Auditdienst RijkMinisterie van finandën

Gebruik publieke en private clouddienstenBelastingdienst

-onderzoeksopdtacht -

Colofon

Titel

Uitgebracht aan

Datum

Kenmerk

Gebruik publieke en private clouddiensten Belastingdienst

de Hoofddirecteur Control en Bedrijfsvoering

6 november 2017

2017-0000213392

InhichtingenAuditdienst Rijk070-342 7700

Inhoud

Managementreactie van de Belastingdienst 5

Aanleiding opdracht en centrale hoofdboodschap 6

1 Er worden publieke en private clouddiensten gebruikt 7

2 Actucel en vastgesteld beleid voor gebruik douddiensten ontbreekt 82.1 Onduidelijkheid over wat het vastgestelde beleid is 82.2 Nieuw beleid blijft steken in conceptfase 92.3 Expertgroep cloud heeft opdracht beleid te actualiseren 9

3 Beheersmaatregelen schieten tekort 103.1 Reguliere beheersmaatregelen zijn niet uitgewerkt op het gebruik van

clouddiensten. 103.2 Interne inkoopprocedures worden niet altijd nageleefd 103.3 Geen centrale regie op afspraken met leveranciers van clouddiensten 103.3.1 Onduidelijkheid over elsen aan leveranciers 113.3.2 Contractbeheer onvoldoende ingericht 113.3.3 Weinig garanties over gegevensoverdracht en —vernietiging bij afbouw van de

dienstverlening 11

4 Veranderingen na verschijnen conceptrapport 13

5 Verantwoording onderzoek 145.1 Doelstelling, centrale vraag en onderzoeksvragen 145.2 Werkzaamheden en afbakening 145.3 Gehanteerde Standaard 155.4 Verspreiding rapport 15

6 Ondertekening 16

Bijlage 1: overzicht gebruik pubileke en private clouddiensten 17

Bijlage 2: Gehanteerd referentiekader voor een beheerst gebruik vanclouddiensten 20

4 van 25 Gebrulk pubbeke en pñvate clouddlensten BeIastIngdiens

Managementreactie van de Belastingdienst

“Door diverse interne en externe ontwikkelingen wordt bet steeds gangbaarderom gebruik te maken van een cloud-oplossing en in sommige gevallen is er zelfsgeen keuze. ledereen die bijvoorbeeld gebruik maakt van social media, neemtdie dienst af uit de cloud. Het aantal diensten, dat met behulp vancloudtechnologie wordt geleverd, en bet gebruiksgemak hiervan neemt toe envoor burgers, bednjven en ook de overheid liggen bier enerzijds kansen enanderz,fds risico ‘S.

Het is voor Financiën, de Belastingdienst, van belang cm de kansen teverzllveren en tegeIifkertd — in bet publieke b&ang - de risico’s goed tebeheersen, zeker als bet gaat om bet afnemen van diensten ult de pubilekecloud.

Vanuit die optiek is de Auditdienst Rifk (hierna ADR) gevraagd om eenverkennend onderzoek te doen naar de omvang van bet gebruik vanclouddiensten en de beheersing van de hieraan vetbonden risico ‘s.

De uitkomsten van het onderzoek door de ADR worden door de belasUngdienstherkend vanuit de praktk en het conceptrapport heeft aanleiding gegeven tothet opstellen van een eenduidig vast te stellen cloudbeleid voor deBelastingdienst. Dat beleid is in concept beschikbaar voodaar 2018 en zalgebaseerd zijn op vergehjkbaar beleid bif andere grote uitvoeringsorganisaties.Het cloudbeleid beschr,jft het kader (proces en voorwaarden) waarbinnen deverwerving van clouddiensten plaats kan vinden. De to, van bet inkoopproceswordt hierin expliciet meegenomen.Na vaststelllng van bet beleid wordt bet, in bet cloudbeleid beschreven, kaderopgenomen in bet Handboek Bevelliging Belastingdienst.”

5 van 25 I Gebrulk publieke en private douddlensten Belasbngdlenst

Aanleiding opdracht en centralehoofdboodschap

Binnen de Belastingdienst wordt gebruik gemaakt van publieke en privateclouddiensten. De Hoofddirecteur Control en Bedrijfsvoering van deBelastingdienst is eindverantwoordelijk voor de strategische planning en controlrondom beveiliging (waaronder informatiebeveiliging) binnen de Belastingdiensten heeft o.a. als taak zich een visie te vormen op de betekenis van beveiligingvoor de hele organisatie. Daarnaast stelt zij, samen met de Hoofddirecteur IV,doelen en beleid ter uitvoering vast. Vanuit die verantwoordelijkheden wenst deHoofddirecteur Control en Bedrijfsvoeringmeer zicht te hebben op de omvangvan het gebruik van clouddiensten en de beheersing van de hieraan verbondenrisico’s. Met de uitkomsten van dit onderzoek wil de opdrachtgever zo nodig(aanvullende) maatregelen treffen om de risico’s te mitigeren.

De centrale hoofdboodschap van dit onderzoek luidt: er wordt binnen deBelastingdienst gebruik gemaakt van publieke en private clouddiensten enhiervoor is geen actueel Belastingdienstbreed beleid vastgesteld enbekendgemaakt. Het is tijd om hierop toegesneden beleid te ontwikkelen,dit vast te leggen in het HBB met de mogelijkheid het nader ult te werkenIn richtlijnen en procedures. Daarnaast dienen adequatebeheersmaatregelen getroffen te worden om de risico’s zoals opgeroependoor cloudgebruik te mitigeren.

