De Europese Commissie wil het voor cloudbedrijven van buiten de EU minder lastig maken om diensten te leveren aan Europese klanten dan eerst bedacht. In een nieuwe conceptversie van het zogeheten cybersecurity certification scheme (EUCS) worden niet-EU-cloud-aanbieders niet meer verplicht om samen te werken met een Europees bedrijf en hun data in de EU te bewaren en verwerken. Dit meldt nieuwsdienst Reuters.
Een eerdere versie van het concept legde cloud-aanbieders van buiten de EU zulke voorwaarden op om in aanmerking te komen voor een speciaal cybersecurity-label. Het idee erachter was dat Europese bedrijven en organisaties daarmee zeker weten dat hun cloudleverancier niet valt onder wetten en regels elders in de wereld. Technologische soevereiniteit heeft de prioriteit binnen het landenblok. Bovendien wil de EU Europese cloud-aanbieders een eerlijke kans geven om tot wasdom te komen.
Cloud Act
De afhankelijkheid van ‘extra-territoriale wetgeving’ is geen hypothetisch probleem voor EU-organisaties. Amerikaanse aanbieders zoals Microsoft, Google en AWS, die ook de Europese cloudmarkt domineren, moeten zich schikken naar de Amerikaanse Cloud Act. Deze wet verplicht hen mee te werken als de Amerikaanse overheid na een gerechtelijke uitspraak toegang wil tot data die hun klanten in Europa hebben opgeslagen. Volgens het Nederlandse Nationaal Cyber Security Centrum (NCSC) gebeurt dit in de praktijk vrijwel nooit. Uit onderzoek zou blijken dat de grote Amerikaanse hyperscalers de afgelopen jaren geen of slechts een handjevol verzoeken vanuit hun overheid ontvingen.
In de nieuwe conceptversie van het EUCS staat dat cloud-aanbieders van buiten de EU alleen hoeven te melden waar ze de data van hun EU-klanten opslaan en verwerken en welke wetgeving daarbij van toepassing is. Volgens Reuters zou deze voorgestelde versoepeling niet alleen goed nieuws zijn voor de grote Amerikaanse cloudpartijen, maar ook voor diverse Europese bedrijven en startups. Banken, verzekeraars en jonge ondernemingen zouden technische oplossingen belangrijker vinden dan de politieke regels over waar data moeten worden bewaard. De EUCS zou Nederland en België zwaar treffen, bleek bovendien uit een analyse van het European Centre for International Political Economy (Ecipe).
De EUCS is nog niet definitief. Het aangepaste conceptvoorstel van de Europese Commissie ligt ter beoordeling bij de 27 lidstaten. Hun feedback wordt verwerkt in een definitieve tekst.
Nou nou, waar kwam deze plotselinge helderheid van geest vandaan bij de EC?