Hoogleraren Van Dijck en Jacobs noemen het cloud beleid van staatssecretaris Van Huffelen onverantwoordelijke en naïef. Hun conclusies getuigen van weinig kennis over het onderwerp cloud en zijn gebaseerd op een onjuiste aanname, vindt de branche. Het cloud beleid is juist noodzakelijk voor verbeteren soevereiniteit en beschermen van data.
Met het nieuwe beleid zou data van Nederlandse burgers uitgeleverd worden aan Amerikaanse techreuzen en de Amerikaanse overheid. | Beeld Shutterstock
Hoogleraren Van Dijck en Jacobs trekken in hun opinie-artikel in Het Financieel Dagblad, de Volkskrant en AG Connect fel van leer tegen het in hun ogen onverantwoordelijke cloud beleid van staatssecretaris van Digitalisering. Zij noemen het beleid een tegenvaller, de staatssecretaris naïef, en stellen dat met het nieuwe beleid data van Nederlandse burgers uitgeleverd wordt aan Amerikaanse techreuzen en de Amerikaanse overheid. Hun zorgen zijn op het eerste gezicht begrijpelijk. Maar hun conclusies getuigen van weinig kennis over het onderwerp cloud en zijn gebaseerd op een bekende, onjuiste aanname: met IT in eigen beheer behoud je controle, met clouddiensten geef je de regie volledig uit handen. De realiteit is veel genuanceerder.
Amerikaanse techreuzen
IT, ook die van de overheid ‘in eigen beheer’, bestaat anno 2022 uit complexe ketens met hardware, software en diensten afkomstig van allerlei leveranciers. De tijden dat de overheid eigen datacenters bouwde, computers van Philips of Tulip kocht en zelf al haar software schreef liggen achter ons. In de afgelopen decennia zijn Amerikaanse partijen in de markt en dus ook binnen de overheid overal aanwezig.
Het verbieden van publieke cloud heeft de Europese markt op achterstand gezet.
Een handvol Amerikaanse techreuzen domineert met een aandeel van 80% de cloudmarkt. En daar heeft het oude beleid aan bijgedragen. Dat zit zo. Tot voor kort werd het cloudbeleid van onze overheid bepaald door de ‘brief van Donner’ uit 2011, die het gebruik van publieke cloud simpelweg verbiedt. Andere lidstaten van de Europese Unie hadden een vergelijkbaar beleid. De nieuwe Nederlandse en Europese cloudaanbieders kregen daardoor geen toegang tot de Europese markt van overheids-IT-infrastructuur
Door dat beleid, versterkt door het aanbestedingsbeleid en de afkeer van open source, werd de praktijk het werken met technologie van Microsoft, Oracle en andere Amerikaanse aanbieders, in private clouds. Met de licentie-inkomsten daarvan konden die leveranciers hun publieke cloud aanbod ontwikkelen. De Amerikaanse overheid, die wél in een vroeg stadium de publieke cloud omarmde, gaf cloudaanbieders extra wind mee bij het vergroten van hun voorsprong in de mondiale cloudmarkt.
Het verbieden van publieke cloud heeft de Europese markt dus op achterstand gezet en heeft ons soevereiniteitsprobleem in de hand gewerkt.
Data weggeven?
Ook klopt de bewering niet dat de overheid onze data weggeeft aan deze techreuzen. Want commerciële clouds zijn geen gratis diensten zoals social platforms die klantdata gebruiken als betaling. Het securitybeleid van cloudserviceproviders is onderworpen aan veel wet- en regelgeving zoals de NIS, in Nederland bekend als de WBNI (Wet Beveiliging Netwerk- en Informatiesystemen). Bedrijven die daaraan moeten voldoen, liggen onder de vergrootglazen van toezichthouders. En ze worden elk half jaar doorgelicht door onafhankelijke auditors, en ook door experts van de overheid zoals die van SLM Rijk. Na constatering van afwijkingen volgen altijd correcties. De bewering dat zulke bedrijven, die vaak ook al decennia actief zijn op de Nederlandse IT-markt zich structureel aan onze wetten en regels onttrekken valt dan ook moeilijk vol te houden
AVG
Dan is er de kwestie van de AVG en de CLOUD Act. De hoogleraren beweren dat door het gebruik van publieke clouds de Amerikaanse overheid gemakkelijk toegang krijgt tot onze data. Een recente analyse van ons eigen NCSC (Nationaal Cyber Security Centre), die door Van Dijck en Jacobs overigens selectief wordt geciteerd, laat zien hoe het wél zit. Net zoals onze eigen AVG extraterritoriale werking heeft, is iedereen die gebruikmaakt van hardware, software of services van bedrijven met een Amerikaanse vestiging, wereldwijd, onderworpen aan de CLOUD Act. Daarmee geeft de Amerikaanse overheid zichzelf ruime bevoegdheden om data op te kunnen vragen.
Het verbieden van publieke clouds zorgt niet voor immuniteit.
Maar anders dan vaak wordt gedacht zorgt opslag van data in eigen land of het verbieden van publieke clouds niet voor immuniteit. Het compleet uitsluiten van de extraterritoriale werking van de CLOUD Act, zegt het NCSC, is zelfs onmogelijk. Verder is het maar de vraag of de Nederlandse overheid een eventueel dataverzoek van de Amerikaanse overheid zal afwijzen. De praktijk laat zien dat juist de door de hoogleraren verfoeide cloudaanbieders zich met hand en tand tegen zulke opvragingen verzetten. Kort en goed, publieke cloud is niet de bepalende factor voor deze kwestie.
