Met de huidige geopolitieke ontwikkelingen is het voor zowel overheidsorganisaties als bedrijven cruciaal geworden om na te denken over hun afhankelijkheid van Amerikaanse techgiganten. Wat als het voorheen ondenkbare toch gebeurt en de Trump-administratie – bijvoorbeeld – Microsoft opdracht geeft om als drukmiddel Azure in Nederland of de gehele EU uit te zetten? Nemen bedrijven en overheden de gok en proberen ze deze zeer onrustige periode uit te zingen? Of gaan zij serieus op zoek naar een Europese cloudinfrastructuur? Want die is er namelijk wel degelijk.
De Belgische cloud-aanbieder Whitesky nam al de proef op de som. Binnen de kortste keren had men een volwaardige en op open source-technologie gebaseerde content en collaboration-omgeving in de lucht. Men koos voor email, file sharing, video conferencing en chat, evenals een office suite. De oplossing werd een combinatie van Mail-in-a-Box en het Duitse Nextcloud. Zo makkelijk kan het kennelijk zijn. Maar lukt dat ook met een cloud stack waar enterprise-applicaties in zijn opgenomen? Dat vraagt wat meer gepuzzel. Te beginnen met de vraag: hoe moet die cloud stack er dan uitzien? En waar hosten we die?
Er zijn behoorlijk veel Europese datacenters die bovendien Europees eigendom zijn. Bedrijven als OVHcloud, T-Systems, Outscale, Scaleway, Data4 Group, NorthC Datacenters en TaigaCloud zijn maar een kleine greep uit het stevige aanbod. Zij bieden colocatie-, hosting- en clouddiensten aan in tal van Europese en andere landen. Deze bedrijven kennen geen volledige overlap met de geografische dekking van de techgiganten, maar bieden in ieder geval in Europa serieuze opties, met bovendien veel kennis van zaken. Zo is T-Systems een grote partner van SAP. Outscale is een dochter van Dassault Systèmes dat voor wereldwijd tienduizenden industriële ondernemingen bedoelde applicaties als SolidWorks uit de cloud aanbiedt. En een bedrijf als Nextcloud levert een volwaardige office suite compleet met file sharing en workflow-oplossingen via tal van hostingpartners. Anders gezegd, partijen die prima in staat zijn om missie-kritische ict te faciliteren.
Op basis van open source-oplossingen kunnen we bovendien een volwaardige eigen infrastructuur voor het hosten van cloud services opzetten. Neem Sovereign Cloud Stack (SCS), een open source-project dat een uit meerdere lagen opgebouwde architectuur beschrijft die gebruikt kan worden voor het creëren van een soevereine open source cloud stack. Ook is daar EuroStack, een breder project dat zich richt op het bevorderen van Europese technologieën in verschillende sectoren, waaronder cloud computing. Waar EuroStack vooralsnog vooral als concept bestaat, is de architectuur van SCS allang in productieomgevingen in gebruik. Bijvoorbeeld bij bedrijven als Kubernetes-specialist SysEleven of ScaleUp Technologies dat zijn ScaleUp Open Cloud op SCS heeft gebaseerd. Hier draaien serieuze enterprise-applicaties.
Europese cloud bestaat allang
Ook op het gebied van privacy, databeveiliging en productiviteit zijn serieuze Europese oplossingen beschikbaar. Zo biedt het eerder genoemde Nextcloud een veilig alternatief voor Office 365, terwijl toepassingen als ToDoist (Zwitserland, productiviteit), Proton Mail (Zwitsers) en Tutanota (Duits, encrypted email), Joplin (open source productiviteit) en Vivaldi (Noorwegen/IJsland, enterprise browser) Europese alternatieven bieden. Deze tools helpen bedrijven om controle te houden over hun data en hun communicatie. Niet alles komt als een geïntegreerde suite, maar samen werkt alles wel.
Die Europese cloud is er dus eigenlijk allang. Probleem is alleen wel dat veel gestructureerde en ongestructureerde Europese data in niet-Europese clouds zijn ondergebracht. Een belangrijke uitdaging vormen dus de kosten die gepaard gaan met het terughalen van die data naar Europese datacenters. Deze egress-kosten kunnen fors zijn, ondanks de beloften van sommige techgiganten om deze kosten af te schaffen.
