‘De cloud-race is gelopen — Europa moet nu naar de volgende golf’

Als distributeur zit Ingram Micro tussen de hyperscalers en de Nederlandse IT-partners in. Redouan Abdelkhaki leidt het AWS-team in Nederland, Jeroen van der Leer is verantwoordelijk voor business development. Vanuit die positie zien ze welke vragen er bij MKB-partners en eindklanten leven — en welke nog niet. Soevereiniteit blijkt vooralsnog vooral een onderwerp voor partners die met de publieke sector werken. “Ik hoor er bij sommige partners helemaal niks over,” vertelt Abdelkhaki. “Maar bij andere, die meer in de publieke sector zitten, speelt het wel degelijk.”

Soevereiniteitswashing

Het scherpste woord van de uitzending komt van Van der Leer. “Wat ik nu zie, dat is soevereiniteitswashing,” zegt hij. “Dat klinkt een beetje als greenwashing.” Hyperscalers reageren op de Europese roep om soevereiniteit met soevereine varianten op hun bestaande aanbod, terwijl Europese cloud providers “min of meer impliceren dat de Amerikaanse hyperscalers niet aan de Europese wetgeving kunnen voldoen — en dat is in mijn optiek niet waar.”

Volgens Van der Leer is het marketinggeweld wederzijds. “Het is een soort marketing-dingetje van beide kanten misschien wel. Waar sommige mensen Amerikaanse hyperscalers van beschuldigen, zie je ook terug bij Nederlandse en Europese cloud providers.” Wat doe je daaraan? “Transparantie. Als je kijkt naar de rapporten die worden gepubliceerd: de hyperscalers zijn er vrij transparant over. In het geval van AWS is aantoonbaar dat er geen data van Europese partijen aan Amerikaanse overheden is geleverd. Dus dit is een hypothetisch risico.”

Wat soevereiniteit wél betekent

Abdelkhaki maakt het tastbaar met een vergelijking. “Het is op zich prima als iedereen in Nederland in een Chinese auto rijdt. Alleen wat je niet wil, is dat er uit Beijing een boete volgt voor het te hard rijden in Nederland. En wat je ook niet verwacht, is dat er een Chinese agent de weg op springt op het moment dat je een overtreding begaat. Want je bent in Nederland en je mag verwachten dat je onder Nederlandse wetgeving valt. Én dat is soevereiniteit.”

Het hele soevereiniteitsgesprek raakt vanzelf aan vendor lock-in. Maar daar trekt Abdelkhaki ook een streep. “Wij praten ook liever niet over lock-in. Want er í s geen lock-in. In heel veel gevallen heb je helemaal geen langjarig contract, je kunt er morgen uit als je dat wilt.” Wel waarschuwt hij voor onderschatting van de kosten van migratie: “Schuiven kost tijd en geld. Als je daar rekening mee houdt, kan het. Maar als je een goed huwelijk hebt, stap je er waarschijnlijk niet uit.”

AWS over Europa: “Het is een illusie”

Ondertussen positioneert AWS zich nadrukkelijk niet als een louter Amerikaans bedrijf. “Één derde van de business, globaal, draait hier in Europa,” vertelt Abdelkhaki. “Deze partijen vinden ons heel belangrijk. Het is een illusie om te denken dat we een Amerikaans tech-bedrijf zijn. Wij zijn een global bedrijf.” Inmiddels is er een nieuwe AWS-regio in Duitsland gerealiseerd onder leiding van Europeanen die juridisch gebonden zijn om in het belang van de gebruikers te handelen. “Dan wordt het risico nog kleiner.”

Shadow AI: 87,8% van de medewerkers

Soevereiniteit is niet de enige blinde vlek. Uit recent onderzoek van Awareways blijkt dat 87,8% van de Nederlandse medewerkers AI-tools gebruikt zónder toestemming van hun werkgever. “Meer dan logisch,” reageert Abdelkhaki. “Als ik voor twintig euro per maand vier of vijf uur werk kan besparen, dan doe je dat natuurlijk.” Maar de risico’s zijn ook reëel: “Als iedereen z’n eigen agents gaat creëren — drieduizend medewerkers, ieder drie agents — dan heb je negenduizend agents in dienst, waarvan niemand weet wie het zijn en wat ze doen.”

