De aanleiding voor de sancties zijn de arrestatiebevelen die het ICC uitvaardigde tegen de Israëlische premier Netanyahu en oud-minister Gallant, in verband met mogelijke oorlogsmisdaden in Gaza. De regering-Trump beschuldigde het hof van politieke motieven en beperkte via sancties de bewegingsvrijheid van ICC-functionarissen.
Rol Microsoft bij Amerikaanse sancties ICC ‘ernstige wake-up call’
Microsoft blokkeerde op last van de Amerikaanse overheid vorige week de toegang tot onder meer e-mail van hoofdaanklager Karim Khan van het Internationaal Strafhof (ICC). Het voorval leidt in Europa tot grote zorgen over de Europese digitale afhankelijkheid. Dat meldt persbureau Associated Press.
Khans toegang tot onder meer zijn e-mail is op last van de Amerikaanse overheid geblokkeerd – zonder tussenkomst van een rechter, zonder bezwaarprocedure en zonder dat het ICC zich kon verweren. Op dezelfde dag dat naar buiten kwam dat Khan geen toegang meer had, werd hij ook met verlof gestuurd vanwege een onderzoek naar vermeend seksueel wangedrag. Dat onderzoek is bijna afgerond.
Microsoft-belofte
Opvallend is de rol van Microsoft in dit dossier. Terwijl Microsoft-topman Brad Smith nog geen week geleden beloofde in Europa te vechten voor gebruikersrechten, is hoofdaanklager Khan nu afgesloten van zijn account op Microsoft-diensten – direct na een Amerikaans bevel, zonder rechterlijke toetsing. ‘Een Digital Resilience Commitment’ blijkt in de praktijk niet tegen politieke druk bestand.
Deze gang van zaken voedt zorgen over de digitale soevereiniteit van Europa. Critici waarschuwen dat ook Nederlandse instellingen, waaronder het parlement, kwetsbaar zijn als cruciale communicatie via Amerikaanse clouddiensten verloopt. ‘Als de Tweede Kamer iets besluit wat Washington niet zint, kan de toegang tot parlementaire e-mail op bevel worden afgesloten’, luidt het in een reactie vanuit de Dutch Cloud Community.
Overstappen
Deze roept overheden en bedrijven op om hun afhankelijkheid van niet-Europese technologieën in kaart te brengen en waar nodig over te stappen op infrastructuren die onder Europese wetgeving vallen. Volgens de organisatie is dit voorval een ernstige wake-up call.
Lees meer:
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Paar stappen als je van Microsoft (of wie dan ook) wilt overstappen (waarom zou je, want laten we er geen religie van maken ... de afnemer van een dienst blijft sowieso verantwoordelijk voor zijn eigen data) ... Om te beginnen moet je in kaart brengen welke systemen, data en infrastructuur momenteel afhankelijk zijn van Microsoft (en andere Amerikaanse leveranciers, zoals Google en Amazon Web Services) om een beeld te krijgen van de mate van risico voor kritieke processen als deze toegang wordt beperkt of beëindigd. Vervolgens moet je controleren of het huidige gebruik van Amerikaanse clouddiensten voldoet aan Europese wetgevingen, zoals de GDPR en Schrems II-uitspraak.(meestal wel, want zij zijn ook niet gek) Dan moet je kijken of er alternatieve technologieën en aanbieders zijn die binnen Europese jurisdictie vallen.
Je kunt dan denken aan cloud-oplossingen, zoals OVHcloud, Deutsche Telekom's Open Telekom Cloud, Scaleway, of Hetzner. Deze Europese cloudproviders opereren onder Europese wetgeving en bieden sterke gegevensbescherming en er zijn ook uitstekende Nederlandse alternatieven. Ook voor de software. Vervang Microsoft-producten (zoals Office 365 en Teams) door open-source of Europese alternatieven, zoals Nextcloud: Voor cloudopslag en samenwerkingstools. Je hebt LibreOffice of OnlyOffice voor documentbeheer; Mattermost of Rocket.Chat of Digithree DGMV-Secure Meets voor teamcommunicatie. Voor e-mail en hosting kun je bijvoorbeeld overstappen naar Europese e-maildiensten, zoals ProtonMail (Zwitserland) of Mailfence (België).
