1 okt 2025
|
Gesponsord
Er is de laatste tijd veel te doen over de veiligheid van data in de cloud, en dan met name de kans dat buitenlandse actoren inzage krijgen in onze data. Veelal wordt deze discussie toegespitst op de VS en daarmee op de Amerikaanse Big Tech. Onze data zouden bij hen niet veilig zijn vanwege de CLOUD Act en vanwege Trump. “Trump kan alle e-mails van de Tweede Kamer inzien”, wordt dan gezegd door opiniemakers. Of: “Hij kan je e-mail zo laten uitzetten.” En daarom zouden wij er in Europa goed aan doen om onze eigen cloudinfrastructuur op te bouwen en onze data daarmee in eigen land, althans binnen de EU, te houden. Soevereiniteit heet dat. Dus duiken er overal soevereine diensten op.
Maar welbeschouwd zijn die diensten meestal minder soeverein dan het lijkt. Er komt veel marketing bij kijken, naast allerlei politieke, privacy-, economische en juridische argumenten en belangen. Daarnaast speelt soms de afkeer van de VS en Big Tech, bewust of onbewust, een rol. Tijd om de zin en onzin op een rijtje te zetten.
• Als je een Amerikaanse clouddienst gebruikt, kan de VS heel makkelijk data van Europese gebruikers inzien. Onjuist. Dat kan alleen onder strikte voorwaarden, onder de CLOUD Act. Uit door Microsoft en anderen gepubliceerde gegevens blijkt dat verzoeken onder de CLOUD Act zeldzaam zijn. Dat geldt ook voor de verzoeken waarover niets kan worden gezegd, de zogenaamde “gag orders”, want die zijn opgenomen in de gepubliceerde aantallen. Het ministerie van Justitie en Veiligheid publiceerde hierover een onderzoek.
• Nederlandse en Europese bedrijven vallen niet onder de CLOUD Act, dus een “soevereine” cloud beschermt tegen inzage vanuit de VS. Onjuist. Onder omstandigheden vallen ook die bedrijven onder de CLOUD Act. Ook hierover publiceerde Justitie een onderzoek.
• Amerikaanse aanbieders hebben geen enkele zeggenschap over hun soevereine clouds. Onjuist. Als je de technische en juridische details van de meeste aanbieders van “soevereine” clouds fileert, is er bijna altijd nog een link met de VS.
• Trump kan je e-mail zo laten afsluiten. Onjuist. Daarvoor is sanctiewetgeving doorgaans de aanleiding (zoals bij de sancties tegen Rusland) en die tekenen we zelf meestal ook.
• We kunnen eenvoudig een eigen cloudinfrastructuur opbouwen in de EU, of zelfs per land. Onjuist. De Amerikaanse aanbieders liggen 25 jaar voor en dat gaan we niet zomaar inhalen. Het is geen Airbus-vliegtuig, een product dat in de 40 jaar sinds Airbus begon te bouwen, weinig veranderd is. In de IT geldt de wet van Moore. Kijk maar naar Gaia-X. Daarmee zijn we al 7 jaar bezig, met weinig concreet resultaat, tegen zeer hoge kosten. En Gaia-X gebruikt ook technologie uit de VS.
• Soevereine clouds gebruiken geen techniek van Amerikaanse providers. Onjuist. Niet alleen Gaia-X gebruikt VS-technologie, maar ook de Franse “cloud de confiance” service, Bleu, gebruikt Azure als backbone.
• In Europa zijn onze data veilig(er). Niet altijd. Kijk als voorbeeld naar de Britse regering die Apple wilde dwingen om een backdoor aan te brengen. En kijk naar Nederland als een van de grootste aftappers ter wereld. En als de Fransen en de Duitsers, of heel de EU, het verkeer geheel buiten het zicht van bijvoorbeeld Microsoft gaat houden, wordt de cybersecurity versnipperd (Microsoft heeft minder datapoints en kan dreigingen minder snel zien aankomen en volgen) met als direct gevolg verminderde cybersecurity.
Dus welk probleem zijn we nu eigenlijk aan het oplossen met deze discussie over soevereiniteit? Is het dan allemaal onzin en marketing? Nee hoor. Er zijn hele goede gronden te bedenken om data in Nederland of de EU te houden. Bijvoorbeeld omdat je niet afhankelijk wilt zijn van trans-Atlantische kabels. Of omdat je klanten hebt die hun data in Nederland willen houden. En er kunnen regels zijn die opslag in Nederland eisen. Het is prima om je data te spreiden over Amerikaanse en Europese aanbieders om “vendor lock-in” te voorkomen, om de prijzen lager te houden door concurrentie of om (security)risico’s te spreiden.
Maar er is dus geen reden om de Amerikanen per definitie uit te sluiten.
Dus bekijk per geval wat er nodig en mogelijk is. Weeg, na analyse van de feiten en de risico’s, de gevaren af. Vraag door op de operationele, technische en juridische details. Laat je niet misleiden door marketing, en laat je zeker niet gek maken door fake news, politieke en andere belangen of privacy-extremisme (de AVG/GDPR staat risk-based analysis WEL toe!). Dat is pas soeverein.