Q&A SLM Microsoft, Google Cloud en Amazon Web Services

'Head in de cloud, feet on the ground!'

Hoe maakt SLM afspraken met Microsoft, Google en Amazon over de levering van online diensten aan de Rijksoverheid en hoe zorgt SLM ervoor dat deze actueel blijven en dat ze ook daadwerkelijk nagekomen worden? In dit artikel beantwoorden we de meest gestelde vragen.

Wat is het doel van SLM?

SLM streeft ernaar om de hybride en multicloud-strategie die het Rijk nastreeft mogelijk te maken. Deze vormen van cloudcomputing geven overheidsinstellingen de keuze over hoe zij hun cloudomgeving vorm willen geven en met welke hyperscalers zij dit willen doen. SLM beheert en onderhoudt daarvoor de contracten en relaties met Microsoft, Google en Amazon.

Hoe doet SLM dit? 

SLM maakt een level playing field voor alle hyperscalers. Dit betekent dat de voorwaarden voor en van deze partijen vergelijkbaar moeten zijn. Zo kunnen overheidsinstellingen de meeste producten en diensten van deze cloudproviders AVG-compliant inzetten.

Waarom Microsoft, Google en Amazon?

Het gerenommeerde Amerikaanse marktonderzoeksbureau Gartner is voor SLM een belangrijke informatiebron bij het beantwoorden van vragen over ICT en informatievoorziening. Volgens Gartner zijn Microsoft, Google en Amazon leiders in het segment voor cloudcomputing. Deze hyperscalers beschikken over een portfolio dat het mogelijk maakt om veel verschillende vraagstukken op te lossen. Ze zijn bovendien heel goed in productontwikkeling en voegen continu veel functionaliteit toe omdat ze graag een leidende rol willen behouden.

Het ene bedrijfsproces vraagt om een andere functionaliteit van een hyperscaler dan een ander proces. Daarom is het belangrijk dat overheidsinstellingen kunnen kiezen met welke cloudprovider zij willen werken. In een multicloudomgeving kunnen dat zelfs meerdere hyperscalers tegelijk zijn. SLM zorgt dat er een Rijksbreed framework is met Microsoft, Google en Amazon Web Services zodat gebruikers zorgeloos kunnen kiezen op basis van de gewenste functionaliteit en wat een cloudprovider kan toevoegen aan de verbetering van processen.

Hoe onderhoudt SLM de contracten?

SLM hanteert voor het onderhouden van contracten met hyperscalers een ‘continu en circulair controleproces’. Dit proces kent een aantal stappen die elkaar allemaal beïnvloeden.

Wat is het continu en circulair controleproces?

DPIA’s

De eerste stap is het laten uitvoeren van een data protection impact assessment (DPIA). Deze vindt plaats voorafgaand aan de contractonderhandelingen met hyperscalers. Uit een DPIA komen risico’s naar voren waardoor het product misschien niet te gebruiken is zoals wenselijk is voor de Rijksoverheid, bijvoorbeeld doordat het niet aansluit bij wet- en regelgeving. SLM gaat daar vervolgens over in gesprek met de cloudprovider met als doel de risico’s weg te nemen. Hierbij komen noodzakelijke aanpassingen aan bod op technisch vlak en andere zaken en deze worden vastgelegd in nieuwe contractafspraken. 

Audits

Vervolgens laat SLM externe auditors controleren of de cloudprovider zich aan de afspraken houdt. Zo heeft EY vorig jaar in opdracht van SLM een audit uitgevoerd naar de maatregelen van Microsoft met betrekking tot profilering in de periode 1 juli tot en met 30 september 2020. De audit door EY liet zien dat Microsoft de benodigde operationele maatregelen heeft genomen en dat deze voldoende zijn om te voorkomen dat er tegen de afspraken met SLM in geprofileerd wordt.

Wet- en regelgeving

Het werk van SLM vindt plaats in een speelveld van continu veranderende wet- en regelgeving. Dat geldt voor nationale en internationale wetten en regels.

In juni van 2020 zette het Europese Hof van Justitie bijvoorbeeld een streep door het Privacy Shield, het verdrag dat het mogelijk maakte om gegevens te exporteren naar de VS. Bij deze uitspraak bleef wel het gebruik van de standard contractual clauses (SCC’s) overeind. SLM had al SCC’s met Microsoft vastgelegd in de MBSA, de Rijksbrede Microsoft Business and Services Agreement, die geldt voor alle overheidsinstellingen die zich daarbij hebben aangesloten. Deze SCC’s voorkwamen ingrijpende gevolgen van de uitspraak van het Europese Hof voor deze instellingen en vormen nu nog steeds de basis voor de doorgifte van data naar de VS.