Technisch is het een ander dingetje. Om je technische migratie te plannen moet je zorgen voor een gecontroleerde en gefaseerde overstap naar nieuwe systemen. Dit vereist o.a. data-export en migratie, dus je hebt een migratieplan nodig voor het overzetten van data uit Microsoft-systemen naar nieuwe systemen. Houdt rekening met interoperabiliteit- en dataverlies, want het was nou net zo leuk bij Microsoft dat het allemaal zo lekker samenwerkte. Overweeg dus een hybride model, waarin kritieke data eerst wordt overgezet naar Europese infrastructuur, terwijl minder gevoelige data tijdelijk in bestaande systemen blijft. Implementeer daarvoor een testomgeving voor nieuwe oplossingen om compatibiliteit, prestaties en beveiliging te valideren.
Daarbij moet de boel wel een beetje veilig en compliant blijven, dus waarborg dat de nieuwe infrastructuur vanaf het begin voldoet aan Europese beveiligingsstandaarden en regelgeving, inclusief Security by Design, Compliance by Default etc. Daar bestaan hartstikke mooie Data Governance pane oplossingen voor, maar die stellen ook eisen aan de volwassenheid van je eigen organisatie en dat kan confronterend zijn.
Qua data-soevereiniteit moet je systemen selecteren die garanderen dat data binnen de EU blijft, anders ben je alsnog terug bij 'af'. Dat vraagt dus om regelmatige externe audits om naleving van GDPR en andere regelgeving te controleren. Er zijn net zo goed Franse bedrijven met korte lijntjes naar China of Oost-Europese backup locaties met korte lijntjes naar Rusland. Veel aandacht moet dus sowieso geschonken worden aan (Data) Governance en Bewustwording rondom digitale soevereiniteit -wat uiteindelijk een functie van Trust inrichting is. Daar hoort dus policy bij: beleid. Ontwikkel dus een organisatiebreed beleid voor het gebruik van clouddiensten en digitale tools en train medewerkers in het gebruik van al die nieuwe systemen en maak hen ook bewust van de risico’s van afhankelijkheid van (buitenlandse) technologie. Daar moet je dan weer een monitoringframework omheen zetten om te controleren dat de nieuwe infrastructuur ook blijft voldoen aan de eisen. Als we dan toch bezig zijn, haak dan meteen aan bij de Europese Data Strategie en bevorder de Europese samenwerking met gezamenlijke investeringen in de onderliggende technologie. Neem deel aan initiatieven, zoals GAIA-X, een Europees project voor een soevereine cloudinfrastructuur wat weer nauw samenwerkt met oer-Hollandse structuren als www.ishare.eu wat weer door allerlei bestaande Nederlandse Data Spaces juridisch en technisch wordt ondersteund.
Aanhaken bij een Data Ecosysteem is iets anders dan 'een harde schijf in de sky' aanbesteden. Er liggen veel kansen en tijdverdichting in samenwerking met andere Europese landen en organisaties om precies dat beleid te bevorderen dat digitale soevereiniteit ondersteunt. Als we op zee van bootje wisselen, nu wel zorgen voor een duidelijke exit strategie, voor het geval die andere leveranciers plotseling beperkingen opleggen.
Zorg dus voor clausules in contracten die toegang tot data en diensten garanderen, zelfs bij politieke druk en onderhoudt je back-upsystemen, je redundante systemen om kritieke processen te ondersteunen in geval van verstoringen.
De blokkering van ICC-functionarissen door Microsoft trok het onderste blikje uit de stapel en benadrukte een fundamenteel probleem: de afhankelijkheid van Amerikaanse techbedrijven brengt niet alleen operationele risico’s met zich mee, maar ook geopolitieke kwetsbaarheden. Dit leidde tot de politieke wil op zoek te gaan naar alternatieven om deze afhankelijkheid verminderen en digitale soevereiniteit te versterken, maar dat vergt wel een strategische, gefaseerde aanpak, die zowel technische, als juridische, als organisatorische veranderingen omvat en je weet nooit wat je aantreft als je de sloophamer in je ouwe keuken zet.