Amerikaanse cloudgiganten zijn boos over de voorlopige versie van een Europese certificering voor clouddiensten. Volgens die opzet, waaraan een nieuwe categorie is toegevoegd, kunnen ze namelijk niet voldoen aan de allerhoogste norm omdat die bedrijven een hoofdkantoor buiten de EU hebben. Daardoor voldoen ze niet aan de aangescherpte eisen voor data-soevereiniteit.
Dat Europees certificeringsprogramma voor clouddiensten wordt ontwikkeld als onderdeel van de nieuwe Europese Cloud Act. Op dit moment is die certificering niet verplicht, maar met het aanscherpen van Europese ict-beveiligingsregels (NIS2) gaat deze op termijn mogelijk wel verplicht worden voor het leveren van clouddiensten aan bedrijven en organisaties in vitale sectoren.
In die nieuwe versie voor de EU-certificering voor clouddiensten is een nieuwe sub-categorie opgenomen voor het hoogste vertrouwelijkheidsniveau. Er waren al drie niveaus: ‘basis’, ‘substantieel’ en ‘hoog’. Daar is in het voorstel ‘hoog+’ bijgekomen. Die categorie stelt de hoogste eisen aan data-soevereiniteit. Leveranciers van clouddiensten met een hoofdkantoor buiten de EU zijn uitgesloten van die certificering.
Het belangrijkste verschil tussen de niveaus ‘hoog’ en ‘hoog+’ betreft de juridische controle op de leverancier van clouddiensten. ‘Hoog+’ vereist dat de clouddienst alleen wordt beheerd door bedrijven die in de EU zijn gevestigd, waarbij geen enkele entiteit van buiten de EU effectieve controle heeft over clouddienstverlener. Het is in het leven groepen om het risico te verkleinen dat ‘bevoegdheden van buiten de EU de EU-regels -normen en -waarden ondermijnen’.
Invloed
Naast dat het hoofdkantoor van het cloudbedrijf in een EU-land gevestigd moet zijn, mag de aanbieder van clouddiensten niet direct of indirect onderworpen zijn aan de ‘effectieve controle’ van buitenlandse bedrijven. Dat verwijst naar bedrijven die internationaal op een manier verweven zijn waardoor rechten, contracten of andere middelen direct of indirect een beslissende invloed hebben op de bedrijfsvoering.
Computable sprak onlangs met een betrokkene van een grote Amerikaanse clouddienstverlener die betrokken is bij Enisa, het Europees Agentschap voor netwerk- en informatiebeveiliging. Hij vertelde dat grote techspelers van buiten de EU zich zorgen maken over de consequenties van de nieuwe categorie in de EU-certificering van clouddiensten.
Heet hangijzer
De uitbreiding van het certificeringsprogramma is overigens al langer een heet hangijzer voor aanbieders van clouddiensten. Vorig jaar onthulde de in EU-beleid gespecialiseerde nieuwsdienst Euractiv dat Nederland en andere kleine lidstaten overhoop liggen met grote lidstaten als Frankrijk, Spanje en Italië over data-soevereiniteit.
Nederland zou vanuit eerlijk concurrentie-oogpunt de uitsluiting van Amerikaanse techbedrijven geen goede ontwikkeling vinden. Frankrijk is met eurocommissaris en oud-Atos-topman Thierry Breton een voorstander van de toevoeging van de extra categorie zodat Europese klanten clouddiensten af kunnen nemen die volledig voldoen aan Europese standaarden en buiten de inmenging van niet Europese invloeden vallen.
Op 26 mei 2023 komt de nieuwe opzet van de cloudcertificering aan bod tijdens een bijeenkomst van de technische commissie van Enisa in Athene. Daarbij zijn ook afgevaardigden van de Amerikaanse cloudaanbieders aanwezig.
data soeverineit vs lekker makkelijk en goedkoop de data onder controle van trumps land.
Wat vind je echt belangrijk ?
Het kan ook zo : https://www.computable.nl/artikel/nieuws/overheid/7507892/250449/meta-krijgt-recordboete-van-12-miljard-euro.html
Je laat je (data) misbruiken en dan kom je achteraf met boete 😉
Als je dochter naar een loverboy sturen en dan later boos gevangenisstraf eisen.
Er zit nogal wat verschil tussen de soevereiniteit van de bestuursorganen, bedrijven en een democratische staatsmacht vanuit het volk op basis van een grondwet als we kijken naar het EU corporatisme. Want in Brussel blijven ze moeite houden met het NON van de Fransen en het NEE van de Nederlanders via een referendum over een Europese grondwet. De maatschappelijke onrust zit namelijk in het feit dat het om een toegankelijkheid tot data gaat als we naar grondwettelijke rechten zoals inzage, correctie en verwijdering kijken. Kortom, ik heb een déjà vu doordat ik zo’n 10 jaar geleden al wees op een problematiek aangaande de opslag. Vertrouwelijkheidsniveau’s klinken tenslotte als een classificatie van de data welke nog altijd achterwege blijft.
Oude discussie uit 2002 die weer opbloeit. Als respons op aanslagen op 11 september 2001, kwam GW Bush met de Homeland Security Act uit 2002. Die maakte het mogelijk om databases van Amerikaanse bedrijven te doorzoeken, inclusief de transfers van commerciële gegevens van de EU naar de V.S. Hoever dat kon gaan, is door Snowden gelekt. Data van de eigen VS burgers kwamen in het sleepnet terecht, maar de telefoons van bevriende politieke leider werden ook afgetapt. De EU kwam daarom met de EU Data Protection Directive. Wel sloot de EU gedwongen de PNR-Overeenkomst 2007 met de VS over de overdracht van persoonsgegevens van vliegtuigpassagiers.
De mogelijkheid van ‘hoog+’ niveau in het European Cybersecurity Schemes of een ‘sovereignty’ optie, o.i.d., is daarom op zich niet zo’n gekke eis voor klanten of diens klanten. Onze defensie heeft eigen datacentra en kiest ook voor een nieuw eigen Twin-datacenter voor een private cloud. Wel moet men zich realiseren dat datacenter in Noord-Amerika geografisch veiliger gesitueerd zijn. Tijdens de vorige koude oorlog heeft de Nederlandse staat niet zomaar veel goud in de VS gestald. Ook hebben Amerikaanse cloud leveranciers een schaalvoordeel. Dus wat voor een soort veiligheid wil je (bijvoorbeeld 24×7 real-time 4-3-2 of 3-2-1-1-0), van welk security – en sovereignty niveau en wat mag het kosten. Belangrijk is dat de opties juridisch en technisch zo simpel als mogelijk aangeboden worden.
Nederland is net als veel kleine Europese landen tegen de extra sovereignty. Nederland kiest traditioneel voor goedkoop en kortetermijnbelangen. De Nederlandse koopmannen verkochten vroeger ook kanons aan marines van landen waarmee we in conflict waren. Nederland hoeft de grote cloud leveranciers uit de VS niet te vertegenwoordigen; dat doen ze zelf wel. De grotere Europese landen kiezen meer voor de lange termijn en zijn meer geopolitiek bezig. Misschien ook naar hun argumenten luisteren en niet alleen naar de Zuidas.