Verificatieonderzoeken

Daarnaast laat SLM kleinere, technische verificatieonderzoeken uitvoeren. Anders dan bij een DPIA, die een volledig product onderzoekt, gaat het bij verificatieonderzoeken om functionaliteiten binnen dat product. Bijvoorbeeld de projectplanner binnen Microsoft Office. Deze onderzoeken brengen zaken aan het licht zoals welke gegevens naar welke partij verzonden worden. SLM toetst vervolgens of de bevindingen passen binnen het kader van het contact.

Dit continue en circulaire controleproces blijft in beweging. Zodra een ‘vinkje’ gezet is, verandert weer iets en zal SLM opnieuw (laten) beoordelen hoe dit andere zaken beïnvloedt en of het totaal nog ‘klopt’.

Wat doet SLM nog meer?

Een tweede belangrijke doelstelling van SLM is het bundelen van de inkoopkracht van het Rijk en deze zo goed mogelijk benutten. Zo werd er in 2021 samengewerkt met twaalf partijen wiens contracten met Microsoft min of meer tegelijkertijd vernieuwd moesten worden. Dit leidde tot een nieuwe driejarige overeenkomst voor al deze partijen. Het grote voordeel van een dergelijke gezamenlijke onderhandeling is dat deze heeft geleid tot een commercieel framework waar niet alleen deze twaalf partijen gebruik van maken, naar dat nu tot beschikking staat van de hele Rijksoverheid. Dit laat zien dat er voordelen te behalen zijn als overheidsinstellingen samen optrekken. Dat geeft meer slagkracht bij de grote hyperscalers, ook op commercieel gebied.

Hoe staat het nu met… Microsoft?

SLM heeft in het verleden meerdere DPIA’s laten uitvoeren op onder meer Windows 10 en Microsoft Office. Dat heeft geleid tot aanpassingen van deze producten en nieuwe contractafspraken voor de Rijksoverheid. Overheidsinstellingen kunnen zodoende AVG-compliant gebruik maken van de producten en diensten van Microsoft. Daarmee is de standaard gezet waar SLM ook Google en Amazon aan wil houden.

Een bijkomend voordeel van deze contractafspraken is dat de aanpassingen die Microsoft maakte aan het product meteen wereldwijd van toepassing zijn voor alle zakelijke gebruikers. Zo reikt de invloed van SLM veel verder dan alleen de Rijksoverheid.

Hoe staat het nu met… Google?

SLM heeft een DPIA laten uitvoeren op Google Workspace. Hieruit bleken tien hoge risico’s. Op basis van deze terugkoppeling en de gesprekken hierover met Google in 2020 heeft Google een aantal van deze risico’s weggenomen, maar nog niet allemaal. Daarom heeft SLM voorafgaand aan het gebruik van Google begin 20201 de Autoriteit Persoonsgegevens geraadpleegd. Een reactie hierop heeft SLM in mei 2021 ontvangen.

De AP adviseert overheidsinstellingen om de producten van Google vooralsnog niet te gebruiken tot Google een antwoord heeft op een aantal fundamentele vragen. SLM is direct na het advies van de AP opnieuw in gesprek gegaan met Google om te kijken of het bedrijf de hoge risico’s nu wel weg kan nemen. 

In deze onderhandelingen werkte SLM samen met SURF en SIVON, de ICT-coöperaties voor het onderwijs. In deze sector gebruiken veel instellingen namelijk nu al Google-producten. De impact van de DPIA was voor hen veel groter want zonder overeenkomst met Google over het wegnemen van de hoge risico’s werd hen geadviseerd voor 1 augustus 2021 te stoppen met het gebruik van Google in het onderwijs. Door samen op te trekken is het SLM, SURF en SIVON gelukt afspraken te maken met Google die de risico’s wegnemen zodat de onderwijssector Google Workspace for Education kan blijven gebruiken. Aan een Framework voor de Rijksoverheid wordt nog gewerkt. 

Hoe staat het nu met… Amazon?

Amazon Web Services (AWS) werd als laatste, maar niet als minste, in opdracht van SLM onderworpen aan een DPIA. Gartner benoemt AWS als de marktleider en dat maakt het belangrijk voor SLM om ook met AWS afspraken te maken. SLM start met het vervolg van het traject met AWS als de afspraken met Google zijn afgerond.

En nu?

De wereld is continu in beweging. Het werk is nooit af. Wie vandaag een DPIA of ander onderzoek uitvoert ziet morgen het product alweer wijzigen. Toch is SLM van mening dat er voldoende waarborgen zijn die AVG-compliant gebruik van cloudcomputing mogelijk maakt voor overheidsinstellingen. 

Als je verder wil met een van deze hyperscalers, of meer informatie, neem dan contact op met SLM. Wij helpen je graag op weg naar de cloud, en verder.