Inleiding – De verwarring
Digitale soevereiniteit kent vele facetten. Er is zeer veel verschillende uitleg over te vinden. Men gebruikt de term vaak naar eigen inzicht en voordeel. Als branche organisatie Dutch Cloud Community hechten we belang aan een heldere uitleg en willen daarmee ook een basis bieden voor verdere discussie. In een eerder in februari van dit jaar gepubliceerd whitepaper hebben we deze uiteenzetting ook gedeeld.
Doel – Hebben we het over hetzelfde?
Op dit moment gebruikt iedereen de termen soevereiniteit, autonomie en onafhankelijkheid, meestal door elkaar, en zonder dat er eenduidige definities zijn. Er is behoefte aan een terminologie die door iedereen gebruikt kan worden, met begrippen die een breed draagvlak hebben. Wij willen hiermee een voorzet geven. Wij nodigen iedereen daarom uit om deze definitie zelf aan te vullen, om er kritiek op te hebben en commentaar op te leveren. Het is belangrijk dat wij allemaal (industrie, beleidsmakers, wetgevers en klanten) meedenken en het uiteindelijk eens worden over definities die we breed kunnen dragen
Waarom zoveel aandacht voor een definitie?
Een heldere definitie van digitale soevereiniteit is belangrijk omdat deze:
- herkenbaar en relevant is voor alle stakeholders (andere cloudproviders, cloudgebruikers, beleidsmakers op zowel nationaal als internationaal niveau, maatschappelijke organisaties),
- (grotendeels) door deze stakeholders wordt onderschreven,
- het mogelijk maakt de mate van digitale soevereiniteit van een product, dienst, proces of organisatie vast te stellen,
- wordt ingezet in het publieke debat over digitale soevereiniteit.
Digitale Soevereiniteit voor wie?
Het is belangrijk om vast te stellen voor wie en in welk verband we het hebben over digitale soevereiniteit. We hebben het hier over de clouddienst en diens leverancier. Meer specifiek de Europese digitale soevereiniteit. We laten dus nationale of niet-Europese soevereiniteit buiten beschouwing. De soevereiniteit van de cloudgebruiker is mede afhankelijk van de soevereiniteit van de leverancier en diens diensten.
Hoe is digitale soevereiniteit vast te stellen?
Digitale soevereiniteit kan worden bepaald aan de hand van de onderstaande, niet-uitputtende lijst van aspecten:
- Compliance aan Europese en nationale regelgeving.
- Toepasselijke jurisdictie voor de clouddienst/dataverwerking en cloudleverancier.
- Organisatorische eigenschappen van de cloudleverancier.
- Mate van controle door de data-eigenaar over de data(verwerking) en de perceptie van die controle.
- Interoperabiliteit tussen clouddiensten van dezelfde en andere cloudleveranciers en transparantie daarover.
- Portabiliteit tussen clouddiensten van andere cloudleveranciers. Eenvoudig in te richten en transparant.
- Mate van afhankelijkheid van voor de clouddienst essentiële technologie.
Ad a. Over dit aspect is waarschijnlijk weinig discussie nodig. Cloudleveranciers en hun diensten moeten voldoen aan Europese en nationale regelgeving.
Ad b. Als naleving van niet-Europese regelgeving vereist is, mag dat niet in strijd zijn met Europese regelgeving. Als er wel een conflict is, diskwalificeert deze leverancier of dienst zich als Europese soevereine partij. Het is wenselijk dat er een strengere eis komt, waarbij naleving van niet-Europese regelgeving geheel wordt verboden.
Ad c. Dit aspect gaat over de toegang tot en controle over de leverancier, dienst en dataverwerking. Als een niet-Europese entiteit de uiteindelijke belanghebbende (UBO) en/of beslisser is over deze elementen, diskwalificeert de leverancier of dienst zich als Europees soeverein.
Ad d. In hoeverre heeft de eigenaar van de data zelf zeggenschap over en controle op het proces van dataverwerking? Als die er in te beperkte mate (wat is dat dan precies?) is, is het proces van dataverwerking niet digitaal soeverein.
Ad e. Dataverwerking tussen verschillende clouddiensten van dezelfde en van verschillende cloudleveranciers is mogelijk. Het is daardoor niet noodzakelijk om alle clouddiensten bij één en dezelfde leverancier af te nemen. Er is verdere discussie nodig om dit aspect beter te definiëren. Is het bijvoorbeeld vereist om een single-sign-on dienst over verschillende cloudleveranciers te laten werken?
Ad f. Het is mogelijk om een clouddienst bij de ene leverancier in te ruilen voor een soortgelijke dienst van een andere leverancier. Het is noodzakelijk om hiervoor standaardproducttypes te definiëren voor zover die (nog) niet aanwezig zijn. De leverancier moet transparant zijn over eventuele afwijkingen van de standaard en de inspanning die nodig is voor migratie naar een andere, volledig compatibele leverancier.
Ad g. De cloudleverancier moet inzicht hebben in de mate van afhankelijkheid van niet-Europese technologie. Bij sterke afhankelijkheid moet duidelijk zijn welke mitigatie- of migratiemogelijkheden er zijn als de toegang tot deze technologie wordt geblokkeerd. Daarover moet transparant worden gecommuniceerd naar (potentiële) gebruikers. Over dit aspect is een uitgebreide discussie nodig. Het gaat niet alleen om hardware (zoals chiptechnologie) maar ook om software (zoals besturingssystemen, applicaties, SDN). In hoeverre is een cloudleverancier soeverein als de ene niet-Europese technologie eenvoudig vervangen kan worden door een andere? Worden alleen eindproducten zoals compute-faciliteiten in beschouwing genomen, of omvat dit ook toegang tot grondstoffen die noodzakelijk zijn voor deze compute-faciliteiten?
Geef je mening, vul aan, maar doe je voordeel met deze uitleg waarbij we willen bereiken dat we zoveel mogelijk vanuit eenzelfde beeld met elkaar in gesprek gaan.
.. Met dank aan Wido Potters en Simon Besteman die research en redactie voor deze uiteenzetting hebben uitgevoerd.
Dutch Cloud Community
www.dutchcloudcommunity.nl
