Nu de discussies over digitale soevereiniteit zijn losgebarsten, zijn Big Tech-bedrijven een tegenoffensief begonnen. Microsoft, Google en Amazon lanceren de ene na de andere aanscherping van de dienstverlening om klanten gerust te stellen dat hun data in de Europese clouds echt wel veilig staan. Daarmee consolideren ze vooralsnog hun voorsprong op de Europese techindustrie.
Tekst: Rik Sanders Beeld: SHUTTERSTOCK
Soevereiniteit is al langer een thema, in eerste instantie rond cloudbeveiliging. In 2014 waarschuwde Neelie Kroes, toenmalig commissaris Digitale Agenda van de Europese Commissie, nog voor een digitaal 9/11. Zij vond dat Europa op het gebied van ict-beveiliging naar eigen soevereiniteit moet streven, ‘met als ambitie het meest veilige open internet te kunnen garanderen voor haar burgers en bedrijven.’
In de jaren daarna heeft het begrip een bredere reikwijdte gekregen en vallen privacy, databescherming en databeschikbaarheid er ook onder, in gang gezet door de afluisterpraktijken van de Amerikaanse inlichtingendienst, het in 2015 opzeggen van de Safe Harbour-overeenkomst voor de uitwisseling van personeelsgegevens tussen Europa en de VS en het instellen van allerlei Europese regelgeving.
De wind mee hebben
Veel partijen introduceerden in de jaren erna zogenaamde Europese soevereine clouds in navolging van de voorgestelde regels van de EU die vereisen dat klantgegevens binnen de regio worden opgeslagen en verwerkt. Daaronder ook Amerikaanse concerns als Microsoft, AWS, Google en Oracle. De eerste drie hyperscalers lijken de strijd om de consumentencloudmarkt gewonnen te hebben maar in de zakelijke cloudmarkt liggen er nog genoeg kansen, ook voor het Europese project Gaia-X, het alternatief voor het gebruik van hyperscalers. Geen eigen cloudomgeving, maar een gedecentraliseerde en opensource-data-infrastructuur naar Europees inzicht.
Europese initiatieven hebben namelijk de wind mee. Klanten willen meer en meer weten waar hun data staan of ze de controle erover hebben. Dit veranderende sentiment heeft een vlucht genomen na de benoeming van Donald Trump als Amerikaanse president en zijn voortdurend veranderende handelsbelemmerende maatregelen. Talloze Europese it-bedrijven roeren zich op de markt met hun soevereine aanbod.
In het offensief
Maar Big Tech staat niet stil en is een tegenoffensief begonnen. En een charmeoffensief: zo bezocht de Amerikaanse Microsoft-topman Satya Nadella recent Amsterdam waarbij hij een groep klanten voorhield dat Microsoft Europa volledige controle over haar gegevens belooft. Nadella wees op een aantal nieuwe Microsoft Sovereign Cloud-oplossingen, speciaal voor Europese operaties, waaronder het zogeheten External Key Management waarmee klanten hun eigen encryptiesleutels beheren. Klanten hoeven ook niet te migreren naar Microsoft-datacenters om van deze oplossingen te profiteren. ‘De nieuwe soevereiniteitsoplossingen vergroten de privacy binnen de publieke cloud en bieden nieuwe mogelijkheden voor private, soevereine clouds voor klanten in Nederland en heel Europa’, aldus de topman.
‘Soevereiniteit is geen geval van one-size-fits–all’
Encryptie werkt overigens voor Big Tech als haarlemmerolie. Ook Google kondigde recent een aantal soevereiniteitsaanscherpingen aan van zijn clouddiensten. Eén van de voorbeelden is de dienst Cloud Data Boundary. Deze biedt klanten de mogelijkheid om een grens in te stellen en controle te houden over waar hun content wordt opgeslagen en verwerkt. Die grens stelt hen ook in staat om hun encryptiesleutels buiten de infrastructuur van Google te bewaren en te beheren. Dat kan helpen bij het voldoen aan specifieke eisen voor toegangscontrole op die gegevens die binnen bepaalde sectoren gelden. Google Cloud benadrukt dan ook dat soevereiniteit geen geval is van one-size-fits–all, maar dat bedrijven, afhankelijk van hun zakelijke behoeften, regelgeving en risicoprofiel, voor verschillende opties van soevereiniteit kiezen.