Vendor lock-in
Als laatste punt dragen Van Dijck en Jacobs vendor lock-in aan als anti-cloudargument. Maar ook dat fenomeen is niet uniek voor de cloud. Vrijwel alle digitale technologie is als de bekende tekst in de hit ‘Hotel California’ van de Eagles: je kunt gemakkelijk inchecken maar je kunt nooit meer weg. Investeringen in kennis, ervaring rond de technologie en interne afhankelijkheden wegen in de praktijk het zwaarst. Dat werd onlangs helder geïllustreerd met de casus rond medische software van nota bene een Nederlandse softwareleverancier, daar speelde de publieke cloud geen rol.
Sterker nog, de meeste inspanning voor verminderen van lock-in richt zich juist op de publieke cloud. De Europese Commissie zet met de nieuwe Data Act stevig en specifiek in op standaarden voor interoperabiliteit en bijbehorende verplichtingen voor cloudleveranciers. En met forse budgetten jaagt de Commissie het ontwikkelen van interoperabele services door Europese providers aan, zoals het project Gaia-X.
Verbieden van publieke clouds werkt averechts
Maar ook hier werkt het verbieden van publieke clouds averechts. Want het is voor Europese leveranciers een stuk minder aantrekkelijk om te investeren in zo’n platform als een van de grootste potentiële afnemers, de overheid, hun aanbod sowieso niet mag gebruiken, maar wel de licentiekassa blijft spekken van de dominante Amerikaanse bedrijven waar Gaia-X de oplossing voor moet zijn. Dan wordt het opnieuw niets met de kansen voor Nederlandse en Europese cloudaanbieders.
Het nieuwe cloudbeleid van Van Huffelen is juist noodzakelijk om de zorgen van de beide hoogleraren te adresseren. Europese cloudaanbieders krijgen eindelijk toegang tot de overheidsmarkt en de overheid krijg toegang tot innovatieve, veilige diensten van Europese spelers. Voor de CLOUD Act maakt het allemaal weinig uit, en het risico van lock-in wordt door wetgeving verkleind. De risk-based aanpak die het nieuwe beleid karakteriseert, laat zien dat er realistisch – en niet dogmatisch, politiek, of activistisch – naar risico’s wordt gekeken. Dat valt te prijzen. Zo kunnen de grote ambities voor een digitale overheid beter worden gerealiseerd en kan data effectief worden beschermd.
Een activistisch advies om de klok 11 jaar terug te draaien helpt niet echt.
Het zou de hoogleraren sieren zich beter te verdiepen in de complexe dynamiek van digitale markten en cloud, en de daadwerkelijke risico’s van de verschillende opties voor overheids-IT. Een activistisch advies om de klok 11 jaar terug te draaien, helpt daarbij niet echt. We hebben oplossingen nodig voor de root-causes van de onbalans in de markt, voor interoperabiliteit, de digitale overheid, en voor ingewikkelde juridische kwesties, De wetenschap gaat ons daarbij hopelijk helpen in plaats van tegenwerken.
Michiel Steltman is directeur en spreekbuis van de Stichting Digitale Infrastructuur Nederland (DINL), de koepelorganisatie van de Nederlandse aanbieders van digitale infrastructuur.
Ik zie nu al uit naar de respons van Van Dijck en Jacobs na deze WC Eend van de branch. :-)
Ter lering ende vermaeck…
De Eagles worden hier helaas verkeerd geciteerd:
Vrijwel alle digitale technologie is als de bekende tekst in de hit ‘Hotel California’ van de Eagles: je kunt gemakkelijk inchecken maar je kunt nooit meer weg.
De tekst is:
You can check out any time you like
But you can never leave
Michiel Steltman heeft groot gelijk met dit betoog. Impliciet zijn de zorgen van de hoogleraren terug te voeren op een applicatie-centrische en content-centrische mindset, waarbij data als content wordt opgeslagen op infrastructuur. De stand van de markt is allang data- en context centrisch, dankzij Software Defined Anything. Het gaat niet om de infra, maar om de policies. Niet om de bestanden, maar om de data. Niet om opslag, maar om Trust Governance. Niet om bezit, maar om toegang. Er is echter allang geen sprake meer van cloud’, maar eerder van ‘fog’: heel veel gerelateerde clouds. Via hybrid cloud fabrics, policies en Linked Data kun je daar juist heel goed en zeer verfijnd gecontroleerd relaties leggen tussen de data sets die op al die infra staat te zoemen. Het gaat allang niet meer om stovepipe organisaties die content opslaan op iemands -al dan niet gehuurde – harde schijf. Het gaat om de integrale contextuele orkestratie van data binnen data fabrics. DAT is de essentie van GaiaX, dankzij uitstekende Open Standaarden en – waar nodig – Open Source code. Dankzij brede en bewezen initiatieven als http://www.fiware.org en dankzij organisatie-onafhankelijke Trust en Governance frameworks zoals http://www.ishare.eu, zijn de zorgen van de hoogleraren aantoonbaar weg te nemen. Daarbij maakt het niets uit of een dataset bij Amazon of Microsoft of op een Apache server gehost wordt. Het gaat om de relaties en om de voorwaarden waaronder de toegevoegde waarde binnen een bepaalde, beperkte gebruikscontext mag worden gerealiseerd. http://www.internationaldataspaces.org gaat wel iets verder dan een infra en opslag discussie. Tijd voor Ontleren en Bijleren!