EGP, voorheen Espresso Gridpoint, levert sinds 2008 private clouddiensten via business partners aan het MKB en de grootzakelijke markt. Daarmee waren we een van de eersten die deze vorm van cloud computing aanbood. Dit jaar bestaat EGP 15 jaar en daarom hebben wij 2023 uitgeroepen tot het jaar van de soevereine cloud. Een soevereine, zelfstandige cloud die EGP al sinds haar begin levert. Waarom kwamen we eigenlijk op het idee van een private – dus soevereine – cloud? En waarom is de interesse hiervoor in de loop van de jaren alleen maar gegroeid?
De term cloud computing werd populair in 2006, toen bedrijven als Amazon en Google deze gingen gebruiken. Belangrijke aanjager van het succes van cloud computing was de mogelijkheid om de serveromgeving te virtualiseren. Er zijn verschillende vormen van de cloud. Amazon, Google, IBM, Microsoft en Oracle bieden een publieke cloud aan. Deze clouddienst is wereldwijd beschikbaar via het internet. Meerdere organisaties en personen kunnen gebruikmaken van deze publieke diensten. De leveranciers hebben daarbij de volledige controle over de clouddiensten die via hun infrastructuur zijn te benaderen.
Cloudsoevereiniteit
Met een private cloud hebben alle gebruikers de volledige controle over de clouddienst. De omgeving kan alleen voor een organisatie met specifieke eisen en wensen worden ingericht. Voordat de term soevereine cloud recent actueel werd kun je constateren dat een private cloud een soevereine cloud is. Er zitten drie aspecten aan cloudsoevereiniteit: gegevenssoevereiniteit, operationele soevereiniteit en technische soevereiniteit.
Vertrouwen en concurrentievoordeel
Gegevenssoevereiniteit houdt in dat je controle hebt over je eigen gegevens in de cloud, dat derden geen ongevraagde toegang hebben en dat de gegevens die je in de cloud hebt opgeslagen voldoen aan alle wettelijke regels. Operationele soevereiniteit heeft betrekking op de transparantie en controle van je activiteiten en de continuïteit ervan. Technische soevereiniteit betekent dat je workloads kunt draaien zonder daarbij afhankelijk te zijn van een cloud provider. Bedrijven en organisaties die op al deze gebieden eigen baas zijn, beheersen niet alleen het risico van regelgeving maar genieten ook meer vertrouwen en bouwen concurrentievoordeel op.
De CLOUD-Act, AVG en Privacy Shield
Informatieverwerking in het digitale domein is een internationale aangelegenheid. Opslag, transport en verwerking van informatie trekt zich vaak niets aan van landsgrenzen. Dat heeft ook complexe juridische gevolgen. Een van de bekendste voorbeelden van conflicterende wetgeving is die van de Amerikaanse CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) en Europese regels op het gebied van gegevensbescherming en informatiebeveiliging. Europese data die in de Verenigde Staten wordt verwerkt of opgeslagen moet in de VS beveiligd worden volgens de Europese General Data Protection Regulation (GDPR/AVG). Maar als je data in dat land is opgeslagen, valt deze ook onder het federale Amerikaanse wettelijke regime dat toeziet op de toegang tot die gegevens.
Europees Hof van Justitie
Zelfs als je je data op Nederlandse bodem hebt opgeslagen, maakt de CLOUD-Act het mogelijk dat de overheid van de VS, Amerikaanse technologiebedrijven kan dwingen gegevens van gebruikers te verstrekken. Het rondneuzen in jouw data en persoonsgegevens – en dus ook die van je businesspartners, leveranciers en klanten – kan alleen als deze zijn opgeslagen in een datacenter van een Amerikaans bedrijf. Ongeacht waar dat datacentrum in de wereld is gevestigd.
Het delen van gegevens tussen de EU en VS was oorspronkelijk vastgelegd in het Privacy Shield. Deze overeenkomst is in 2020 door het Europees Hof van Justitie ongeldig verklaard, omdat het verdrag de privacy onvoldoende waarborgde.
Remove, delete en destroy
Behalve de Amerikaanse federale overheid vormen de publieke cloud providers zelf ook een risico voor de soevereiniteit over je data en applicaties. Gegevenssoevereiniteit betekent immers ook dat je je data en applicaties zonder problemen bij een andere partij onder kan brengen. Eigenlijk niet meer dan logisch want het is immers jouw data, en het zijn jouw applicaties. Veel mensen gaan ervan uit dat een aangemaakte virtuele machine (VM) in een publieke cloud na gebruik wordt verwijderd en dat ook alle data dan voorgoed is verwijderd. Een andere, veelvoorkomende aanname is dat bij het verplaatsen van data van de ene naar de andere VM, de verlaten VM leeg is. Verwijderen (remove), wissen (delete) en vernietigen (destroy) zijn echter verschillende begrippen. Als je je data in een publieke cloud hebt ondergebracht, kun je nooit zelf controleren of je data en applicaties echt weg zijn (destroyed).
Meerdere datacenters op verschillende locaties
Zelfs als je in een Nederlandse private cloud werkt, heb je per definitie nog geen maximale datasoevereiniteit. Als je private cloud maar op één locatie staat, bestaat het risico dat je al je gegevens kwijt bent in het geval van een calamiteit. Datasoevereiniteit betekent dat je altijd bij je data moet kunnen en dus minimaal één back-up moet hebben op een andere fysieke locatie. Beter is het om meerdere datacenters te gebruiken, verspreid over verschillende regio’s en met verschillende datacentereigenaren.
GAIA-X
Ook bij GAIA-X, het project waarbij een EU data-infrastructuur wordt opgezet, staat datasoevereiniteit voorop. Het project heeft als kernwaarden interoperabiliteit, vertrouwen, soevereiniteit, transparantie en open standaarden. Dat betekent ook dat de clouddiensten van GAIA-X moeten opereren binnen de normen en regelgeving van de EU, waaronder de GDPR/AVG, en dat alle data altijd binnen de EU-grenzen moet blijven. Er moet transparantie zijn over waar de data staat en wie erbij kan. Hindernissen inbouwen om migraties en data-portabiliteit te belemmeren, zijn niet toegestaan. Verder dienen alle gebruikers van de clouddiensten, en alle partijen die clouddiensten ontwikkelen voor GAIA-X, aan alle compliance-eisen te voldoen.
EGP
Wanneer je de GAIA-X uitgangspunten naast de businessregels van EGP legt, zal je de enorme overlap opvallen. EGP doet al bijna 15 jaar waar Europa nu naartoe werkt en beschikt al even zo lang over wat nu wordt aangemerkt als een soevereine cloud. Bestaande uitgangspunten als data-integriteit, buiten de reikwijdte van de CLOUD Act blijven en transparantie zijn onze basis. Op die manier weten onze business partners en eindklanten altijd precies waar ze aan toe zijn. Als EGP besteden we bij elke klant allereest aandacht aan een exit-strategie. Alleen met zo’n strategie kan er sprake zijn van datasoevereiniteit.
Hou onze website in de gaten voor alle activiteiten die we in 2023 organiseren om het 15-jarige bestaand van de soevereine cloud te vieren!
Piet Honkoop, CTO en medeoprichter EGP
Voor meer informatie:
Piet Honkoop
info@egp.cloud
0168 380 151
EGP.Cloud