Dutch Cloud Community (DCC) roept gebruikers en leveranciers van clouddiensten, maar ook media, publiek en politiek op om samen de definities voor ‘digitale soevereiniteit’ en ‘soevereine cloud’ te formuleren. Volgens de belangenorganisatie voor de cloud- en internetsector is er veel onduidelijkheid rondom die begrippen.
Iedereen gebruikt de termen soevereiniteit, autonomie en onafhankelijkheid meestal door elkaar, en zonder dat er eenduidige definities zijn, ziet de brancheorganisatie. Een heldere definitie van het begrip digitale soevereiniteit is volgens de belangenorganisatie belangrijk omdat deze herkenbaar en relevant is voor betrokkenen zoals cloudproviders, cloudgebruikers, beleidsmakers op zowel nationaal als internationaal niveau en maatschappelijke organisaties. ‘Een definitie moet het mogelijk maken om de mate van digitale soevereiniteit van een product, dienst, proces of organisatie vast te stellen en kan worden ingezet in het publieke debat over digitale soevereiniteit’, stelt de organisatie.
Digitale soevereiniteit kent volgens DDC vele facetten. Men gebruikt de term vaak naar eigen inzicht en voordeel. Een hardnekkig misverstand is dat data die in Europa zijn opgeslagen onder Europese wetgeving vallen en daarmee soeverein zijn. ‘Zoals de sales-mensen van grote Amerikaanse leveranciers vaak beweren. Maar via de Amerikaanse Cloud Act kunnen die bedrijven wel degelijk gedwongen worden om inzage te geven in die data van klanten’, legt Simon Besteman, directeur van DCC uit.
In februari publiceerde de brancheorganisatie al een whitepaper over het onderwerp digitale soevereiniteit. Nu brengt het die publicatie nog een keer onder de aandacht omdat er veel belangstelling voor is gezien de geopolitieke verschuivingen.
Certificering
Pas als er een duidelijke definitie is, kan digitale soevereiniteit meegenomen worden in aanbestedingen en wetgeving, stelt Besteman. Hij verwacht dat een eenduidige definitie van digitale soevereiniteit uiteindelijk geformaliseerd zal worden in een iso-certificering en nen-norm. De directeur benadrukt dat de eerste opzet van een definitie van digitale soevereiniteit niet voor iedereen ‘de waarheid’ hoeft te zijn en nog zijn vaste vorm moet krijgen door de input van betrokkenen. ‘Zie het als een eerste framework dat voor discussie moet zorgen om uiteindelijk tot eenduidigheid en vervolgens een norm te komen.’
Hoe is digitale soevereiniteit vast te stellen?
Om die vraag te beantwoorden, noemt de Dutch Cloud Community onderstaande zeven, niet-uitputtende lijst van aspecten:
1.Compliance aan Europese en nationale regelgeving.
2.Toepasselijke jurisdictie voor de clouddienst/dataverwerking en cloudleverancier.
3.Organisatorische eigenschappen van de cloudleverancier.
4.Mate van controle door de data-eigenaar over de data(verwerking) en de perceptie van die controle.
5.Interoperabiliteit tussen clouddiensten van dezelfde en andere cloudleveranciers en transparantie daarover.
6.Portabiliteit tussen clouddiensten van andere cloudleveranciers. Eenvoudig in te richten en transparant.
7.Mate van afhankelijkheid van voor de clouddienst essentiële technologie.
Belangstellenden kunnen zich via het mailadres van de brancheorganisatie (info@dutchcloudcommunity.nl) melden. De werkgroep die namens de brancheorganisatie met het onderwerp bezig is, wijst binnenkort een vaste contactpersoon aan.