Sovereign Cloud-projecten
Maar hoe zit het dan met de sovereign cloud-projecten van Amerikaanse bedrijven als AWS en Microsoft? Bieden die dan geen oplossing voor de gewenste digitale soevereiniteit? Inderdaad beloven deze bedrijven Europese data enkel in Europa vast te leggen en zich te houden aan de Europese wet. Hier gooit de US Cloud Act echter roet in het eten. Die zegt namelijk – zeer kort gezegd – dat in Amerika gevestigde bedrijven wel degelijk juridisch gedwongen kunnen worden om inzage te geven in data, ook als zij die in datacenters buiten de VS opslaan.
Daarmee vormen deze projecten dan ook geen oplossing waarop we mogen vertrouwen. Landen als Frankrijk hebben dit probleem al gedeeltelijk ondervangen door een eigen soevereine cloud te ontwikkelen. In het Franse geval gaat het om Blue, een joint-venture van Orange en Capgemini die geheel onder de Franse wetgeving valt en eigendom van Franse entiteiten is. Daarmee is deze ‘Cloud de Confiance’ bedoeld voor Franse overheidsorganisaties en veiligheidsprojecten.
Projecten voor publieke sector
Er gebeurt nog veel meer als het om Europese overheden en cloud gaat. Projecten als het Open Webconcept en PublicStack laten zien wat er mogelijk is als lokale overheden besluiten dat zij een eigen IT-koers gaan varen. Zo starten naar verwachting nog dit jaar starten enkele tientallen Nederlandse gemeenten met het gebruik van Nextcloud-apps die gehost worden in Nederlandse datacenters. Interessant genoeg combineren zij dit vooralsnog gewoon met Microsoft Office voor kantoorautomatisering. PublicStack op zijn beurt is een project dat zich richt op het ontwikkelen van een open source cloud-infrastructuur die specifiek is ontworpen voor de publieke sector.
De toekomst van de grotendeels op open source gebaseerde Europese cloud- en it-infrastructuur zag er technisch altijd al rooskleurig uit. Het probleem was – en is dat helaas nog altijd – dat er een soort automatisme lijkt te zijn ontstaat: voor productiviteit kiest vrijwel iedere organisatie – commercieel of publiek – voor Office 365 en voor zwaardere enterprise-applicaties selecteert men Azure of AWS of Google. Wie de vele reacties en bespiegelingen op sociale media als LinkedIn ziet, zou bijna gaan denken dat hier een vorm van gemakzucht aan ten grondslag ligt. Zoals lang geleden niemand ontslagen werd als hij of zij voor IBM koos, lijkt het nu soms wel of hetzelfde geldt voor wie kiest voor de cloud-oplossingen van een van de techgiganten. Wie luistert naar Europese aanbieders van technisch vaak grotendeels gelijkwaardige oplossingen hoort de frustratie: men wordt vaak niet eens uitgenodigd voor uitvragen.
Service en support
De Trump-regering heeft in een paar weken tijd verandering gebracht in deze situatie. Die veilige keuze voor een techgigant lijkt ineens helemaal niet meer zo veilig. Het is nu aan de Europese techaanbieders om zich als serieuze alternatieven op te stellen. Of beter gezegd: als simpelweg een uitstekende oplossing. Waarbij zij niet alleen hun technologisch vaak zeer hoogwaardige producten en diensten onder de aandacht brengen, maar ook laten zien dat zij optimaal kunnen inspelen op de behoeften van grotere gebruikersorganisaties als het om bijvoorbeeld service en support gaat.
Een belangrijk aspect hierbij is ook het verder uitbouwen van standaarden en certificeringen voor Europese cloud-diensten. Dit kan helpen om het vertrouwen in deze diensten te vergroten en de adoptie ervan te bevorderen. Hoewel de technische kwaliteit van veel Europese techbedrijven boven iedere twijfel verheven is, vinden risicomijdende bedrijven en overheden het soms wel spannend om niet met een techgigant in zee te gaan, maar met een middelgroot Europees bedrijf. Waar men zich geen zorgen dacht te hoeven maken over de continuïteit van de dienstverlening van Microsoft of AWS, deed men dat wel over de vaak veel kleinere Europese bedrijven. De wereld is nu echter veranderd.