In de praktijk wordt gebruik gemaakt van publieke en private clouddiensten. Hetgebruik van de betreffende clouddiensten ontstaat binnen de Be)astingdienstvaak wanneer gebruik van de bestaande applicaties als niet toereikend wordtervaren of wanneer een Uienst alleen maar via de cloud beschikbaar is.Het interne ICT-beleid bij de Belastingdienst biedt onvoldoende richting voor debeslissing tot aanschaf en het gebruik van publieke en private clouddiensten. Zois er nog geen toegesneden beleid met passende beheersmaatregelen.Bovendien worden in de praktijk de interne inkoopprocedures als de webestaande beheersmaatregelen, die voor aBe app]icaties gelden, zoals vastgelegdin het Handboek Beveiliging Belastingdienst 2017, niet altijd nagekomen.Door het ontbreken en/of niet nakomen van beheersmaatregelen bij het gebruikvan publieke en private clouddiensten worden risico’s gelopen. DegeInventariseerde clouddiensten worden op dit moment met name gebruikt inondersteunende processen.

6 van 25 I Gebrulk publieke en private clouddiensten Belastingdienst

Er worden publieke en private clouddienstengebruikt

Binnen de Belastingdienst wordt gebruik gemaakt van publieke en privateclouddiensten’. Een inventarisatie via een door de opdrachtgever verspreidevragenhijst, leverde het bedrljfsmatig gebruik (ten behoeve van ondersteunendeprocessen) van wim 20 publieke en private clouddiensten op. Het gebtuik vancentrale datacentra van de Rijksoverheid valt buiten de inventarisatie. 00kapplicaties waarvoor rijksbreed de keuze voor gebruik is gemaakt, zoals MobilityMlxx portal en Digi-inkoop zijn buiten de inventarisatle gelaten. En tot slot valtook het persoonhijk gebruik van clouddiensten (zoals WeTransfer, Whatsapp enDropbox) buiten de scope van het onderzoek. Uitzondering hierop is gemaaktwanneer er sprake is van bedrijfsmatig gebruik van dergelijke diensten.

Bij de inventarisatie Is geen volledigheid nagestreefd. Met andere woorden: erzijn wellicht nog meer clouddiensten waar medewerkers van de Belastingdienstgebruik van maken.

In bijlage 1 zijn de via de vragenhijst geInventariseerde clouddienstenweergegeven. Het betreft voornamelijk clouddiensten t.b.v. ondersteunendeprocessen.

1 Publieke clouddiensten maken gebruik van fysieke hardware die hat eigendom Is van en wordt geexpioiteerddoor externe providers. Private clouddlensten maken gebrulk van can Infrastructuur die specica! soot hatbedrijf wordt ontwikkeid en binnen bet bedriji of in het datacenter van een service provider wordt gehost.

7 van 25 Gebruik pubileke en private clouddlensten Belastingdlenst

2 Actueel en vastgesteld b&eid voot gebruikclouddiensten ontbreekt

Het in het HBB formeel vastgelegde beleid2 is ingehaald door de praktijk: betHBB staat het gebruik van douddiensten niet toe. Beleid voor cloudgebruik worUtgeformuleerd door verschillende organisatleonderdelen van de Belastingdienst enis versnipperd over verschillende documenten. Nieuw te vormen beleid blijftbovendien vaak steken in de conceptfase / wordt niet formeel vastgesteld. Maardeze conceptdocumenten met onduidelijke status circuteren we) in deorganisatie. Het betreft de status per 1 februari 2017.

2.1 Onduidelijkheid over wat het vastgesteWe beleid is

Het Handboek Beveiliging Be!astingdienst staat bet gebrulk van clouddienstenniet toe. De door bet IV-overleg vastgestelde memo ‘Actualisatie sourcingsbeleidIV Belastingdienst’ van 4 september 2013 (vastgesteld door het IV-overleg3,oJ.v. de dO, op 13 september 2013) laat echter we) ruimte voor cloudgebruik.Het gaat dan om tamelijk solitaire diensten die weinig verwevenheid hebben metbestaande systemen. Dit memo van 2013 wordt door meerdere respondentengezien als zijnde het document waarin het actuele beleid is vastgetegd.

Het Handboek Beveiliging Belastingdienst 2017 (HBB) zou de basis moetenvormen van bet actuele beleid t.a.v. cloudgebruik. Het HBB vormt immers debasis voor informatiebeveiliging binnen de Belastingdienst en daarbij ook betstellen van eisen aan (externe) leveranciers van diensten, waarondercloudgebruik. Het handboek vormt de basis voor inrichtingsadviezen doorbeveitigingsmedewerkers en Interne Controle medewerkers (IC-ers) baseren huncontroles mede op dit handboek. Ten aanzien van cloudgebruik stelt het HBB datde Belastingdienst bet rijksbeleid volgt zoals dat is beschreven in deinformatiseringsstrategie Rijk (november 2011) en de daaraan voorafgaandecloudstrategie (april 2011). Het is belastingdienstmedewerkers daarom niettoegestaan om gegevens op te slaan buiten de elgen invloedssfeer van deBelastingdienst.

In de eerder genoemde memo over actualisatie van bet sourcingsbeleid staat dathet atnemen van clouddiensten tot de mogelijkheden behooft, maar dat er “alleengeshopt mag warden in de private cloud van de Belastingdienst of de Rijksoverheid,en dan nog alleen onder strikte condities.” Deze condities hebben met namebetrekking op waarborgen van de beschikbaarheid en vertrouwelijkheid van data diegehost worden in de cloud. Er staat echter ook dat “in het geval van tame!ijksolitaire diensten die weinig verwevenheid hebben met de bestaande systemen,besloten kan warden de hete ‘stack’4 (inctusief exploitatie) van een derde partij tebetrekken.” Hier lijkt een mogelijkheid te zijn toegestaan voor bet gebruik van(publieke of private) clouddiensten, anders dan de private cloud van deBelastingdienst.