Encryptie als toverwoord
Joost Smit, Benelux-directeur van Google Cloud, zei eerder tegen Computable dat bij klanten het beeld overheerst dat president Trump per decreet informatie kan vorderen van klanten van Amerikaanse techbedrijven, ook buiten de VS, en dat hij bedrijven kan dwingen om digitale diensten te staken. ‘Maar het is niet zo dat de Amerikaanse regering ons vraagt: ‘Geef ons die data?’ en dat dat dan kan’, stelt Smit. ‘Allereerst hebben we geen toegang tot de data van onze klanten. Bovendien zijn er omstandigheden waardoor de Amerikaanse Cloud Act niet van toepassing is op de data van een Europees of Nederlands bedrijf of overheid.’ Hij noemt een voorbeeld: ‘Als een Nederlands bedrijf dat gebruikmaakt van Google-diensten zijn gegevens versleutelt met encryptie van een Nederlandse leverancier. Dan ligt het gewoon vast in Nederland. Dus dan kan de Amerikaanse overheid ons wel vragen naar die informatie, maar dan kunnen ze er nooit bij omdat het versleuteld is.’
Soevereine cloudregio
Ook AWS nam maatregelen om de controlemogelijkheden en onafhankelijkheid van zijn European Sovereign Cloud te vergroten. De hyperscaler start een aparte Europese organisatie met een eigen structuur, gevestigd in Duitsland. Een naar eigen zeggen onafhankelijk adviesorgaan neemt beslissingen in het belang van deze cloud, die volledig op Europese infrastructuur draait, zonder afhankelijk te zijn van systemen buiten de EU. Zelfs als de verbinding met de rest van de wereld wegvalt, blijft de cloud werken, en gekwalificeerde medewerkers in de EU hebben toegang tot essentiële software om de diensten draaiende te houden.
Volgens AWS is deze cloudregio ontworpen om te voldoen aan de strengste eisen op het gebied van dataopslag, compliance en operationele controle binnen Europa. Een van de kenmerken is dat alle data binnen de EU blijven. Een speciaal Europees security operations center (soc) zorgt voor de bescherming, volgens wereldwijde normen.
Toch blijven soevereiniteitsexperts sceptisch over de echte onafhankelijkheid van de initiatieven van Big Tech. ‘Zolang een bedrijf nog een hoofdkantoor in Amerika heeft, vallen ze onder de jurisdictie van de Amerikaanse overheid. En vooral de huidige Amerikaanse regering kan veel dingen forceren’, aldus Haroon Sheikh, senior onderzoeker bij de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) en hoogleraar aan de VU, in een artikel in het Britse ict-vakblad Computer Weekly. Deze juridische realiteit betekent volgens hem dat Europese dochterondernemingen van Amerikaanse bedrijven beperkte bescherming bieden tegen claims van extraterritoriale jurisdictie.
Concurrentiestrijd?
Wellicht een belangrijkere vraag is of de Europa’s alternatieven de concurrentiestrijd kunnen aangaan met de Amerikaanse hyperscalers. Jeroen Jacobs, medeoprichter AWS User Group, wees er in een Computable-blog fijntjes op dat Europese initiatieven zoals Gaia-x qua innovatiesnelheid, dienstenaanbod en schaal waarschijnlijk nooit in de buurt zullen komen van de hyperscalers.
Ook ict-expert Bert Hubert signaleert die kloof. In datzelfde artikel in Computer Weekly zegt hij dat Europese ict-bedrijven sterk zijn in de basislagen van computing en opslag maar lang niet zo ver ontwikkeld zijn op de hogere niveaus van de stack, waar hyperscalers geïntegreerde services bieden zoals databases, artificiële intelligence en orkestratietools. ‘Europese bedrijven verkopen hout, terwijl klanten om kant-en-klare- meubels vragen’, constateert hij. Het wordt, kortom, nog een hele kunst om de Europese expertise te vertalen in een aanbod waarmee de strijd op de ‘cloud-meubelboulevard’ kan worden aangegaan.
