De cloud is onmisbaar geworden in de digitale transformatie van bedrijven en overheden. Maar de laatste tijd is er een groeiende discussie over zelfstandigheid: zijn Europese organisaties niet te afhankelijk geworden van een handjevol, met name Amerikaanse, leveranciers? Zeker gezien recente geopolitieke en economische ontwikkelingen is ‘digitale soevereiniteit’ in de cloud chefsache geworden. Maar hoe realistisch is dat nou eigenlijk, zo’n soevereine cloud?
Een soevereine cloud is – in de context van cloud-computing – een cloudomgeving waarbij alle data en IT-infrastructuur volledig onder controle staan van EU-lidstaten. Dit houdt in dat data fysiek binnen de EU wordt opgeslagen en verwerkt; dat beheer en support volledig binnen lidstaten plaatsvinden; en dat cloudproviders niet kunnen worden gedwongen om data aan overheden buiten de EU te verstrekken.
Dat klinkt als een goede garantie voor privacy en AVG-compliance. Maar de (juridische) realiteit is complexer.
Juridische haken en ogen
De grootste cloudproviders in Europa zijn de Amerikaanse hyperscalers: Microsoft Azure, Amazon Web Services (AWS) en Google Cloud. Zij investeren fors in Europese datacenters en bieden op basis hiervan ‘soevereine’ cloudproducten aan.
Toch kunnen zij niet volledig voldoen aan de definitie van een soevereine cloud. Dit komt door Amerikaanse wetgeving zoals de CLOUD Act (Clarifying Lawful Overseas Use of Data) en de FISA Act (Foreign Intelligence Surveillance Act). Deze wetgeving verplicht Amerikaanse bedrijven om desgevraagd data beschikbaar te stellen aan de Amerikaanse overheid, ongeacht waar de data fysiek is opgeslagen.
Dit betekent dat zelfs als bedrijfs- of overheidsdata in een datacenter in Nederland zijn opgeslagen, de Amerikaanse overheid er via geheime bevelen toch toegang toe kan krijgen. Geheim, want Europese klanten worden vaak niet geïnformeerd over dit soort dataverzoeken. En dat vormt een groot compliance-risico onder de AVG. Ook samenwerkingen tussen Amerikaanse en Europese bedrijven bieden geen garantie, zolang de Amerikaanse partij zeggenschap heeft over de technologie en infrastructuur.
Europese toezichthouders zoals de Franse CNIL en de Europese Toezichthouder voor Gegevensbescherming (EDPS) waarschuwen dan ook expliciet voor het gebruiksrisico van Amerikaanse cloudproviders voor opslag van gevoelige data. In maart 2024 tikte de EDPS de Europese Commissie zelfs op de vingers: met het gebruik van Microsoft Office 365 in de cloud werd de AVG geschonden. Een belangrijk precedent dat aantoont dat toezichthouders maar al te bereid zijn om Europese wetgeving te handhaven.
Ook technische oplossingen bieden geen volledige zekerheid. Sommige hyperscalers leveren in het kader van een soevereine cloud securitymaatregelen zoals encryptie en sleutelbeheer door derden. Dit houdt in dat data versleuteld wordt opgeslagen en dat alleen de klant zelf toegang heeft tot de decryptiesleutels. Dit verhoogt ongetwijfeld het niveau van databeveiliging, maar het juridische probleem wordt hier niet mee opgelost. Amerikaanse autoriteiten kunnen via software-updates of monitoringtools alsnog toegang eisen en verkrijgen.
De urgentie neemt toe
Het ziet er niet naar uit dat de juridische haken en ogen snel worden opgelost. In 2023 werd weliswaar het EU-US Data Privacy Framework (DPF) geïntroduceerd om data-uitwisseling te reguleren, maar de kans is groot dat dit framework wordt aangevochten – en mogelijk wordt vernietigd, net als eerdere soortgelijke pogingen tot regulering (Schrems I en II).
Daarnaast zijn geopolitieke spanningen een groeiende factor van onzekerheid. De harde ‘America First’-strategie van Trump maakt Europese organisaties terecht nerveus over de afhankelijkheid van Amerikaanse technologie. Het gebruik van AI maakt het risico op buitenlandse toegang tot gevoelige data alleen maar groter. Inlichtingendiensten verzamelen al decennialang data, maar met nieuwe AI-technologieën kunnen ze deze informatie sneller dan ooit analyseren. Dit roept serieuze vragen op voor organisaties in Nederland die gevoelige data verwerken, bijvoorbeeld in de gezondheidszorg, financiën en overheidsdiensten. Het gebruik van Amerikaanse cloud-infrastructuur betekent in principe dat deze data toegankelijk is voor (Amerikaanse) inlichtingendiensten.
Europees en hybride
De vraag is: wat nu? Organisaties die volledige controle over hun data willen behouden, moeten kiezen voor cloudproviders binnen de EU die niet onder Amerikaanse wetgeving vallen. Die keuze dwingt echter wel tot kleinere lokale alternatieven die tot op heden het gebruiksgemak en schaalvoordeel van Amerikaanse hyperscalers niet kunnen evenaren.
Hybride cloudmodellen vormen een compromis die risico’s kunnen verkleinen. Gevoelige data kun je dan in private clouds of on-prem houden. Ook dit komt met een beperking: wil je bijvoorbeeld AI-workloads toepassen, dan vergt dit al snel forse investeringen in hardware vergeleken met het gebruik van een hyperscaler.
De huidige geopolitieke spanningen hebben Europa enigszins wakker geschud. Initiatieven om een eigen onafhankelijke infrastructuur op te bouwen zoals GAIA-X worden hierdoor hopelijk versneld. Dit is nodig om volwaardige alternatieven te bieden voor organisaties die uit de Amerikaanse cloud willen stappen.
Hoe dan ook is digitale soevereiniteit een urgent vraagstuk geworden dat direct impact kan hebben op iedere organisatie. Ongeacht of een overstap op dit moment wenselijk of realistisch is, is het daarom goed om kritisch te kijken naar je data-opslag, wie hier toegang toe heeft en welke juridische bescherming er is. Zo ben je in ieder geval klaar om actie te ondernemen als politieke, economische of juridische ontwikkelingen
Teun Visser, Technical Architect – Strategie & Advies bij PQR
