Dutch Cloud Community
Zoeken
Sluit dit zoekvak.
SLUIT JE AAN
  • Home
  • Nieuws
  • Wat is nu “soeverein” en wat is “sovereign-washing”?
Wat is nu “soeverein” en wat is “sovereign-washing”?

Wat is nu “soeverein” en wat is “sovereign-washing”?

Wat is nu “soeverein” en wat is “sovereign-washing”?

De afgelopen weken hebben bijna alle grote Amerikaanse techbedrijven hun eigen “soevereine cloudoplossingen” aangekondigd. Van Oracle tot Microsoft en AWS: allemaal presenteren ze een antwoord op de groeiende Europese behoefte aan digitale autonomie. Hun boodschap? “Wij, als Amerikaanse providers, zorgen voor uw Europese soevereiniteit; u hoeft niets te doen.”

Deze stroom aan aankondigingen onderstreept hoe serieus de hyperscalers de roep om digitale autonomie nemen. Maar hoe geloofwaardig zijn deze beloftes? En bieden ze werkelijk soevereiniteit?

Het eerlijke antwoord: meestal niet. Soms deels; afhankelijk van de gekozen aanpak.

Wat is er nodig voor echte digitale soevereiniteit?

Om het simpel te houden: een clouddienst moet volledig voldoen aan de Europese regelgeving, denk aan de AVG, NIS2, DSA en de Data Act. Maar daar stopt het niet. De dienst mag óók niet onderhevig zijn aan niet-Europese wetgeving, zoals de Amerikaanse CLOUD Act of FISA. Die wetten verplichten Amerikaanse bedrijven om data over te dragen aan hun overheid, ongeacht waar die data fysiek staat.

UBO

De Amerikaanse wetgeving gaat ver: zolang de provider gecontroleerd is door een Amerikaanse UBO blijft de VS wetgeving van toepassing. En als er geen rechtstreekse koppeling is kan de rechter in Washington het bedrijf opdracht geven om er een aan te leggen. Dit is in het verleden wel eens gebeurt. Het Nederlandse NCSC geeft zelfs de aanbeveling dat Europese bedrijven geen Amerikanen in dienst moeten nemen als ze buiten de reikwijdte van de US CLOUD ACT willen blijven.

Welke “soevereine” smaken bieden de hyperscalers?

  1. Data-lokalisatie
    “Uw data staat in een Europees datacenter, dus is veilig.” Laten wij hier kort over zijn: het maakt voor de Amerikaanse wet helemaal niets uit waar de data staat. Voor de CLOUD ACT is er geen onderscheid tussen data die Microsoft in de Hollandse Beemster of in Virginia op de servers heeft staan. Het staat bij Microsoft, dat is een Amerikaans bedrijf, dus het mag opgevraagd worden. Zo simpel is het.

  2. Een Europese entiteit
    Ja maar, zeggen AWS, Microsoft maar ook bijvoorbeeld Oracle: wij hebben een apart bedrijf opgericht dat onder Nederlands (of Duits, of Iers) recht valt. Je data staat niet bij AWS Inc, het Amerikaanse bedrijf, maar staat bij AWS GmbH, of BV, een Europees bedrijf. Nog steeds denken veel mensen dat hiermee het probleem is opgelost. Helaas is dat niet het geval. De analyse van het NCSC maakt duidelijk dat zolang er een relatie is tussen die Europese entiteit en een Amerikaans moederbedrijf, de US wetgeving gewoon van kracht is. Dit zou alleen het probleem oplossen als de aandeelhouders van het Nederlandse bedrijf totaal los zouden staan van de aandeelhouders van het Amerikaanse concern. In dit geval is de UBO (de Ultimate Controlling Shareholder) van het Europese bedrijf Amerikaans. Daarmee is voor de VS de discussie gesloten. Zij kunnen de dochter verplichten de data te overhandigen.

  3. Encryptie
    Ook hier geldt: het klinkt goed, maar de praktijk is weerbarstig. De scope van de encryptie is meestal beperkt (Microsoft DKE geldt bijvoorbeeld alleen voor bepaalde type licenties, kan niet met alle workflows werken, en dekt email niet), of is zo ingewikkeld in het beheer dat de meeste gebruikers er niet de middelen voor hebben.

  4. Gebruik van alleen de technologie
    De vergaandste en juridisch sterkste variant: Amerikaanse technologie die onder licentie wordt gebruikt door een Europese partij, op Europese infrastructuur. Dit is bijvoorbeeld de aanpak die Google gebruikt in de samenwerking met KPN en Thales om een cloudomgeving te bouwen voor het Nederlandse ministerie van defensie: De cloud van Defensie (en binnenkort ook die van NAVO) draait straks in een Google cloud, op infrastructuur van Thales en KPN, op technologie die onder licentie van Google ingekocht is. Is dat een soevereine cloud? Deels, in de zin dat Amerikaanse wetgeving niet van toepassing is. Amerika mag niet aan KPN vragen om data te overhandigen en Google kan er niet bij. Het risico voor Nederland is dat als de relatie met de VS verder verslechterd (we hopen allemaal dat dit niet gebeurt, maar het risico is niet nul), Google verplicht kan worden om de dienstverlening stop te zetten, geen veiligheidsupdates, geen onderhoud etc. Dan heeft Defensie (hopelijk) een paar weken om de data te verhuizen voordat het gewoon ophoudt met werken.

Is het dan gevaarlijk om Amerikaanse clouddiensten te gebruiken?

Dit alles betekent niet dat het per definitie gevaarlijk is om je data bij een Amerikaanse provider te laten staan. AWS, Google of Microsoft zijn geen kwaadaardige entiteiten, het zijn gewoon providers die hun best doen om hun werk zo goed mogelijk te doen in een moeilijker wordende context.

De aanbeveling van Dutch Cloud Community is: wees je bewust van de risico’s. Kijk door de marketing  en de “sovereign washing” heen en maak je eigen risico assessments om de juiste beslissingen te maken. Wij bieden je graag advies als je daarmee hulp nodig hebt.

Delen:

Gerelateerde artikelen:

ISPConnect en DHPA zijn nu Dutch Cloud Community

We zijn sinds januari 2021 gefuseerd tot de Dutch Cloud Community.

De fusie van ISPConnect en DHPA heeft plaatsgevonden om als nieuwe branchevereniging de belangen te behartigen voor de Nederlandse cloud-, hosting- en internetsector.

Al onze informatie vind je vanaf nu op dutchcloudcommunity.nl

Bedankt, ik begrijp het!