Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie het EU-VS Privacy Shield ongeldig verklaard met het Schrems II arrest. Het Privacy Shield was een overeenkomst tussen de Verenigde staten en Europa die het mogelijk maakte om legaal persoonlijke data van Europese burgers uit te wisselen met de Verenigde Staten. Meer dan een jaar na deze uitspraak is het nog steeds wachten op nieuwe wetgeving voor transatlantische datauitwisseling. Nu de European Data Protection Supervisor (EDPS) onlangs een onderzoek is gestart naar het gebruik van Amazon Web Services en Microsoft binnen EU-instanties, lijkt een oplossing verder weg dan ooit. Dit leidt tot de vraag of er alternatieven bestaan voor de Amerikaanse cloud providers.
Volgens Adriaan Hoogduijn, COO van het Nederlandse fintech bedrijf Hyarchis, is het antwoord op deze vraag zonder twijfel ‘ja’. Hyarchis is onder meer actief in de sterk gereguleerde banksector waarin één van haar klanten onlangs een halt heeft toegeroepen aan alle cloudprojecten. De directe aanleiding voor deze beslissing was het Schrems II arrest. Deze beslissing zette extra druk op een project waarvoor reeds strakke deadlines bestonden en hierdoor moest er creatief worden nagedacht. Na het overwegen van diverse alternatieven werd de oplossing gevonden in een Europese cloud provider.
De zaak Schrems II: als donderslag bij heldere hemel
Adriaan Hoogduijn: ‘Het project betrof een grootschalig customer due diligence traject dat slechts een druk op de knop verwijderd was van uitvoering. Na meer dan zes maanden van uitgebreide voorbereiding trok de directie plotseling de stekker uit alle cloud-gerelateerde projecten. Het projectteam bevond zich door deze beslissing in een onmogelijke situatie: de deadline bleef staan, terwijl alle benodigde technologie om deze deadline te halen plots onbeschikbaar werd’.
De tijd werd schaarser en het projectteam moest snel met een oplossing komen. Het handmatig verwerken van honderdduizenden klantgegevens ging niet alleen veel langzamer dan verwacht, maar vooral ook een stuk minder accuraat. Na een korte overweging om de oplossing van Hyarchis in een on-premise omgeving te draaien wendde het team zich tot een in Europa gevestigde cloud provider. Hiermee werden de beperkingen van Schrems II immers omzeild zonder de voordelen van een cloudinfrastructuur op te hoeven geven.
Europese cloud services providers
Het opzetten van een Europese cloud is echter niet zo makkelijk als het lijkt, verzekerd Adriaan Hoogduijn: ‘Europese cloud services providers bieden een significant beperktere infrastructuur in vergelijking met hun Amerikaanse concurrenten. Dit betekent dat veel tech services zoals logging en monitoring zelf moeten worden opgezet terwijl er hiernaast veel tijd moet worden geinvesteerd in het onderzoek naar voorwaardelijke zaken zoals ultimate beneficial ownership. Dit vergt een behoorlijke tijdsinvestering daar de documentatie van Europese cloud services providers aanzienlijk beperkter is dan die van hyperscalers, zoals Amazon, Microsoft, IBM en Google.
Zelfs als het ultimate beneficial ownership niet terugleidt naar de Verenigde Staten en de gaten in de documentatie zijn dicht gelopen, beaamt Adriaan dat het opzetten van een Europese cloud nog verre van compleet is: ‘Een Europese cloud biedt een relatief kale infrastructuur en is een stap terug van de ‘Platform as a Service’-filosofie (PaaS) van de Amerikaanse hyperscalers. Waar de hyperscalers focussen op een brede variëteit aan services op het gebied van veiligheid, database, logging en het monitoring, leveren Europese cloud services providers hun infrastructuur veel meer als een blank canvas. Dit betekent dat je voor een Europese cloud een eigen engineering team aan boord moet hebben om invulling aan onder meer beveiliging, deployment, databasestructuur, logging en monitoring. Dit leidt niet alleen af van de kern van je oplossingen, maar brengt ook de nodige risico’s met zich mee die in de PaaS-filosofie veelal geheel afwezig zijn’.
Multi-cloudstrategie
Het inrichten van een Europese cloud is een arbeidsintensief traject dat veel expertise vereist, zo stelt Adriaan Hoogduijn. De vraag is daarom of Hyarchis een Europese cloud ook als een oplossing voor de lange termijn ziet. Adriaan Hoogduijn zegt hierover: ‘Zeker en niet alleen omdat we veel tijd en werk hebben gestoken in het optuigen van onze Europese cloud. Het privacy shield is reeds vanaf haar inceptie een moeilijk onderwerp geweest. De Amerikaanse regering onder Trump heeft de regeling nooit volhartig gesteund en de implementatie hiervan zelfs moedwillig vertraagd. De regering onder Biden heeft, ondanks hooggespannen verwachtingen op dit vlak, tot dusver nog geen prioriteit gegeven aan het onderwerp. Het valt kortom nog maar te bezien wanneer er een plaatsvervanger komt voor het Privacy Shield en wat dit betekent voor de uitvoering van transatlantische datatransfers’.
Ondertussen heeft Hyarchis zich gevoegd bij een groeiende groep van tech spelers die het nieuwe Privacy Shield niet afwachten, maar actief werken aan alternatieven voor hun klanten. Adriaan Hoogduijn: ‘De cloud journey van onze klanten is voor hen een strategische beslissing om concurrentievoordeel te behalen in een sterk gereguleerde markt. In plaats van deze ambities voor onbepaalde tijd op te schorten, zien wij het als onze rol als IT-leverancier om deze obstakels weg te nemen. Een multi-cloudstrategie biedt ons, en vele andere technologiebedrijven, hierbij uitkomst’.