Soevereine Cloud: een rookgordijn van 'Sovereign-Washing'?

Maar wat is nu echt soeverein, en wanneer spreken we van pure 'sovereign-washing'? Een recent artikel van de Dutch Cloud Community werpt een kritische blik op deze ontwikkelingen.

Illusie van controle

De boodschap van veel Amerikaanse hyperscalers is verleidelijk: "Wij, als Amerikaanse providers, zorgen voor uw Europese soevereiniteit; u hoeft niets te doen." Echter, de realiteit is weerbarstiger. Volgens de Dutch Cloud Community zijn deze beloftes meestal niet geloofwaardig, en bieden ze zelden echte soevereiniteit.

Wat is er dan nodig voor echte digitale soevereiniteit? Het draait niet alleen om het voldoen aan Europese regelgeving zoals de AVG, NIS2, DSA en de Data Act. Cruciaal is dat de clouddienst niet onderhevig mag zijn aan niet-Europese wetgeving, zoals de Amerikaanse CLOUD Act of FISA. Deze wetten verplichten Amerikaanse bedrijven namelijk om data over te dragen aan hun overheid, ongeacht waar die data fysiek is opgeslagen.

Controle

Een belangrijk, maar vaak over het hoofd gezien, aspect is de Ultimate Beneficial Owner (UBO). Zolang een provider gecontroleerd wordt door een Amerikaanse UBO, blijft de Amerikaanse wetgeving van toepassing. Zelfs als er geen directe koppeling lijkt te zijn, kan een Amerikaanse rechter een dochteronderneming opdracht geven om een koppeling te leggen en data te overhandigen. Het Nederlandse NCSC gaat zelfs zo ver dat het aanbeveelt dat Europese bedrijven geen Amerikanen in dienst nemen als ze buiten de reikwijdte van de US CLOUD Act willen blijven. Dit toont aan hoe diep de invloed van Amerikaanse wetgeving reikt.

Vele smaken van 'Soevereiniteit'

De hyperscalers bieden verschillende "soevereine" oplossingen aan, maar de Dutch Cloud Community analyseert scherp waarom deze vaak tekortschieten:

Data-lokalisatie: Het argument "uw data staat in een Europees datacenter, dus is veilig" is een misvatting. Voor de Amerikaanse wetgeving maakt het totaal niet uit waar de data fysiek staat. Als het bij een Amerikaans bedrijf zoals Microsoft staat, kan het worden opgevraagd.

Een Europese entiteit: Ook het opzetten van een aparte Europese entiteit (bijvoorbeeld AWS GmbH of BV) biedt geen afdoende oplossing. Zolang er een relatie is met een Amerikaans moederbedrijf, en de UBO Amerikaans is, blijft de Amerikaanse wetgeving van kracht. De dochteronderneming kan alsnog verplicht worden data te overhandigen.

Encryptie: Hoewel encryptie goed klinkt, is de praktijk vaak weerbarstig. De reikwijdte van de encryptie is meestal beperkt (denk aan Microsoft DKE, dat niet voor alle licenties en workflows geldt, en e-mail vaak uitsluit). Daarnaast is het beheer van complexe encryptieoplossingen vaak te ingewikkeld voor veel gebruikers.

Gebruik van alleen de technologie: Dit is de meest vergaande en juridisch sterkste variant. Hierbij wordt Amerikaanse technologie onder licentie gebruikt door een volledig Europese partij, op Europese infrastructuur. Een voorbeeld is de samenwerking tussen Google, KPN en Thales voor de cloudomgeving van het Nederlandse Ministerie van Defensie. Hier is de Amerikaanse wetgeving niet direct van toepassing, en Google kan de data niet inzien. Het risico hier is wel dat bij een verslechterde relatie met de VS, Google de dienstverlening kan stopzetten, met verlies van veiligheidsupdates en onderhoud.

Bewustzijn is cruciaal

Betekent dit dat het gevaarlijk is om Amerikaanse clouddiensten te gebruiken? Niet per definitie. Bedrijven als AWS, Google en Microsoft zijn geen kwaadaardige entiteiten; ze proberen hun werk zo goed mogelijk te doen in een steeds complexer wordende context.

De aanbeveling van de Dutch Cloud Community is duidelijk: wees je bewust van de risico's. Kijk door de marketing en de "sovereign-washing" heen en voer je eigen risico-assessments uit om de juiste beslissingen te nemen. Digitale soevereiniteit is geen kant-en-klare oplossing die je van de plank kunt pakken; het vereist een diepgaand begrip van de juridische en technische implicaties.