bestemde EU-databank. De verplichte risicoanalyse (DPIA) van het departement moet expliciet en diepgaand de AI-specifieke risico's adresseren, waaronder de risico's op bias en discriminatie, de kwaliteit van de trainingsdata, en de uitlegbaarheid en transparantie van de model-output.

Bij de inzet van generatieve AI-diensten (bv. 'Copilot'-achtige functionaliteiten) in de cloud, moet het departement zorgen voor maximale transparantie richting gebruikers. Dit omvat duidelijkheid over het feit dat men interacteert met een AI-systeem, de bronnen waarop de output is gebaseerd, de werking van eventuele filters, en de inherente mogelijkheid dat de output feitelijk onjuist, onvolledig of verouderd kan zijn. Er moet een beleid zijn voor het omgaan met en het gebruik van de output van dergelijke systemen in officiële documenten.

Bij de inzet van AI-systemen in de cloud, met name bij het trainen van modellen, moeten specifieke maatregelen worden getroffen om persoonsgegevens te beschermen. Conform de principes van de AVG, zoals dataminimalisatie, moet alle data die wordt gebruikt voor training of 'fine-tuning' van AI-modellen waar mogelijk worden geanonimiseerd of op zijn minst gepseudonimiseerd. Departementen moeten tevens aantoonbare technische en organisatorische maatregelen implementeren om datalekken via de AI-toepassing zelf (bv. via 'prompt injection' of het onbedoeld onthullen van trainingsdata in de output) te voorkomen.

De Rijksoverheid committeert zich aan het versterken van de Europese digitale autonomie en het actief verminderen van strategische afhankelijkheden. De standaardstrategie voor de inrichting van de Rijksbrede IT-infrastructuur is 'Multi-Cloud en Hybride-Cloud by Default'. Dit houdt in dat het afnemen van diensten bij één enkele (public) cloudprovider wordt ontmoedigd. Het doel is een divers en veerkrachtig ecosysteem van leveranciers, waarbij gebruik wordt gemaakt van een mix van eigen datacenters, soevereine private clouds en, waar verantwoord, public clouddiensten van verschillende aanbieders.

Bij elke nieuwe aanbesteding voor een materiële clouddienst moet aantoonbaar en serieus worden onderzocht of er levensvatbare Europese of Nederlandse (soevereine) alternatieven beschikbaar zijn. Een keuze voor een niet-soevereine aanbieder, terwijl een soeverein alternatief bestaat dat aan de functionele eisen voldoet, vereist een expliciete en zwaarwegende motivering die wordt opgenomen in de risicoacceptatie door de minister.

Het Rijk volgt de ontwikkelingen van het Europese initiatief GAIA-X actief en neemt deel aan de Nederlandse hub. GAIA-X wordt primair gezien als een belangrijk initiatief voor het ontwikkelen van een federatief stelsel van regels, standaarden en architectuurprincipes voor interoperabiliteit en het creëren van dataruimtes ('data spaces'). Gezien de kritiek op de trage voortgang en het gebrek aan concrete, marktconforme IaaS/PaaS-diensten, wordt GAIA-X op dit moment niet beschouwd als een kant-en-klare vervanging voor bestaande cloudproviders. De door GAIA-X ontwikkelde labels en certificeringsschema's zullen, indien deze volwassen en geaccepteerd zijn door de markt, worden geïntegreerd in het Rijksbrede inkoop- en toetsingskader als een middel om soevereine en interoperabele diensten te identificeren.

In uitzonderlijke en acute situaties, waarin de continuïteit van een kritiek proces (zoals grootschalig forensisch onderzoek of crisismanagement van vitale infrastructuur) een tijdelijke, onvoorziene schaalbaarheid vereist die niet direct binnen de beschikbare soevereine cloudomgevingen kan worden opgevangen, kan onder strikte voorwaarden gebruik worden gemaakt van public cloud-capaciteit. Dit is enkel toegestaan na een vooraf goedgekeurd protocol per departement, opgesteld in overleg met CIO Rijk. Dit protocol beschrijft de specifieke crisisscenario's, de maximale duur van het gebruik, de te nemen minimale beveiligingsmaatregelen (zoals data-anonimisering en encryptie met eigen sleutelbeheer) en een versnelde risicoafweging en goedkeuringsprocedure.

In lijn met de kernaanbeveling van de Algemene Rekenkamer, wordt de rol van de Chief Information Officer (CIO) Rijk significant versterkt. CIO Rijk krijgt het expliciete en dwingende mandaat om de uniforme implementatie van en naleving van dit beleid te monitoren en te handhaven. Het voorheen vrijblijvende karakter van de sturing wordt hiermee beëindigd.