2 In bet I-lOB 2017 staat: ‘We slaan zell geen gegevens op bwten onze invloedssfeer. Ten aanzlen vanclouddlensten volgen we bet rijksoverheidsbeleld zoals beschreven In de lnformatlsenngsstrategle RiJk (tstrategic RIJk, BZK/D608R, 15 november 2011) en de daaraan vooratgaande ctoudstrategie (CloudStrategle, BZK/DIR, 20 aprIl 2011) Wat Informatiebeveillglng betreft blijkt dat bet via een ‘open’ cloudultbesteden van ICT diensten, dan wel opsiag van Informatle buiten Nederland, nslco’s met zich meebrengtdie nog niet voldoende kunnen warden afgedekt. (sic)’3 Het IV-overleg Is per 1 februari 2016 opgeheven en ver,angen door bet Regleteam IV. 00k bet Regleteam IVwordt voorgezeten door de dO.4 Dat wil zeggen aBe lagen van de cloudomgevlng, dus een SAAS-functlonalitelt.

8 van 25 I Gebrulk publieke en private clouddlensten Belastlngdlenst

2.2 Nieuw beleid blijft steken in conceptfase

Er is onvoldoende (aantoonbare) besluitvorming om te komen tot actueel beleid.Tijdens het uitvoeren van het onderzoek hebben wij veel conceptversies vanmemo’s en andere documenten ontvangen, waarvan de status voor onsonduidelijk was. Het was niet of moeilijk te achterha$en wat de definitieve versievan de documenten was. 00k bleek dat verschi(lende documenten uiteindelijknoolt formeel zijn vastgesteld. Het felt dat die documenten niettemin toch breedonder medewerkers circuleren, Uraagt niet bij aan de gewenste duidelijkheidomtrent het geldende beleid t.a.v. cloudgebruik.

2.3 Expertgroep cloud heeft opdracht beleid te actualiseren

Omdat er bij projectleiders en management behoefte is aan kaders hoe eenafweging moet plaatsvinden bij het gebruik van douddiensten, is er een‘expertgroep cloud’ gevormd. De expertgroep heeft als opdracht om hetcloudbeleid van de Belastingdienst iteratief te ontwikkelen, door onder hun regieervaring op te doen met het afwegen van businessbelangen en risico’s op betterrein van privacy, beveiliging, continuIteit en andere copafijth5-aspecten. Metdie ervaringen kan een consistente beleidslijn worden ontwikkeld engehandhaafd. De expertgroep heeft een adviserende rot richting de directeurATIV. De directeur ATjV kan zaken in bet Regieteam brengen ter bespreking metde Hoofddirecteur IV. Leden van de expertgroep zijn, in leder geval bij de start,afkomstig uit de IV-organisatie (ATiV, ClO-Office, BIdE, B/CAO, IV-accent) enCFD inkoop. In de expertgroep zijn geen veftegenwoordigers van de Business(Belastingen, Douane etc.) betrokken.

Het voorstel om een ‘expertgroep cloud’ in te stellen met de opdracht om betcloudbeleid te actualiseren, is vastgelegd in een nota van een adviseur van deHoofddirecteur IV aan de directeur Architectuurtechnologie en IV-voortbrenging(ATiV) van 4 oktober 2016. De nota is besproken met de directeur AT1V. Hetvoorstel voor de opdracht is daarna niet besproken in bet Regieteam 1V6,waardoor het commitment van de Hoofddirecteur IV voor deze expertgroep onsniet duidelijk is. De formele status van het stuk is ons niet duidelijk.

5 Copafljth de alkorting voor Commercie & Communicatie, Organisatie, Personee!, Adrninistratieve orgenisatfe,Financlén, informatfevoorziening, )uridische zaken, Technologie en Hufsvesting.6 Het Regieteam IV is bet afstemmlngsoverleg voor IV op managementniveau voor de gehele Beiastingdienst.Het wordt 00k wel omschreven als bet MT van de Hoofddlrecteur IV.

9 vsn 25 Gebrulk publieke en prtvate clouddlensten Belastlngdlenst

3 Beheersmaatregelen schieten tekort

De bestaande beheersmaatregelen schieten tekort om risico’s verbonden aan hetcloudgebruik te beheersen. Het uitgangspunt is dat het bij publieke en privateclouddiensten gaat om eenzelfde type risico’s, al kan de hoogte van de risico’sverschillen. Het betreft de status per 1 februari 2017.

3.1 Reguliere beheersmaatregelen zijn niet uitgewerkt op bet gebruik vanclouddiensten.

Het Handboek Bevefliging BeJastingdienst (HBB) vormt “de basis voot het stellenvan eisen aan (externe) leveranciers van diensten.” Het reguliere beleid zoalsvastgetegd in het HBB biedt weliswaar aanknopingspunten, maar blijft abstracten is niet verder uitgewerkt in richtlijnen en procedures als het gaat op specifiekeaandachtspunten voor cloudgebruik.

3.2 Interne inkoopprocedures worden niet altijd nageleefd

Niet alle ICT-verwervingen lopen via het formele inkoopkanaal. Er zijn volgensrespondenten verwervingen rechtstreeks door de business gedaan. Ondanks debeheersmaatregelen is het mogelijk om verwervingen te doen buiten het formeleinkoopkanaal van TUC (B/CFD)7, Vendormanagement (B/CAO)8 en ESP (BIdE)9.De vier cloudapplicaties die wij nader hebben onderzocht (zieonderzoeksverantwoording) zijn geen van alien (volledig) via het formeleinkoopkanaal ingekocht. Voor twee van deze applicaties open op dit momentnieuwe aanbestedingstrajecten (ter vervanging van de oorspronkelijkecontracten), deze lopen grotendeels volgens de formele inkoopprocedure.

3.3 Geen centrale regie op afspraken met leveranciers van clouddiensten

In verband met het ontbreken van een actueel cloudbeleid is het nu niet duidefljkwelke afspraken er met leveranciers van clouddiensten precies gemaakt moetenworden. Binnen de Belastingdienst is een template opgesteld voor Service LevelAgreements (SLA’s)10. Dit template is echter onvoldoende toegesneden op hetgebruik van cloudiensten. Zo is er bijvoorbeeld niets opgenomen over eenexitstrategie en ook zegt het niets over het wissen van gegevens van aile mediabij de leveranciers na beeindiging van het contract.