Het shared responsibility model

De grootste misvatting in cloudbeveiliging? Dat de provider verantwoordelijk is. “Het is een shared responsibility model,” legt Van der Leer uit. “De cloud service provider is verantwoordelijk voor de security van de cloud. Alles wat daarop gebeurt, daar heeft de eindgebruiker een verantwoordelijkheid in.” In de praktijk gaat het juist dáár mis. “Er zijn nauwelijks gevallen bekend waarbij het platform een vulnerability had. Het is meestal het stukje wat de gebruiker had moeten doen wat hij niet heeft gedaan — geen fatsoenlijke encryptie, sleutels laten slingeren, slechte toegangsbeveiliging.”

NIS2: lever het bewijs

De Europese NIS2-wetgeving voegt aan die verantwoordelijkheid een hard randje toe. Te laat? Volgens beide gasten niet. “Ik heb 22 jaar in de financiële wereld gewerkt en alles wat in NIS2 staat, is daar geen verrassing,” zegt Van der Leer. “Het is jammer dat er wetgeving nodig is om mensen op een verantwoordelijkheid te bevinden. Maar als we niet een bord zetten dat je geen 100 mag rijden op een plek, dan zijn er een hele boel die proberen er 190 doorheen te duwen.”

De zwakste schakel — en awareness die wél werkt

De grootste kwetsbaarheid blijft de mens. “De zwakste schakel is meestal het ducht tussen de rugleuning en het scherm,” zegt Van der Leer met een knipoog. Helpen awareness-trainingen dan wel? Een hoogleraar cybersecurity beweerde onlangs van niet. Van der Leer is het daar niet mee eens. “Ik denk niet dat het zinloos is. Ik heb er zelf veel aan gehad. Ik ben redelijk aware van wat de risico’s zijn van de dingen die ik doe.” Bij hackers en defenders ziet hij overigens een mooi spiegelbeeld: “Soms zitten bij security-partijen de knappe koppen die de slechte koppen hadden kunnen zijn. Die hebben ervoor gekozen hun kennis in te zetten voor het goede.”

Cryptografie krijgt het zwaar

Voor zijn eigen 2030-voorspelling kijkt Abdelkhaki naar quantumcomputing. “Cryptografie gaat het heel moeilijk krijgen,” voorspelt hij. “Als er serieuze stappen worden gezet met quantum cryptology, dan gaat versleuteling een hele grote uitdaging worden.” Een onheilspellende gedachte voor wie z’n hele cloudstrategie op encryptie heeft gebouwd.

De rol van de distributeur

De rol van Ingram Micro zelf verschuift mee. “Dozenschuiver?” lacht Abdelkhaki. “In de cloud schuiven wij virtuele dozen. Maar die regiefunctie blijft. Wij zitten altijd tussen de leverancier en de partner in.” En dat is waardevol, vult Van der Leer aan: “Ik zat laatst met een partner die zei: ik heb gewoon twee FTE nodig voor het werk dat ik bij jullie beleg. Met een distributeur samenwerken kost je niks — dat zit in de marge bij de vendor.”

Tussen distributeur en partners ziet Abdelkhaki vooral één grote verschuiving: AI dat productiviteit explosief opjaagt. “Wij zien onze partners productiever worden. Wij zien onze eigen productiviteit enorm toenemen. Dat verandert het werk — en maakt nieuwe dingen mogelijk.”

Diep, breed en compleet

Zijn slotreflectie houdt Van der Leer kort. “Wij zien dat platformen steeds completer en uitgebreider worden. In plaats van overal puntoplossingen aan elkaar te knopen, krijg je een platform dat alles in één keer biedt.” En dan komt de samenvatting in twee zinnen: “De cloud is diep en het is breed. En het is compleet.”

De vraag voor Nederland — en voor Europa — is volgens beide heren of we durven kiezen. Niet voor totale autonomie, want die bestaat niet, maar voor heldere afspraken, transparant bewijs en een serieuze kijk op wat de vólgende golf gaat brengen.

Beluister het volledige gesprek

People Work Technology — De staat van soevereiniteit (uur 2), met Redouan Abdelkhaki en Jeroen van der Leer van Ingram Micro. Beluister de aflevering op Spotify.

People Work Technology met Richard Bordes is iedere vrijdag tussen 14:00 en 16:00 uur te beluisteren via Nieuw Business Radio en Spotify.