Europese overheden moeten er voor waken dat ze te afhankelijk worden van Amerikaanse cloudaanbieders. De EU maakt zich hard voor cloudsoevereiniteit, maar in de praktijk zijn het de Amerikanen die de markt domineren. Vertrouwen, beveiliging en verscheidenheid zijn daarbij ver te zoeken. Analisten van de Haagse denktank Clingendael zwengelen de discussie weer aan.
Om de kwetsbaarheden van de cloud te verminderen, is het essentieel om Europese providers de kans te geven te groeien en op maat gemaakte oplossingen te ontwikkelen, schrijven de analisten in hun zogeheten policybrief. Dit kan onder meer door middel van specifiek op hen gerichte overheidsaanbestedingen die op termijn kunnen bijdragen aan de ontwikkeling van levensvatbare cloudinfrastructuur in EU-lidstaten.
Niets nieuws
De discussie over datasoevereiniteit binnen de Europese Unie is niet nieuw. De behoefte aan een onafhankelijke en veilige dataverwerking en -opslag leidde onder meer tot het initiatief Gaia-X, wat je kunt zien zien als een eerste stap in de opbouw van een robuuste, veilige en concurrerende Europese cloudinfrastructuur. Het project werd in 2020 gelanceerd met als doel een betrouwbaar en transparant digitaal ecosysteem te creëren, waarbij data binnen de EU blijft en wordt beheerd volgens de strenge Europese regelgeving op het gebied van privacy en gegevensbescherming.
Amerikaanse cloudproviders hebben stappen ondernomen om tegemoet te komen aan de Europese bezwaren. Zo kent bijna elke provider inmiddels specifieke EU-cloudregio’s, ontworpen om ervoor te zorgen dat de data van Europese klanten binnen de grenzen van de Europese Unie blijven, in overeenstemming met de strenge EU-regelgeving op het gebied van privacy en gegevensbescherming. De analisten zijn echter nog niet overtuigd van de levensvatbaarheid van de EU-regio’s van Amerikaanse cloudproviders. Ze denken dat deze oplossing op termijn wel eens te duur kan zijn voor de providers.
Cloud Act
Onderliggend probleem in de soevereiniteitsdiscussie is de Amerikaanse Cloud Act. Deze wet verplicht Amerikaanse cloudaanbieders om mee te werken als de Amerikaanse overheid toegang wil tot data die hun klanten in Europa hebben opgeslagen, ook hun Europese klanten. In de praktijk gebeurt dit vrijwel nooit, meldde het Nederlandse Nationaal Cyber Security Centrum (NCSC) eind 2022 na extern onderzoek in de transparantieverslagen van Microsoft, Amazon en IBM. Volgens de Clingendael-onderzoekers zegt dit echter niet zo veel, omdat de wet wel een verplichting betekent.
Microsoft ontving tussen maart 2018 en eind 2022 twaalf verzoeken, waarvan een onbekend aantal ook nog klanten elders in de wereld betreft. In 2021 meldde IBM dat de Amerikaanse autoriteiten slechts eenmaal verzochten om de gegevens van klanten in de EU. Het verzoek zou zijn afgewezen. Bij Amazon zou de Amerikaanse overheid tot eind 2022 nog nooit toegang hebben verleend tot klantgegevens die buiten de VS zijn opgeslagen.
Nederland
De laatste jaren hebben veel Nederlandse overheden, vitale organisaties, scholen en bedrijven hun it geheel of gedeeltelijk uitbesteed aan Amerikaanse cloudleveranciers. Volgens de NOS worden Microsoft mailservers gebruikt door zes op de tien organisaties, zoals de Eerste en Tweede Kamer, de Autoriteit Financiële Markten en de Nederlandse Zorgautoriteit.
63 procent van de 3800 grootste bedrijven die de NOS onderzocht, gebruikt clouddiensten van Microsoft en Google. Het gaat onder meer om chipmachinefabrikant ASML en scheepswerf Damen. 60 procent van 110 onderzochte vitale bedrijven, zoals netbeheerders, banken en drinkwaterbedrijven, gebruikt Microsoft of Google.
