Zet snel de noodzakelijke stappen om nieuwe marktkansen te creëren voor zeer veilige cloud-oplossingen in Europa. Deze noodoproep doen de Belgische, Franse, Nederlandse en Duitse cio-verenigingen aan EU-commissaris Thierry Breton. In een open brief dringen ze aan op een ‘digitale interne markt’ voor clouddiensten en oplossingen met een hoog niveau van zekerheid.
Probleem is dat Europese ondernemingen vaak geen oplossingen op de markt kunnen vinden waarvan zeker is dat ze passend zijn. Betrokken chief information officers (cio’s) komen vaak (Amerikaanse) oplossingen tegen waarvan de leveranciers beweren dat ze aan de regelgeving voldoen, maar die in feite de nodige betrouwbaarheid ontberen.
Deze providers maken misbruik van de juridische onzekerheid rond internationale data-overdrachten en verwerking overzee. Betrokken leveranciers komen hiermee weg zelfs als hun claims niet volledig zijn aangetoond of – erger nog – ronduit onjuist zijn. Deze situatie leidt ertoe dat het voor Europese ondernemingen moeilijk wordt om aan klanten en werknemers de nodige garanties voor gegevensintegriteit te bieden, aldus de cio’s.
Maatregelen
De verenigingen Beltug, Cigref, Voice e.V en CIO Platform Nederland vragen in hun open brief Breton voor medio 2024 drie maatregelen te nemen. Als eerste moeten er duidelijke vereisten komen voor clouddiensten die een hoog niveau van zekerheid nodig hebben. Deze moeten uniform zijn in de hele Europese Unie.
Verder zouden alle overheidsinstellingen en aanbieders van vitale diensten moeten worden verplicht tot het gebruik van clouddiensten met een hoge mate van zekerheid, speciaal voor hun gevoelige gegevens.
Als derde wordt een respijtperiode gevraagd om te voldoen aan de wettelijke vereisten voor beveiliging. Zolang er geen ‘zekere oplossingen’ vrij beschikbaar zijn binnen de EU, moet soepelheid worden betracht.
Trusted cloud
De cio’s hebben de ervaring dat zakelijke gebruikers door hun leveranciers niet serieus worden genomen als ze om hoge niveaus van zekerheid vragen. Keer op keer is de afgelopen tijd gebleken dat haast niet of zelfs onmogelijk aan de privacywetgeving (GDPR) valt te voldoen.
Daarom is het hoog tijd voor het opstellen van eisen waaraan ‘trusted cloud’ aanbiedingen moeten voldoen. Dit geldt met name voor de verwerking van gevoelige gegevens. De cio-verenigingen vragen om een Europees certificatieschema voor clouddiensten. Volgens hen zullen leveranciers in de huidige markt alleen stappen in de juiste richting nemen, als verplichtingen wettelijk zijn vastgelegd.
In ieder geval is de brief momenteel niet te lezen omdat de website cio-platform.nl niet reageert.
Ik hoop dat er voorbeelden zijn want “Keer op keer is de afgelopen tijd gebleken” klinkt niet als cijfermatig onderbouwd.
Ik zou de kop wat willen nuanceren. CIO’s doen geen “noodoproep” aan de EC. Een aantal belangenverenigingen die claimen CIO’s te vertegenwoordigen doen dat.
Veel niet onderbouwde stellingen in het artikel. Betrouwbaarheid en compliance wordt op een hoop gegooid. Grotendeels vage verdachtmakingen, niet onderbouwd, slecht artikel
Enigszins ironisch dat ze die brief dan sturen naar Thierry Breton, de oud CEO van Atos. Atos die met Canopy een cloud offering hebben staan die probeerde te concurreren maar inmiddels in samenwerking is gegaan met Google. Omdat ze het in Europa blijkbaar niet voor elkaar kregen iets te leveren waar voldoende vraag naar was. Verder eens met de andere reacties: een hoop verdachtmakingen, weinig feiten.
Keer op keer is wat lastig cijfermatig te onderbouwen maar het Europese Hof heeft zowel Safe Harbor als de opvolgers ervan onrechtmatig verklaard omdat er juridisch geen enkele zekerheid in de beloften zat. Wat betreft het vragen van hoge niveaus van zekerheid kan ik me wel vinden in het artikel, zelfs onze eigen overheid verzaakt namelijk haar verplichtingen hierin.
Uitstekend signaal van deze groep privacy en security bewusten.
Tip: Duitsland en Frankrijk hebben al vele jaren de C5cloud standaard en onderhouden dat met de cloudbranche. Daar zijn inmiddels al veel cloudbedrijven tegen gecertificeerd. Bijzondere daar aan is, naast de goede standaard, dat het ook inhoud dat die cloudaanbieders de klantdata niet oncontroleerbaar goedkoper bij andere hosters onderbrengen of zelf buiten het eigen land of buiten Europa (Europese wetgeving) brengen.
Als de EU dit ook zo volgt, breekt de markt open: voor cloudaanbieders en -afnemers duidelijkheid en veel minder vertraging bij dikke overeenkomsten.
Er is veel leesvoer over in Frans Duits en Engels. De Nederlandse branche is er nu mogelijk ook aan toe. Een start:
https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/CloudComputing/ComplianceControlsCatalogue/2016/ComplianceControlsCatalogue-Cloud_Computing-C5.pdf?__blob=publicationFile&v=1
Het staat buiten kijf dat een instantie in Europa moet voldoen aan de Europese (GDPR) wet. Als die instantie dat niet aantoonbaar voor elkaar krijgt met Amerikaanse (of Chinese bijv) cloud providers, dan in die instantie duidelijk in gebreke. Het ‘afschieten’ van de verschillende verdragen is illustratief hierin. Datzelfde geldt eigenlijk ook met niet 100% sluitende gegevens verwerking overeenkomsten tussen partijen op eigen bodem. Je kunt namelijk jouw opgelegde verantwoordelijkheden niet afkopen en afwenden op een derde als je ook niet geheel in control bent en vast zit in een vendor lock in. Daarbij maakt het niet uit of het een US vendor is, of een EU vendor. Denk maar eens aan het Centrics grapje.
Rest eigenlijk maar een optie, repatriëren!
Voor niets gaat de zon op, de rest moet je altijd zelf regelen en verantwoording voor dragen!
Nationale invulling van een GDPR kent volgens mij binnen Europees verband nogal wat afwijkingen waardoor CIO’s van multinationals zorg hebben over de compliance aangaande een internationale dataoverdracht. Wat betreft het maatwerk van dikke verwerkersovereenkomsten zijn ‘one-size-fits-all’ raamovereenkomsten daarom juridisch onrechtmatig verklaard.
Een goede standaard lijkt me gezien de grote verschillen in senstiviteit van data een onhaalbare kaart als we kijken naar niches zoals de gezondheidszorg. Verkwanseling van de nationale strategische belangen met een liberalisering van de markt maakt je nu eenmaal afhankelijk van de private partijen die net als Centric een single governance board kunnen hebben:
“Especially when government or trade secrets are involved, this lack of security is certainly not acceptable.”