Er is veel te doen over buitenlandse actoren die inzage krijgen in onze data. En dus duiken er soevereine diensten op. Welbeschouwd zijn die diensten meestal minder soeverein dan het lijkt. Tijd om zin en onzin op een rijtje te zetten.
Veelal wordt deze discussie toegespitst op de VS en daarmee op de Amerikaanse Big Tech. Onze data zouden bij hen niet veilig zijn vanwege de CLOUD Act en vanwege Trump. “Trump kan alle emails van de Tweede Kamer inzien” wordt dan gezegd door opiniemakers. En “hij kan je email zo laten uitzetten”. En daarom zouden wij er in Europa goed aan doen om onze eigen cloud-infrastructuur op te bouwen en onze data daarmee in eigen land, althans binnen de EU, te houden. Soevereiniteit heet dat. En dus duiken er overal soevereine diensten op.
Maar welbeschouwd zijn die diensten meestal minder soeverein dan het lijkt. Er wordt veel marketing verkocht en allerlei politieke, economische, juridische, privacy argumenten en belangen, alsmede soms afkeer van de VS en Big Tech worden, bewust of onbewust, op een hoop gegooid. Tijd om zin en onzin op een rijtje te zetten.
- “Als je een Amerikaanse cloud dienst gebruikt kan de VS heel makkelijk data van EU gebruikers inzien”. Onjuist. Dat kan alleen onder strikte voorwaarden, onder de CLOUD Act. Uit door Microsoft en anderen gepubliceerde gegevens blijkt dat verzoeken onder de CLOUD Act zeldzaam zijn (ook de verzoeken waarover niets kan worden gezegd (“gag order”), want die zijn opgenomen in de gepubliceerde aantallen). Het Ministerie van Justitie en Veiligheid publiceerde hierover een onderzoek. Cloud Act requests | Report | National Cyber Security Centre
- “Nederlandse en Europese bedrijven vallen niet onder de CLOUD Act”, dus een “soevereine” cloud beschermt tegen inzage vanuit de VS. Niet juist. Onder omstandigheden vallen ook die bedrijven onder de CLOUD Act. Ook hierover publiceerde Justitie een onderzoek. Cloud Act Memo | Publicatie | Nationaal Cyber Security Centrum
- “Trump kan je mail zo laten afsluiten”. Dan wordt het ICC aangehaald. Dat betrof 1 persoon (de Aanklager) en daarvoor was sanctiewetgeving de aanleiding (net zoals met betrekking tot Rusland) en die wetgeving tekenen we zelf meestal ook.
- “We kunnen makkelijk een eigen cloud-infrastructuur opbouwen in de EU, of zelfs per land”. Onjuist. De Amerikaanse aanbieders liggen 25 jaar voor en dat gaan we niet zomaar inhalen. Het is geen Airbus, een product waaraan 40 jaar lang weinig was veranderd toen Airbus begon te bouwen. In de IT geldt de wet van Moore. Kijk maar naar het Europese project Gaia-X. Daarmee zijn we al 7 jaar bezig, met weinig concreet resultaat, tegen zeer hoge kosten. En…. Gaia-X gebruikt ook technologie uit de VS!
- “Soevereine clouds gebruiken geen techniek van Amerikaanse providers”. Onjuist. Niet alleen Gaia-X gebruikt VS tech, maar ook de Franse cloud de confiance Bleu gebruikt Azure als backbone.
- Amerikaanse aanbieders hebben geen enkele zeggenschap over hun soevereine clouds. Onjuist. Als je de technische en juridische details van de meeste aanbieders van “soevereine” clouds fileert is er bijna altijd nog een link met de VS. Dat kan een probleem zijn, afhankelijk van de aard van de data, wat je nodig hebt en de weging van de risico’s.
- “In Europa zijn onze data veilig(er)”. Niet altijd. Kijk als voorbeeld naar de Britse regering die Apple wilde dwingen om een backdoor aan te brengen. En kijk naar Nederland als een van de grootste aftappers ter wereld. En als de Fransen en de Duitsers, of heel de EU, haar verkeer geheel buiten het zicht van bijvoorbeeld Microsoft houden wordt de cybersecurity versnipperd (Microsoft heeft minder datapoints en kan dreigingen minder snel zien aankomen en volgen) met als direct gevolg minder cybersecurity in plaats van meer.
Dus welk probleem zijn we nu eigenlijk aan het oplossen met deze discussie over soevereiniteit? Is het dan allemaal onzin en marketing? Nee hoor. Er zijn hele goede gronden te bedenken om data in Nederland of de EU te houden. Bijvoorbeeld omdat je niet afhankelijk wilt zijn van trans-Atlantische kabels. Of omdat je klanten hebt die hun data in Nederland willen houden. En er kunnen regels zijn die opslag in Nederland eisen. Het spreiden van je data over Amerikaanse en Europese aanbieders om vendor lock in te voorkomen, de prijzen lager te houden door concurrentie of (security) risk spreiden is natuurlijk ook prima.
Dus bekijk per geval wat er nodig en mogelijk is en weeg de risico’s af, na analyse van de (echte) feiten en de risico’s. Vraag door op de details, operationeel, technisch en juridisch. Laat je niet misleiden door marketing en gek maken door fake news, politieke en andere belangen of privacy extremisme (de AVG/GDPR staat risk based analyse WEL toe!). Dat is pas soeverein.
Herald Jongen is advocaat en Shareholder bij Greenberg Traurig, Hij onderhandelt met grote IT leveranciers namens de Nederlandse Staat.
Dit is een licht bewerkte versie van een eerdere bijdrage aan een Cybersecurity special bij het FD.