7 Inkoop Uitvoeringscentrum van de Belastingdienst, ondergebracht bij de het Centrum FacilitaireDienstverlening van de Belastingdienst

8 Vendormanagement (bewaken, beoordelen en tlJdig bijstruen van de prestaties van leveranclers en hetmanagen van leveranciersrelaties) is ondergebracht bij het centrum voor Applicatleontwikkeling enOnderhoud.

9 ESP (External Service Providers; verantwoordelljk voor hat managen van de afspraken tussen de business ende markt over verworven en te verwerven ICY diensten en I of producten. ). Is ondergebracht bij hetCentrum voor Infrastructuur en Exploitatle.

10 Een Service Level Agreement (SLA) is een schrifteiijke overeenkomst tussen een aanbleder en cen afnemervan bepaalde diensten en/of producten. In can SLA zijn, naast een beschrljvlng van de te leveren diensten, derechten en de pllchten vastgeiegd van zowei de eanbieder als de afnemer voor wat betreft hat overeengekomenkwaiiteitsniveau (service level) van de te leveren diensten en/of producten (services). Het wordt 00k wel hatcontract genoemd dat met de leverancler wordt gesloten.

10 van 25 I Gebrulk pubileke en private ciouddiensten Seiastlngdlenst

Bij de vier nader bekeken applicaties is bi] het opsteflen van het contract gebruikgemaakt van het format van de leverancier. Hier was, voor zover wij kondennagaan, geen sprake van een centrale regie op afspraken met de leveranciers.

3.3..l Onduidebjkheid over elsen aan leveranciers

Vanwege het ontbreken van heldere afspraken over de elsen aan leveranciers bijhet aanschaffen van clouddiensten, wordt bij de selectie van leveranciers as hetware ‘het wiel opnieuw uitgevonden’. Daarbij is er geen enkele garantie dat dejuiste eisen worden gesteld en vastgelegd. Voor een beheerst cloudgebruik is hetvan belang dat er duidelijke eisen aan de leverancier van de clouddienst gesteldworden. Die elsen moeten volledig, toetsbaar en meetbaar zijn vastgelegd. Deleverancier moet voldoende inzicht geven in hoe hij zal voldoen aan de gesteldeeisen. Het moet bekend zijn waar de gegevens worden verwerkt en opgeslagen.

Bij de vier cloudapplicaties die wij nader hebben onderzocht hebben wij bij drievan de vier niets aangetroffen waaruit bhjkt dat de aan leverancier gesteldeeisen volledig, toetsbaar en meetbaar zijn. Er zijn daarnaast bij de drieapplicaties geen afspraken over het inzicht dat de leverancier moet geven over inhoeverre aan eventueel gestelde eisen wordt voldaan.

3.3.2 Contractbebeer onvoldoende ingericht

GeInterviewden uit de inkooporganisatie geven aan dat er ‘standaard’ aandacht isvoor goed contractbeheer. De inkooporganisatie is hier verantwoordelijk voor. Decontracten worden volgens gemnterviewden regelmatig geevalueerd. Wij hebben ditniet nader onderzocht. Wel constateren we dat het contractbeheer zoals isbeschreven in het format SLA’s niet is toegesneden op bet gebruik van clouddiensten.Zo zegt bet format SLA’s bijvoorbeeld niets over een exitstrategie.

Bij de vier nader bekeken cloudapplicaties (PeopleXS, Office 365, de KiedingBestel Applicatie en Coosto) blijkt dat er in drie gevallen weinig aandacht is voorhet contractbeheer”. Dit heeft ook te maken met bet feit dat de applicaties niet(volledig) via het formele inkoopkanaal zijn aangeschaft (zie 3.2). Voor zover wijhebben kunnen nagaan is er bij drie van de vier contracten niets vastgelegd overeen exit-strategie, over het verkrijgen van voldoende informatie om de prestatiesvan de leverancier te beoordelen en over een periodieke evaluatie van hetcontract met de leverancier.

3.3.3 Weinig garanties over gegevensoverdracht en - vernietiging bif afbouw vande dienstverlening

Bij het beeindigen van het contract moeten alle gegevens op een bruikbare wijzeovergedragen worden van de leverancier naar de Belastingdienst. Tevens dientde leverancier de gegevens te wissen (zie bijlage 2). Wij hebben geenbeheersmaatregelen in algemene, d.w.z. niet applicatiespecifieke, documentenvan de Belastingdienst gevonden die dit voorschrijven. GeInterviewden uit deinkooporganisatie geven aan dat een exit-strategie standaard is opgenomen ineen contract.

11 contractbeheer en service level management op basis van de tussen 1T-beteerorganlsatie,gebruikersorganisatie en leverancier overeengekomen dienstenniveaus (zle ook referentiekader bijlage 3).

11 van 25 Gebrulk publieke en private clouddlensten Belastlngdlenst

Wanneer we kijken naar de vier cloudapplicaties die zijn onderzocht, dan blijktdat er aandacht is voor de overdracht van gegevens. Dit Is bij twee van de vierapplicaties niet vertaald in duidelijke afspraken. Ook zijn er bij twee applicatiesgeen duidelijke afspraken over het wissen van de gegevens door de leverancier.

12 van 25 Gebrulk pubileke en private ciouddlensten Be)astlngdlenst

4 Veranderingen na verschijnen conceptrapport

Het conceptrapport (‘voorlopig beeld’ genoemd) is op 11 mel 2017 aangebodenaan de opdrachtgever. De bedoeling was toen dat de ADR eind 2017 eenverkenning zou uitvoeren naar de veranderingen op het gebied van het gebruikvan clouddiensten naar aanleiding van het conceptrapport. De resuftaten hiervanzouden in één rapport worden gebracht.

