Het opiniestuk leest als een waarschuwing omdat deze hybride varianten zichtbaar richting SecNumCloud-certificering bewegen. De vraag is dan niet langer of dat gebeurt, maar vooral wat de consequenties zullen zijn. Volgens de auteurs dreigt het begrip "vertrouwd" te vervagen zodra ook op Amerikaanse technologie gebaseerde platformen hieronder kunnen vallen en daarmee komt het fundament van een soeverein Europees cloud-ecosysteem onder spanning te staan.
SecNumCloud als lakmoesproef voor Europese soevereiniteit
Eind oktober verscheen in Le Figaro een opiniestuk waarin 35 Franse bestuurders, technici en publieke denkers betogen dat hybride cloudmodellen zoals Bleu (Azure-stack via Orange/Capgemini) en S3NS (Google Cloud via Thales) niet onder SecNumCloud zouden moeten vallen. Want als Amerikaanse technologie via een Franse voordeur toch gecertificeerd wordt, wat betekent “soeverein” dan eigenlijk nog?
In Nederland klinkt steeds vaker de vraag om SecNumCloud als toetskader te hanteren. Zeker nu Nederlandse software- en cloudaanbieders in Amerikaanse handen vallen of dat risico lopen, wordt die roep beter begrijpelijk. SecNumCloud biedt immers een toetsbaar kader dat autonomie afdwingt, in plaats van te leunen op beloftes, contractteksten of goede intenties.
Franse model
Toch is het te makkelijk om het Franse model te kopiëren en ervan uit te gaan dat daarmee de puzzel is gelegd. Want wat verstaan we in Nederland eigenlijk onder digitale autonomie? Dit artikel wil SecNumCloud niet afwijzen, maar verkennen welke interpretatie de basis zou moeten vormen voor een certificeringsregime rond digitale autonomie.
SecNumCloud zet stevig in op het voorkomen van ongewenste zeggenschap over Europese cloud-dienstverleners, met voorwaarden rond EU-vestiging, aandeelhouderschapslimieten en bescherming tegen extraterritoriale wetgeving. Daarom wordt Frankrijk internationaal vaak als referentie aangehaald: niet alleen security, maar ook juridische autonomie wordt gecertificeerd en dat is uniek.
Onder diezelfde paraplu valt de eis dat afhankelijkheid van niet-EU-partijen moet worden uitgesloten. Maar hoe deze bepaling moet worden toegepast wanneer de technische basis Amerikaans is, is nog niet uitgekristalliseerd. Precies daar ontstaat het debat rond Bleu en S3NS.
Gaat autonomie over bestuurlijke controle, sleutelbeheer en juridische borging?
Dat brengt ons bij de kernvraag: borgt SecNumCloud wel autonomie wanneer governance en juridische structuur Europees zijn, maar de softwarestack Amerikaans? SecNumCloud 3.2 vereist dat partijen in de keten geen toegang of invloed mogen hebben op operationele autonomie, maar het document maakt niet expliciet of technologie zelf onder die definitie valt wanneer de exploitatie in Europa ligt. Daarmee blijft onduidelijk of autonomie kan standhouden wanneer de technische kern buiten Europa wordt ontwikkeld, onderhouden en gecontroleerd.
Daarmee komen we uit bij het idee of we dit van leveranciers mogen verlangen in Nederland. Een dergelijk toetskader ligt binnen ons bereik, maar alleen wanneer eerst helder wordt gedefinieerd wat autonomie omvat. Gaat autonomie over bestuurlijke controle, sleutelbeheer en juridische borging? Of begint zij bij het vermogen om een technologie-stack zelfstandig te kunnen voortzetten, zonder toestemming of afhankelijkheid van een ander? Zolang dat onderscheid niet scherp is, blijft soevereiniteit een interpretatie in plaats van een eigenschap.
SecNumCloud is een belangrijke stap en het Franse model verdient aandacht en navolging. Bleu (Azure via Orange/Capgemini) en S3NS (Google/Thales) vormen daarbij de lakmoesproef, want worden zij gecertificeerd, dan wordt duidelijk dat SecNumCloud vooral governance borgt, niet technologische onafhankelijkheid. Dát is de scheidslijn waar het Europese soevereiniteitsdebat nu op rust.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.