De CIO Rijk beschikt over de volgende bevoegdheden:

1. Beheer Rijksbreed cloudregister: CIO Rijk richt een verplicht, Rijksbreed register in en beheert dit. Departementen zijn verplicht om al het materieel cloudgebruik hierin te registreren, inclusief de bijbehorende dataclassificaties, de goedgekeurde risicoafwegingen (DPIA/TIA), en de status van de exitstrategie. Dit register vormt de basis voor Rijksbreed overzicht en toezicht.
2. Bindend toetsingsrecht: CIO Rijk heeft het recht en de plicht om departementale risicoafwegingen (DPIA/TIA) en de daarbij horende transitie- en implementatieplannen voor materieel cloudgebruik te toetsen aan de kaders van dit beleid. Bij geconstateerde non-compliance of onaanvaardbare Rijksbrede risico's, brengt CIO Rijk een bindend negatief advies uit aan de betreffende minister, met een afschrift aan de ministerraad.
3. Jaarlijkse rapportage: CIO Rijk rapporteert jaarlijks, via de Minister van Binnenlandse Zaken en Koninkrijksrelaties, aan de ministerraad en de Tweede Kamer over de staat van het cloudgebruik binnen het Rijk, de geïdenticeerde risico's, de mate van naleving van het beleid, en de voortgang op het gebied van digitale soevereiniteit.
4. Inrichten versneld goedkeuringsproces: Om onnodige bureaucratie te voorkomen en innovatie niet te vertragen, richt CIO Rijk een versneld en vereenvoudigd goedkeuringsproces in voor clouddiensten die aantoonbaar een laag risico vormen. Dit geldt bijvoorbeeld voor diensten die uitsluitend 'Open Data' verwerken (classificatie 'Laag' op alle BIV-assen) en geen strategische afhankelijkheden creëren.

De versterking van het mandaat van CIO Rijk vereist een adequate toewijzing van personele en financiële middelen om de toegenomen toezichts-, toetsings- en ondersteuningstaken effectief uit te kunnen voeren en te voorkomen dat deze rol een administratieve bottleneck wordt. De benodigde capaciteit zal worden vastgesteld en geborgd in de begroting van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

De minister blijft, conform de ministeriële verantwoordelijkheid, eindverantwoordelijk voor de keuzes, de bedrijfsvoering en de risico's binnen zijn of haar departement. Deze verantwoordelijkheid moet echter worden uitgeoefend binnen de dwingende kaders van dit Rijksbrede beleid. Afwijken van dit beleid is niet toegestaan.

De departementale Chief Information Officer (CIO) is binnen het departement de eerstverantwoordelijke voor de correcte en volledige toepassing van dit beleid. De CIO, in samenwerking met de Chief Information Security Officer (CISO), zorgt voor het (laten) uitvoeren van de verplichte dataclassificaties en risicoafwegingen, de implementatie van de vereiste maatregelen, en de tijdige en volledige rapportage aan CIO Rijk ten behoeve van het Rijksbrede Cloudregister.

Strategisch Leveranciersmanagement (SLM) Rijk wordt de centrale entiteit voor de inkoop en het contractbeheer van alle Rijksbrede of strategisch belangrijke clouddiensten. Dit betreft in ieder geval de diensten van de grote hyperscale providers (zoals Microsoft, Amazon Web Services, Google).

SLM Rijk heeft de volgende taken en verantwoordelijkheden:

1. Centrale contractonderhandelingen: Het voeren van centrale contractonderhandelingen namens de gehele Rijksoverheid om de beste voorwaarden te bedingen en de onderhandelingsmacht te maximaliseren.
2. Beheer standaardvoorwaarden: Het opstellen, onderhouden en periodiek actualiseren van de Rijksbrede standaardvoorwaarden voor clouddiensten (zoals beschreven in Artikel 2.4).
3. Coördinatie van audits: Het coördineren en (laten) uitvoeren van leveranciersaudits om de naleving van contractuele afspraken te verifiëren.
4. Kenniscentrum: Functioneren als centraal kennis- en expertisecentrum voor departementen op het gebied van cloudcontractering en leveranciersmanagement.

Evenals voor CIO Rijk, geldt voor SLM Rijk dat de centrale rol een adequate toewijzing van specialistische juridische, technische en commerciële expertise vereist om de toename in contractonderhandelingen en leveranciersmanagement effectief op te vangen.

De wettelijke en onafhankelijke toezichthoudende rollen van de volgende instanties op de uitvoering van dit beleid worden formeel erkend en proactief gefaciliteerd:

• De Algemene Rekenkamer (ARK): Toetst de rechtmatigheid en doelmatigheid van het cloudgebruik en het gevoerde beleid.
• De Auditdienst Rijk (ADR): Voert als onderdeel van de interne auditfunctie van het Rijk onderzoeken uit naar de opzet, het bestaan en de werking van de beheersmaatregelen rondom cloudgebruik.
• De Autoriteit Persoonsgegevens (AP): Ziet toe op de naleving van de Algemene verordening gegevensbescherming (AVG) bij de verwerking van persoonsgegevens in clouddiensten.