Naar aaneiding van het conceptrappoft is de Belastingdienst gestaft met hetopstellen van cloudbeleid voor de Belastingdienst. Zodra dat nieuwe beleid isvastgesteld zal door de Belastingdienst worden bezien welke procedures /afspraken moeten worden aangepast. Een verkenning eind 2017 naar deveranderingen op het daadwerkelijk gebruik van clouddiensten Iijkt op ditmoment weinig meerwaarde op te leveren. In overleg met de opdrachtgever isdaa torn besloten deze verkenning (nu) niet ult te voeren en het rapport nu af teronden.

13 van 25 Gebrulk publieke en pdvate douddlensten BelasUngdienst

5 Verantwoording onderzoek

51 Doelstelling, centrale vraag en onderzoeksvragen

Doel van het onderzoek is een beeld te krijgen van de beheersing van de risico’sbij het gebruik van private en publieke clouddiensten. Met de uitkomsten van ditonderzoek wil de opdrachtgever zo nodig (aanvu?lende) maatregelen treffen cmde risico’s te mitigeren.

De centrale vraag voor deze opdracht luidt: hoe staat het met de beheersing vanrisico’s verbonden aan het gebruik van clouddiensten? Uitgangspunt voor ditonderzoek is dat sprake van een beheerst cloudgebruik als:

• wordt voldaan aan de richtlijnen en procedures zoals vastgelegd inspecifiek voor cloudgebruik relevante onderdelen van de BaselineInformatiebeveiliging Rijksdienst (BIR);

• er wordt gedaan aan risicomanagement (identificatie risico’s enidentiflceren mitigerende maatregelen), waarbij aandacht is voor de inbijlage 1 genoemde risico’s;

• en er een Plan-Do-Check-Act cyclus is ingericht om te borgen datcloudgebruik continu voldoet aan (veranderende) wet- en regelgeving.

Het onderzoek is op verzoek van de opdrachtgever in twee delen gesplitst. Begin2017 is een nulmeting (huidige situatie) uitgevoerd. In het derde kwartaal van2017 was een vervoigmeting gepland, waarmee Inzichtelijk gemaakt zou wordenin hoeverre bevindingen uit januari/februari 2017 hebben geleid totverbeteringen later in 2017. Deze vervoigmeting is uitelndelijk komen tevervallen (zie hoofdstuk 4).

Voor het onderzoek zijn de volgende onderzoeksvragen geformuleerd;1. Van welke publieke en private clouddiensten maakt de Belastingdienst op ditmoment gebruik?

2. Wat zijn de vereisten / voorwaarden om tot een beheerst gebruik vanclouddiensten te komen?

3. Welke beheersmaatregelen zijn er getroffen om te zorgen dat aan dievereisten / voorwaarden worden nag&eefd?

4. En is er een indicatie hoe die beheersmaatregelen in de praktijk uitpakken?

5.2 Werkzaamheden en afbakening

We zijn het onderzoek gestaft met een gestructureerde inventarisatie van hetgebrulk van clouddiensten. Dit is gedaan middels een kofte schriftelijkevragenhijst die door de (gedelegeerd) opdrachtgever naar diverse medewerkersvan de Belastingdienst is gestuurd. Deze werkwijze garandeeft geen volledigheidvan de inventarisatie, maar geeft wel een indicatle van de omvang van hetgebruik van publieke en private clouddiensten. Het resultaat van deinventarisatie staat in bijlage 1.

Vervolgens is een referentiekader opgesteld cm te deflniëren wat de vereisten /voorwaarden zijn om tot een beheerst gebrulk van clouddiensten te komen. Ditreferentiekader is afgestemd met de gedelegeerd opdrachtgever. De gedelegeerdopdrachtgever heeft met het referentiekader, zoals opgenomen in bijlage 2,ingestemd.

14 van 25 I Gebrulk pubileke en private clouddlensten Belastlngdienst

op basis van documentstudle en enkele interviews hebben we de stand vanzaken in beeld gebracht omtrent de beheersing van bet gebwlk van publieke enprivate clouddlensten. Daarnaast hebben we voor vier ciouddlensten een eerstebeeld veckregen op welke wljzede sourcingbeslissing, de selectie van Ueteverancler, bet contractbeheer, het gebwik van de clouddienst en de afbouw inde praktljk vorm heeft gekregen. Dit beeld Is verkregen op basis van eengesprek met eeii betrokkene (per apphcatie) aangevuld met Informatie uit hetcontract en/of aanvullende (interne) documenten. We hebben daarblj gekozenvoor vier applicaties met verschlllende elgenschappen en op verschillende puntenIn de levenscyclus. De selectie van deze vier cIouddlensten2 is ter instemmingvoorgelegd aan de gedelegeerd opdrachtgever.

AfbakeningHet onderzoek beperkte zich tot bet bedrijfsmatig gebrulk van private enpublieke ciouddiensten door (onderdelen van) de Belastlngdienst. Het onderzoekrlcht zich niet op bet gebrulk van de datacentra van de Rijksoverheld. Ookapplicaties waarvoor rijksbreed de keuze voor gebruik is gemaakt vallen bultentie scope van bet onderzoek. De Betastingdlenst Is In die gevallen namelljk nietde contracthouder.Het onderzoek Is uitgevoerd In tie maanden januarl en februari van 2017 enrichfte zich op tie stand van zaken op dat moment.

5,3 Gehanteerde Standaard

Deze opdracht Is uitgevoerd in overeenstemming met tie InternationaleStandaarden voor tie Beroepsultoefening van Internal Auditing.

In tilt rapport wordt geen zekerheld verschaft, omdat er geen assuranceopdracht is uitgevoerd.

5.4 Verspreidlng rapport

Dc opdrachtgever, de Hoofddirecteur Control en Bedrljfsvoerlng, is elgenaar vandit rapport.

De ADR Is de interne auditdienst van het Rijk. Dit rapport Is primair bestemdvoor de opdrachtgever met wie wlj deze opdracht zljn overeengekomen. In tieministerraad is besloten dat het opdrachtgevende ministerle waarvoor tie ADReen rapport heeft geschreven, het rapport binnen zes weken op tie website vande Rljksoverheid plaatst, tenzlj daarvoor een ultzonderlng ge!dt. Dc minister vanFinanciën stuurt elk haIlaar een overzlcht naar tie Tweede Kamer met tie titelsvan door tie ADR uitgebrachte rapporten en plaatst dit overzicht op tie website.

