Computable - 13 risico’s van het gebruik van Amerikaanse cloudtechnologie

13 risico’s van de Amerikaanse cloud

Leunen op de Amerikaanse cloud is gevaarlijk, zo klinkt het in de publieke opinie. Maar waarom eigenlijk? Drie prominente stemmen in het debat – Simon Besteman, Michiel Steltman en Menno Weij – benoemen de risico’s.

Tekst: MELS DEES Beeld: ENVATO

1. Geopolitieke kwetsbaarheid

Volgens Simon Besteman (Dutch Cloud Community) en Michiel Steltman (consultant digitale infrastructuur) is de veronderstelde veiligheid van Amerikaanse technologie achterhaald door veranderende geopolitieke verhoudingen. Waar vroeger werd aangenomen dat techreuzen als Microsoft niet zwichten voor politieke druk, is dat beeld inmiddels bijgesteld. Steltman merkt op dat de kans dat een partij als Microsoft rare dingen zou moeten doen onder politieke druk, vroeger als nihil werd verondersteld. ‘Dat beeld veranderde.’ Besteman stelt dat de alliantie met Amerika niet meer vanzelfsprekend is. ‘Als er sancties worden opgelegd, zijn Amerikaanse bedrijven verplicht om gebruikers de toegang tot systemen te ontzeggen.’

2. Inlichtingenrisico via Amerikaanse wetgeving

Menno Weij (advocaat bij The Data Lawyers) wijst op de fundamentele juridische kwetsbaarheid die voortvloeit uit Amerikaanse surveillancewetgeving. Ook wanneer data fysiek in Europa staan opgeslagen, kan de Amerikaanse overheid toegang eisen. ‘De NSA’s van deze wereld kunnen zo gegevens krijgen van ook, bijvoorbeeld, de Europese cloud van Microsoft of Oracle.’ Dat betekent dat bedrijven en overheden die denken dat hun data in Europa veilig zijn, alsnog blootstaan aan buitenlandse inmenging.

3. Gebrekkige rechtsbescherming

Een belangrijk probleem is dat Europese burgers in de VS niet dezelfde rechtsbescherming genieten als in Europa. Zij kunnen volgens Weij hun rechten in Amerika niet bij een onafhankelijk instituut uitoefenen. Hij verwijst naar eerdere uitspraken van het Europees Hof, dat precies op dit punt het Privacy Shield ongeldig verklaarde. Ondanks een nieuw verdrag, het EU–VS Data Privacy Framework (DPF), is dit bezwaar nog niet opgelost.

‘Een decreet kan worden ingetrokken door dezelfde of een nieuwe president. Dit maakt het hele framework instabiel als basis voor datadoorgifte’

Menno Weij, advocaat bij The Data Lawyers

4. Juridische instabiliteit van het Data Privacy Framework

De garanties van het nieuwe DPF zijn volgens Weij niet wettelijk verankerd, maar vastgelegd in een presidentieel decreet. Daarmee zijn ze politiek kwetsbaar. ‘Een decreet kan worden ingetrokken door dezelfde of een nieuwe president. Dit maakt het hele framework instabiel als basis voor datadoorgifte.’

5. Politieke invloed op toezicht

Daar komt bij dat het Amerikaanse toezicht op klachtenprocedures niet voldoende onafhankelijk functioneert. Weij wijst erop dat tijdens het presidentschap van Trump alle Democratische leden van de oversight board, een onafhankelijk orgaan dat toeziet op de moderatie van sociale media platforms, zijn ontslagen – dat zijn vier van de vijf leden. ‘Dat instituut, dat toezicht moet houden, is vleugellam gemaakt, omdat iemand in zijn eentje niks kan doen,’ legt hij uit. Politieke benoemingen in toezichthoudende functies tasten het vertrouwen in het systeem aan.

6. Structurele instabiliteit van juridische bescherming

Volgens Weij is het hele juridische kader in de VS te vluchtig en te weinig structureel. Hij noemt het systeem ‘onvoldoende in beton gegoten’. De risico’s zijn niet incidenteel, maar ingebakken in hoe de VS met gegevensbescherming omgaat. Dat betekent dat bedrijven die vertrouwen op Amerikaanse cloudtechnologie blootstaan aan plotselinge juridische of politieke veranderingen, met directe gevolgen voor hun datastromen.