Overstappen naar een Europese cloud-omgeving is voor veel organisaties dus wel degelijk mogelijk. Het is vooral een kwestie van doen – en durven. Ongetwijfeld zal er soms functionaliteit ontbreken. Of nog ontwikkeld moeten worden. Dus ja, er zitten inderdaad uitdagingen aan vast. Al was het maar omdat letterlijk iedereen zal moeten wennen aan een andere omgeving – van eindgebruiker tot cloud engineer.
Het artikel benadrukt goed de noodzaak voor Europese organisaties om hun afhankelijkheid van Amerikaanse technologiebedrijven te heroverwegen vanwege geopolitieke spanningen. Het risico dat Amerikaanse bedrijven hun diensten in Europa zouden kunnen staken, maakt het cruciaal om naar Europese alternatieven te kijken.
Hoewel overstappen naar een Europese cloudinfrastructuur uitdagingen met zich meebrengt, is het zeker mogelijk. Er zijn betrouwbare Europese cloudproviders die strikte privacywetgeving volgen. Het artikel roept op tot een serieuze evaluatie van deze opties om de digitale soevereiniteit van Europa te waarborgen.
Als alternatief kunt u overwegen om over te stappen naar LiveSchijf.com, een Nederlandstalige cloudopslagdienst die samenwerkt met Jottacloud. LiveSchijf.com biedt veilige back-up, synchronisatie en bestandsdelingsmogelijkheden, volledig beschermd door Europese privacywetgeving. Met gebruiksvriendelijke apps voor iOS en Android, kunt u gemakkelijk uw bestanden beheren en toegankelijk houden.
Een serieuze evaluatie van de bestandsdelingsmogelijkheden gaat om wie er gevraagd en ongevraagd toegang hebben tot de data die ook zoiets als de metadata omvat. Want de Cloud Act gaat om geen idee hebben wat er gedeeld wordt maar vanuit de verdachtmaking van de relatie het TSA slot openen door Amerikaanse providers te dwingen data over te dragen. Idee van makkelijk bestanden beheren en toegankelijk houden met iOS en Android lijkt me daarom te wringen met de wens tot soevereiniteit.
Want die one ring to rule in de discussie met Dino geldt niet zo zeer de provider maar de versleuteling. En ja, Jottacloud biedt versleuteling maar behoudt zelf de sleutels. Dat is wederom een TSA slot als we kijken naar de mastersleutel waardoor er technisch nog geen garantie is dat na een juridisch bevel je data alsnog onversleuteld overgedragen wordt aan een overheid die jouw of je organisatie ergens van verdenkt. Want uiteindelijk kan er via een Mutual Legal Assistance Treaty een verzoek aan Noorwegen gedaan worden om data over te dragen doordat er een spanningsveld zit tussen de technische beveiliging en juridische bevoegdheden.
Stel dat er vermoedens zijn dat een gebruiker kinderporno, terroristisch materiaal of gestolen documenten opslaat op een platform als LiveSchijf, wat gebeurt er dan?
Iedereen heeft de mond vol over soevereiniteit maar net als met de cloud begrijpen ze niet zo goed wat het inhoudt door juridische, geopolitieke en economische aspecten in bestandsdelingsmogelijkheden. Hierin leidde het economische aspect enkele jaren geleden tot een verlies aan data toen de eerstelijns providers van functionele diensten failliet gingen en gebruikers niet bij hun data konden die opgeslagen was bij een tweedelijns dienst. LiveSchijf is een reseller van JottaCloud maar als er geen escrow, contractuele fallback of migratieplan is dan verlies je de toegang tot je data. Of je moet een rechtstreeks contract hebben met de opslagdienstverlener waardoor je de toegevoegde waarde van de reseller moet evalueren.