Het betreft de appllcatles PeDpreXS, OffIce 365, de Kieding Bestel Appilcatle en Coosto.

15 van 25 I Gebnilk publleke en private clouddlensten eIastlnQdIenst

6 Ondertekening

Den Haag, 6 no2br—

projectielderAuditdenst Rijk

16 van 25 Gebrujk pubIIe en private cIouddIen BeastIngdIer

Bijlage 1: overzicht gebruik publieke enprivate clouddiensten

Naam Naam Waar wordt de clouddienst voorcloud- Cloudprovider gebrulktdienst

1 Kleding https://kvb. Het bestellen van bedrijfskledingBestel mendixcioud.Applicatie corn!(KVB -

Dirksen)2 BSA- https://poftal. Bureau schadeafwikkeling (BSA),

portaal omslagstelsel. hier kan een schadevrijverklaringnl/frontend/ opgevraagd warden. Schadedossiers

kunnen raadplegen (Services)3 E-invoice Leaseplan en Voor de facturen van het wagenpark

en Athton (Services)‘uwfactuuronline’

4 Fleetrepoc- https://mijn. Rapportagetool van LeasePlanting Leaseplan.nl/ (Services)

Fleetrepofting5 OVI https://ovi. Voertuiginformatie. van de

Voertuig- rdw.nl/ Rijksdienst voor het wegverkeerinfo (Wervices)

6 Parkline http://www. De digitale parkeerdiensten vanpark-Iine.nl/ Park-line (Services)

7 Rittenreg https://ritten Rittenregistratie functionaliteitmt reg.nl/guacam (Services)

ole8 GBD http:J/ Database met Informatie over

douanenet. auto’s, gebruikers enBelasting contactpersonendienst.nl/Werkgebieden/Informatiemanagement

9 Arbo Extern gehost Risico Inventarisatie & Evaluatie enmanage- Periodiek Gebouwgebonden KeuringmentSysteem -

AMS10 Track Extern gehost Verzuimsoftware; stroomlijnt de

Re-On uitwisseling van gegevens tussen deverzuimende medewerker, zijnleidinggevende, de casemanager ende bedr[jfsarts.

11 Coosto Coosto Social Media Monitoring en Analyse12 Office 365 Microsoft Automatisering kantoorprocessen13 Werken Bij Maximum / PDC Class — aanvragen en

/ PDC Class Conclusion / doorbelasten cursussen. Usebila =

17 van 25 I Gebruik pubileke en private clouddlensten Belastingdienst

I Usabilla / Usabilla / Feedback op de website van deAB Testing Optimizely / Belastingdienst.lI Tag Qbit Optimizely = A/B Testing opManager genoemde website

Qbit = TAG Management op degenoemde website14 S/CA Maykin Media Inwinnen contra-informatie vanGegevens- kinderopvanginstellingen,portalen autoleasemaatschappijen enfinanciële instellingen. Verstrekkenvan informatie aan verhuurders(inkomensindicaties) en gegevensaan gemeenten t.b.v. hetgemeentelijke invorderingsproces.1-let aanmelden van potentielenieuwe gegevensleveranciers (vooraanleveringen in het kader van deFATCA, CRS en CBC regelgeving).15 PLEIO BIT Ontmoeting met groepenintermediairs:salarisadministrateurs en fiscaaldienstverleners.

16 Belasting- Kaliber CMS voor openbare Informatie aandienst-in- burgers en bedrijven m.b.t. debeeld.nl Belastingdienst.17 iCloud Apple Formeelstaat de instelling ‘Find your

IPAD en IPHONE’ uitgeschakeld (bijinschakellng valt het onderpersoonlijk gebruik). Geen zicht opzakelijke gebruik van de anderetoepassingen zoals backupagendagegevens etc.18 Doczend KPN Lokale Kleine verstrekkingen vanuit de

Overheid Belastingdienst aan andereoverheden.

• Ad-hoc uitwisselingen met andereoverheden

19 Concorde https:// Vertalen van bewijsstukkenextranet.concorde.

20 SIG SIG SIG meet de code oponderhoudbaacheid van software.Onze code wordt hiervoor ge-uploadnaar de dienstverlening van 51G. Ditwerk doen twee medewerkers.Ontwikkelaars kunnen via een portalde rapportages inzien.21 Fiscale F19 Rappoftage van marktonderzoekmonitor

22 PeopleXS Talentsoft Ondersteuning wervin_gsproces.

Toelichting op de aftakening van de inventarisatie:Het onderzoek beperkte zich tot het gebruik van private en publiekeclouddiensten door (onderdelen van) de Belastingdienst. Het persoonlijk gebruikvan clouddiensten viel, om onderzoekstechnische redenen, buiten de scope van

18 van 25 I Gebrulk publieke en private clouddlensten Belastlngdlenst

het onderzoek. Uitzondering hierop is gemaakt wanneer er sprake is vanbedrijfsmatig gebruik van dergelijke diensten. In dat geval viel het gebruik welbinnen dit onderzoek. Vuistregel hierbij was dat het onderzoek zich richt opapplicaties die 1 op 1 gekoppe!d zijn aan de bedrijfsvoering van deBelastingdienst fbedri)fsmatige applicaties).Applicaties van de Belastingdienst die bij een extern bedrljf staan (bijvoorbeeldATOS) vielen binnen de scope van het onderzoek. Dergelijke applicaties zijn tebeschouwen als een private cloud.

Binnen de Rijksoverheid wordt op dit moment gewerkt aan een zogenoemdegesloten Rijkscloud. Dit is een grootschalig project waarin de Rijksoverheid haardatacentra bundelt (van 64 naar 4 in 2020). Het onderzoek richt zich niet op hetgebruik door de Belastingdienst van deze datacentra fODC’s).