De invoering van dit beleid geschiedt gefaseerd om een zorgvuldige en beheerste transitie te waarborgen. De concrete mijlpalen en deadlines zijn vastgelegd in de "Implementatie Tijdlijn" (zie Bijlage 3). Na de vaststelling van dit beleid door de Tweede Kamer, krijgen departementen een vastgestelde termijn om een volledige en gevalideerde inventarisatie van hun huidige (materiële) cloudgebruik te voltooien. Op basis van deze inventarisatie stelt elk departement een transitieplan op, waarin wordt beschreven hoe en binnen welke termijn de bestaande situatie in lijn wordt gebracht met de nieuwe beleidsregels. Deze transitieplannen dienen een duidelijke prioritering te bevatten, gebaseerd op risico. Departementen worden geacht de systemen met de hoogste risico's (bv. verwerking van bijzondere persoonsgegevens in non-compliant omgevingen) als eerste aan te pakken, om zo de implementatielast te faseren en de grootste risico's het snelst te mitigeren. Deze plannen worden ter goedkeuring voorgelegd aan CIO Rijk.

Om de implementatie te bespoedigen en te voorkomen dat de transitie vertraging oploopt door budgettaire of personele beperkingen, wordt een centraal ondersteuningsmechanisme ingericht. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties zal, in overleg met CIO Rijk, een kader opstellen voor het verstrekken van gerichte financiële en/of technische ondersteuning aan departementen. Dit kader richt zich specifiek op de migratie van non-compliant diensten naar goedgekeurde, soevereine alternatieven en houdt rekening met de aanzienlijke kosten die gemoeid kunnen zijn met de aanpassing van legacy-systemen en de financiële consequenties van het eventueel voortijdig beëindigen van bestaande cloudcontracten. De budgettaire impact van dit beleid, inclusief de kosten voor de versterking van CIO Rijk en SLM Rijk, de transitiekosten voor departementen en de financiering van het Cloud Competence Center, zal in een separate financiële paragraaf nader worden uitgewerkt en aan de Kamer worden voorgelegd.

De implementatie volgt een gestructureerde aanpak. Kernprincipes zijn duidelijke doelstellingen, stakeholderbetrokkenheid, risicomanagement en gefaseerde uitvoering met heldere mijlpalen.

Om de departementen te ondersteunen en te voorkomen dat elk departement het wiel opnieuw moet uitvinden, is CIO Rijk verplicht om binnen 6 maanden na vaststelling van dit beleid een samenhangende set van ondersteunende instrumenten en handreikingen op te leveren en deze periodiek te actualiseren. Dit instrumentarium omvat ten minste:

1. De verplichte, uniforme templates voor de DPIA en TIA (conform Artikel 2.3).
2. Een praktische handreiking voor het uitvoeren van de dataclassificatie conform de BIO (conform Artikel 2.1).
3. Een gedetailleerde handreiking voor het opstellen en testen van een uitvoerbare exitstrategie (conform Artikel 2.5).
4. Een kennisbank met geanonimiseerde 'best practices', voorbeelden van risicoanalyses voor generieke diensten en geleerde lessen.
5. Een verplicht, periodiek te herhalen trainings- en bewustwordingsprogramma voor departementale CIO's, CISO's, Functionarissen Gegevensbescherming en relevant inkooppersoneel. Dit programma richt zich op de correcte toepassing van dit beleid, de uniforme risicoanalysemethodiek, contractmanagement en de laatste technologische en juridische ontwikkelingen.
6. Praktische handreikingen voor de verantwoorde inzet van AI in de cloud, met concrete voorbeelden en kaders voor het uitvoeren van bias-checks, het valideren van modellen en het documenteren van trainingsdata en -processen, in lijn met de AI-Verordening.
7. De oprichting van een Rijksbreed Cloud Competence Center, ondergebracht bij CIO Rijk en SLM Rijk, dat departementen en ZBO's voorziet van actieve, hands-on ondersteuning bij het uitvoeren van DPIA's, TIA's, het opstellen van exitstrategieën en het voeren van complexe contractonderhandelingen.

Dit beleid is geen statisch document. De technologische, juridische en geopolitieke realiteit verandert snel. Daarom wordt dit beleid standaard tweejaarlijks integraal geëvalueerd onder leiding van CIO Rijk. De resultaten van deze evaluatie, inclusief een voorstel voor eventuele actualisatie, worden voorgelegd aan de ministerraad en de Tweede Kamer.

Een tussentijdse herziening van (delen van) dit beleid kan worden geïnitieerd indien daartoe een dringende aanleiding bestaat. Dergelijke aanleidingen zijn bijvoorbeeld:

• Significante wijzigingen in het technologische landschap (bv. de doorbraak van een nieuwe technologie met grote impact).
• Ingrijpende veranderingen in de geopolitieke situatie die het dreigingsbeeld voor de Rijksoverheid beïnvloeden.
• Nieuwe, relevante (Europese) wet- en regelgeving of richtinggevende rechterlijke uitspraken.