‘Je krijgt te maken met eenzijdige voorwaarden of stijgende licentiekosten waar je weinig tegen kunt doen’

Michiel Steltman, consultant digitale infrastructuur

7. Economische risico’s van vendor lock-in

Ook los van juridische kwesties zijn er forse bedrijfseconomische risico’s. De dominantie van Amerikaanse aanbieders leidt tot een bijzonder hoge mate van afhankelijkheid, waardoor klanten hun onderhandelingspositie verliezen. ‘Je krijgt te maken met eenzijdige voorwaarden of stijgende licentiekosten waar je weinig tegen kunt doen,’ aldus Steltman. Besteman vult aan dat veel overheden al zodanig afhankelijk zijn dat ze hun eigen infrastructuur niet meer kunnen beheren: ‘We zijn in Europa niet meer in staat om onze it zelf te runnen.’

8. Verlies van technologische soevereiniteit

De impact van deze afhankelijkheid strekt verder dan de directe relatie tussen klant en leverancier. Volgens Besteman ondermijnt de afhankelijkheid het toekomstperspectief van de Europese technologiesector. ‘Je kunt niet verwachten dat het aanbod van de Europese sector ooit kan concurreren als de grootste klant – de overheid – geen zaken met je doet.’ Zonder eigen afzetmarkt wordt de opbouw van technologische onafhankelijkheid eigenlijk onmogelijk.

9. Wegvloeiend economisch kapitaal

De economische consequenties zijn eveneens aanzienlijk. Volgens Besteman ‘gaat een euro die je in Nederland uitgeeft aan een clouddienst via Ierland, waar veel Amerikaanse partijen kantoorhouden, naar Amerika.’ Dat geld komt dus niet ten goede aan lokale werkgelegenheid of investeringen in de Europese digitale infrastructuur. Het economische rendement stroomt weg, net als de regie over de digitale economie.

10. Onvoldoende controle over gevoelige data

De Cloud Act en andere Amerikaanse wetten vormen een fundamenteel beveiligingsrisico. Besteman maakt het concreet: ‘Het is waarschijnlijk geen goed idee dat de mail van de premier door de Amerikaanse overheid opgevraagd mag worden.’ Steltman erkent dat encryptie deels bescherming kan bieden, maar noemt het complex in uitvoering en lang niet altijd toereikend.

‘Het is waarschijnlijk geen goed idee dat de mail van de premier door de Amerikaanse overheid opgevraagd mag worden’

Simon Besteman, Dutch Cloud Community

11. Erosie van lokale kennis en infrastructuur

Door de structurele uitbesteding van it-taken aan Amerikaanse partijen droogt ook de binnenlandse kennis op. Besteman: ‘Waarom zou een hogeschool nog mensen opleiden als er geen vraag meer is, omdat alles in Amerika wordt gedaan?’ Het gevolg is dat niet alleen overheden zelf minder grip hebben, maar ook dat het ecosysteem van lokale leveranciers, opleidingen en innovaties afbrokkelt.

12. Schijnveiligheid van Europese cloudoplossingen

Sommige Amerikaanse aanbieders promoten cloudoplossingen van hun Europese vestigingen als veilig alternatief. Maar volgens Weij is dat een illusie: ‘De juridische realiteit van een Amerikaans bedrijf overstijgt de fysieke locatie van de data.’

13. Onhoudbaarheid van SCC’s en DTIA’s

Tot slot waarschuwt Weij voor het vertrouwen op standaardcontracten (SCC’s) en data transfer impact assessments (DTIA’s). Volgens hem blijkt bij een degelijke analyse vaak dat doorgifte naar de VS simpelweg niet te verantwoorden is. ‘Je moet uiteindelijk vaststellen dat je je recht dus niet kunt waarborgen,’ zegt hij.

Behoefte aan een plan B

De risico’s die Besteman, Steltman en Weij signaleren zijn reële bedreigingen die zich in de praktijk al voordoen. Ze pleiten gezamenlijk voor een heroverweging van de digitale strategie, waarbij niet alleen naar innovatie of kosten wordt gekeken, maar nadrukkelijk ook naar autonomie, controle en continuïteit. Besteman: ‘Het is een goed moment om te kijken: wat nemen we af, wat is vitaal, en waar hebben we een plan B nodig?’