00k applicaties waarvoor rijksbreed de keuze voor gebruik is gemaakt, zoalsMobility Mix en Digllnkoop vallen buiten de scope van het onderzoek.Uitgangspunt voor het onderzoek is dat de contracthouder (d.w.z.Belastingdienst) verantwoordelijk Is. Bij genoemde rijksbrede applicaties is hetministerie van BZK de contracthouder.

19 van 25 I Gebrulk publieke en private clouddiensten Beiastingdienst

Bijlage 2: Gehanteerd referentiekader vooreen beheerst gebruik van clouddiensten

1. Afbakening

Dit referentiekader heeft betrekking op de inhoudelijke selectie, verwerving enImplementatie van (publieke) clouddiensten.

2. Risico’s cloudgebruik13

1) Financiële of imagoschade door niet afdoende gemitigeerde privacy-en beveiligingsrisico’s welke samenhangen met uit wet- en regelgevingvoortvloeiende voorschriften. Schade kan bijvoorbeeld wordenveroorzaakt door kwaadwillende individuen, groeperingen of staten, ofhet gevoig zijn van juridische (beroeps)procedures.

2) Verminderde kwaliteit van de dienstverlening (door bijvoorbeeldbeschlkbaarheids- en performanceproblemen van tie clouddienst zelf, deintegratie van verschitlende diensten, dan wel het transportmiddel om debetreffende diensten te bereiken).

3) Toenemende kosten en beheerinspanning door eenongecontroleerde uitbreiding van het clouddienstenportfolio.

4) Te sterke afhankeijkheid van een leverancier (‘vendor lock-in’),inclusief het moeilijk ‘weg komen’ (exit scenario) uit tie cloud wanneer deomstandigheden dit vereisen. Hier vallen ook afspraken onder m.b.t.beheer (en dan met name security) en het right to audit.

5) Verlies van eigendom en/of het (exciusief) beschikkingsrecht overversterkte of opgevoerde gegevens. Hier valt ook het kwijtraken van tiedata onder, b.v. door het falen van tie back-up.

3. Referentiekader

In onderstaand referentiekader zijn opgenomen tie (meest relevante) criteriat.a.v. ‘beheerst cloudgebruik’.

MANAGEMENT EN ORGANISA TIE (Beleld, wanisatIe, procedures, controle)Nr. Criteria Toeflchtlng Risico1 Het beleid t.a.v. doudgebruik is Het beield t.a.v. cloudgebruik Is 1 t/mopgesteld o.b.v. een risicoanalyse schriftelijk vastgest&d, bekrachtigd 5find. aandacht voor PIA, BIA en door bet management en voldoendeuitwijkmogeiijkheid). bekend te zijn bi] aile betrokkenen enbelanghebbenden.(let gaat om het Identificeren vanrisico’s en bet identiflceren vanmitigerende maatregelen.2 Taken en verantwoordelijkheden BIR paragraaf 7.1 Verantwoordelijkheid 1 t/mmoeten binnen de organisatie voor bedrijismiddelen

13 Bron: RlchUijn Clouddlenstverlenlng v2.0 SVB, 2016. Waarblj hat biJ 4 en bij S genoemde risica Is aangevuldmet de opmerking dater oak afspraken m.b.t. beheer en het right to audit onder vallen frlsico 4) en dat oakhet kwljtraken van de data er onder wordt geschaard frislco 5).

20 van 25 Gebrulk pubileke en private clouddlensten Belastingdlenst

eenduidig zi]n belegd en bij de Het moet duidehjk zifn welkemedewerkers bekend zijn. hjnmanagets verantwoord&Ifk z,jn voor

de gegevens en bedr,jfsprocessen dienaar de cloud zUn uitbesteed.

3 Er is een capabele De functionarissen beschikken over 3, 4inkooporganisatle om leveranciers voldoende opleiding, ervaring enaan te sturen. vaardlgheden te beschikken om de

gestelde taken goed ult te kunnenvoeren.

4 Het beleid t.a.v. cloudgebruik wordt Het management stelt periodiek vast of 3, 4periodiek, of zodra zich belangrijke de beheersmaatregelen conform betwijzigingen voordoen, geevalueerd geformueerde beteid zijn ingericht enen zonodig bijgesteld. worden uitgevoerd. Hlerbij wordt ook

expliciet gekeken of nog wordt voldaanaan (veranderende) wet- enregelgeving. Afgeleid van SIR 5.1

5 Er is een calamiteitenplan aanwezlg SIR paragraaf 14 5voor voortzetting van de Bedri)fscontinuIteitsbeheerbedrijfsvoering bij ultval van declouddienst.

SOURCING BESLISSINGNr. Criteria Toeiichting Risico

Het proces van uitbestedlng 15 Hier ligt een relatie met de 1, 3cechtmatig, betrouwbaar en Inkoopprocedures (Management encontroleerbaar verlopen. organisatie). De bestaande

Inkoopprocedures en werkinstructiesmoeten zljn nageleefd.

2 Op basis van een businesscase BIR paragraaf 6.2 Externe paftijen 1 t/mwordt beoordeeld of bet mogelljk is Denk hierbif aan: gevoeligheid 5om gegevens in de cloud, en gegevens en fstrategisch) belang vandaardoor buiten het directe zicht processen die warden uitbesteed (8L4,van de organisatie, te laten PIA, businesscase)verwerken.

SELECTIE LEVERANCIERNr. Criteria Toelichting Risico

De elsen aan de leverancier SIR paragraaf 10.2 Exploitatie door een derde 2zijn volledig, toetsbaar en partl]meetbaar vastgelegd. Er moet een overeenkomst van

dienstverlening met de cloudleveranc/erworden afgesloten met daarin de definitiesvan d/enstverfening, niveaus vandienstverlening en beveiligingsmaatregelen.

