Het CDA roept de Europese Commissie op om toe te zien op de vele overnames van Nederlandse datacenters door niet-Europese bedrijven. De onafhankelijkheid komt in het geding door buitenlandse investeringen in kritieke digitale infrastructuur, vreest de politieke partij. Volgens koepelorganisatie DDA zijn de zorgen ongegrond.
De Europese Commissie moet extra maatregelen overwegen om de digitale gegevens van consumenten en bedrijven in Nederland en Europa te garanderen. Dat vindt europarlementariër Tom Berendsen (CDA), in reactie op berichten in het Financieele Dagblad. De zakenkrant constateerde laatst dat de afgelopen tijd diverse Nederlandse datacenters zijn overgenomen door Amerikaanse bedrijven. Doordat de overheid datacenters niet als kritische infrastructuur ziet, worden dergelijke overnames niet getoetst.
Berendsen maakt zich zorgen over de bescherming van gegevens die in deze datacenters zijn opgeslagen. ‘Burgers en bedrijven moeten erop kunnen vertrouwen dat onze data en bijbehorende infrastructuur niet zomaar bij derden terecht kunnen komen.’ Volgens hem moeten vooral overnames van buiten de EU kritisch worden beoordeeld. Dit kan het beste via een gezamenlijke aanpak, zegt de parlementariër.
Wel de kastsleutel, niet het wachtwoord
Branchevereniging Dutch Datacenter Association (DDA) deelt de zorgen van het CDA niet. Datacenterleveranciers kunnen helemaal niet bij de data van burgers en bedrijven, vertelt directeur Stijn Grove aan Computable. Ook de nieuwe Amerikaanse datacentereigenaren dus niet. De data staan namelijk op servers van klanten die datacenterruimte huren. ‘Er is een verschil tussen datacenters en bij de data kunnen. We hebben wel de sleutel van de kast, maar niet de wachtwoorden van de data’, geeft Grove als analogie.
Bovendien moeten Amerikaanse datacenterbedrijven zich voegen naar Europese wetgeving op het gebied van databescherming, zegt hij. De Amerikaanse Cloud Act is volgens Grove dan ook niet van toepassing in Europa. Deze wet verplicht Amerikaanse cloudproviders sinds 2018 om op verzoek van Amerikaanse autoriteiten gegevens van klanten te overhandigen, zelfs als deze data bijvoorbeeld op servers in Nederland staan. Grove verwacht dat dit in de praktijk helemaal niet kan. De VS en de EU hebben wel aanvullende afspraken gemaakt over data-integriteit en -overdracht tussen de twee regio’s. Deze werden in 2016 vastgelegd in de Privacy Shield-afspraken.
In Amerikaanse handen
Sinds 2017 zijn diverse Nederlandse datacenterbedrijven verkocht aan buitenlandse partijen, de meeste Amerikaans. De grootste overname vond afgelopen oktober plaats: Digital Realty kocht Interxion voor ruim 8,4 miljard dollar. Een maand eerder werden de datacenters van TCN voor 44 miljoen dollar verkocht aan QTS en in mei 2018 kwam Evoswitch voor 235 miljoen dollar in handen van Iron Mountain.
DDA rekende kortgeleden uit dat 22 procent van de Nederlandse datacenterbedrijven in Amerikaanse handen is. Dit zegt overigens niets over het aandeel van Amerikaanse bedrijven in de capaciteit van de datacenters. Doordat de Amerikanen enkele hele grote datacenterbedrijven overnamen, zal de Nederlandse datacentercapaciteit die in handen is van Amerikaanse ondernemingen, wel aanzienlijk hoger liggen. DDA-directeur Grove kan hierover geen uitspraak doen.
Stijn Grove is behoorlijk naïef als hij echt gelooft dat Amerikaanse bedrijven zich netjes aan de Europese wetgeving zullen houden als door de VS-overheid om gegevens wordt gevraagd. Een gag order is voldoende om te voorkomen dat men er in Europa zelfs maar achter komt. En iedereen die denkt dat Privacy Shield echt iets voorstelt is werkelijk te dom voor woorden.
Ik lees hierboven weer een reden om zaken vooral te beleggen bij non US companies. Er zijn meerdere datacenter-, netwerk- en cloudaanbieders die een dergelijk portfolio bieden, zonder dat ze Amerikaans zijn. een goed voorbeeld is NTT, dat volledig japans is en niet wordt beïnvloed door US.
Politiek en provider beginnen de hele de Safe Harbor discussie overnieuw.
Grappig, als het niet zo triest zou zijn.
Misschien moeten ze even de laatste stand van zaken nalezen over de PrivacyShield/Schrems case voor het Europees Hof van Justitie.
Stijn slaat de plank volledig mis, de data ligt misschien wel opgeslagen in de racks van klanten, maar die zal toch echt via een netwerkverbinding ontsloten moeten worden. Juist die verbindingen lopen allemaal via centrale meet-me ruimtes van de betreffende datacenters zelf, wat zich daar verder afspeelt is niet zichtbaar.