BIR paragraaf 10.3 Systeemplanning en -

acceptatieEr moeten duidelUke en haalbare afsprakenzUn over capacitelt en beschikbaarheid van declouddienst. Er moet een acceptatieproceszijn voor ingebruikname en wyzigingen vande clouddienst.

2 De leverancier moet BIR paragraaf 12.6 Beheer van technische 2voldoende lnzicht geven in kwetsbaarhedenhoeverre zal worden votdaan De leverancier van de clouddienst moet overean gestelde eisen. controleerbare procedures beschlkken om zijn

technische infrastructuur te voorzien vanupdates en patches. Er moetenpenetratietesten op tie infrastructuur van deleverancler warden uitgevoerd.

21 van 25 I Gebrulk publieke en private ciouddiensten Belastingdienst

SIR paragraaf 13 Beheer vaninformatiebeveihgingsincidentenDe leveranciec moet incidenten enkwetsbaarheden direct rapporteren a/s zij eenrisico voor de k/ant opleveren.

Denk hierbi) oak aan relevante certificaten(b/jvoorbeeld 1S027001)

3 Het moet bekend zi]n waar de SIR paragraaf 10.8 Uitwisseling van 1, 5gegevens worden verwerkt en informatieopgeslagen. De locatie waar k/antgegevens worden

verwerkt moet contractuee/ vastgelegd encontrnleerbaar zijn. A/s de gegevens in hetbuitenland of buiten Europa warden ve,werktmoeten de toegangsmoge/,jkheden van deverantwoordefijke overlie/U duidehjkvastge/egd en acceptabe/ z,jn.

SIR paragraaf 15.1 Naleving van wettelijkevoorschrlftenB/ gebruik van clouddiensten vanbuiten/andse /everanciers en bsj verwerkingvan gegevens buiten nationaa/ grondgebied,moet extra aandacht worden gegeven ean dewettehjke consequent/es hiervan. Hierbifmoet rekenlng warden gehouden mettoegangsmogelijkheden van buitenlandseoverheden tot de gegevens.

CONTRA CTBEHEERNr. Criteria Toelichting RisIco

Een exit-stratege maakt onderdeel SIR paragraaf 10.5 Back-up 4uit van het contract en/of SLA. UitvaI van de clouddienst, beeindlgingvan bet contract of faillssement vande /everancier mag noolt tot verliesvan gegevens /eiden.

2 De gebruikersorganisatie krljgt SIR paragraaf 10.2 Exploitatie door 2, 4voldoende informatie am de een externe parti]prestaties van de leverancier te Er moeten regelmatig rapportagesbeoordelen. over de dienstver/ening warden

opgeleverd en audits op dedienstverlening warden uitgevoerd.

SIR paragraaf 10.10 ControleDe leverancier van de c/ouddienstmoet voldoende logbestandenbeschikbaar stellen am toezicht opcorrecte verwerking en detectie vanstoringen en (beveiligings-)incidentenmogelljk te maken.

BIR paragraaf 15.3 Overwegingen bijaudits van informatiesystemenDe Ievemncier moet vo/doendemoge/qkheden voor toezicht op deverwerking van de klantgegevensbeschikbaar ste/len, zodat de kiantaantoonbaar ‘in control’ ken bbjvenvan z,jn bedrljftproces.

3 Het contract met de leverancier van mci. controle op (gewljzlgde) wet- en 2, 3, 4de clouddienst wordt periodiek regelgeving.

22 van 25 I Gebruik pubheke en private clouddlensten Belastlngdlenst

I geevalueerd. I I

GEBRUIK CLOUDDIENSTNr.] Criteria Toelichting Risico1 Er moeten gedocumenteerde BIR paragraaf 10.1 2, 5

procedures zijn voor een veilig en Bedieningsprocedures enverantwoord gebruik van de verantwoordehjkhedenclouddienst.

2 Toegang tot de clouddienst moet BIR paragraaf 11.2 Beheer van 2, 5worden verleend op basis van een toegangsrechten van gebruikersvellige identiticatie, authenticatieen autorisatie. Er moet voorzienzijn in voldoende en aantoonbarefunctiescheiding.

4 De medewerkers van de organisatle Denk hlerbil aan een 1moeten zich bewust zijn van de awarenessprogramma voor verantwoordrisico’s van cloudgebruik. cloudgebruik.

AFBOUWNr. Criteria Toelichting Risico1 AIJe gegevens zijn op een bruikbare Denk hierbij aan het testen van de 4, 5

wljze overgedragen van leverancier exit-strategie.naar de gebruikersorganisatie.

2 AIle gegevens zijn gewist bij de BIR paragraaf 10.7 Behandeling van 4, 5everancier. media: Gegevens moeten zijn

gewist van alle media bij deleveranciers.

Basis voor het referentiekader vormen:

• Ue eerder genoemde risico’s;

• Ue vier fasen voor uitbesteding van IT-diensten (overgenomen uit: AIVD, deAuditdienst Rijk en het NCSC, “Clouddiensten van de Rijksoverheid en de rot vande IT-auditor. Een verkenning naar de auditmogelijkheden van clouddiensten bijde Rijksoverheid”, december 2013. );

• eisen vanuit Ue BIR zoals die van toepassing zijn op het gebruik vanciouddiensten (eveneens overgenomen ult: AIVD, de Auditdienst Rijk en hetNCSC, “Clouddiensten van de Rijksoverheid en de rot van de fl-auditor. Eenverkenning naar de auditmogelijkheden van clouddiensten bij de Rijksoverheid”,december 2013 fbi] tage 2)).

23 van 25 J Gebrulk publieke en private ciouddlensten Belastlngdlenst

24 van 25 I Gebrulk pubifeke en private ciouddiensten Beiastingdjengt

Auditdjenst RijkPostbus 202012500 EE Den Haag(070) 342 77 00

,iI”—

c:.

•,

;•ft.:

4,

C

1’i

N

4

4,.

..

4‘b

I

1

fr4-;.

I

‘41