Het waarom van de Europese Cloud Strategie

Eurocommissaris Neelie Kroes ziet in cloud computing een grote kans voor Europa om innovatie en economische groei te bevorderen. Maar dan moet er nog wel wat worden geregeld op het gebied van standaardisatie, veiligheid en betrouwbaarheid. Daar moet haar ‘Cloud Strategie’ mede voor zorgen. Een interview.

De Europese Commissie werkt onder leiding van Neelie Kroes aan een Europese Cloud Strategie. Gaat dit consumenten, bedrijven en vooral overheidsorganisaties de zekerheden geven die ze nu nog missen? Interview met Neelie Kroes, verantwoordelijk voor de Europese Digitale Agenda.

Waarom hebben we eigenlijk een Europese Cloud Computing Strategie nodig?

“De Europese Commissie wil dat Europa een beslissende rol speelt in de zich snel ontwikkelende wereld van cloud computing. Vergelijk het met de wijze waarop we dat hebben gedaan rond mobiele telefonie. Als we als Europa een duidelijke strategie neerzetten, is dat een belangrijke impuls voor een nieuwe Europese industrie. En dat levert banen op. Volgens onderzoeken zou cloud computing in 2020 kunnen leiden tot 2,5 miljoen extra banen in Europa en een jaarlijkse bijdrage van 150 miljard euro. Dat is rond de 1 procent van het Europese ‘BNP’. Met die kennis pleiten wij voor het versnellen van het gebruik van dit soort platformen in Europa.

We hebben cloud computing nodig om onze productiviteit te verhogen. Volgens marktonderzoek zegt 98 procent van de bedrijven dat ze clouddiensten zullen afnemen als er een veilige juridische omgeving wordt gecreëerd, zoals wij die met onze strategie nastreven. De belangrijkste thema’s van die strategie zijn ten eerste dat we flink snijden in de huidige jungle aan technische standaarden, zodat cloudgebruikers zijn verzekerd van interoperabiliteit, overdraagbaarheid van gegevens en omkeerbaarheid van uitgevoerde acties. Een tweede pijler is dat we zorgen voor aanvullende veilige en redelijke Europese contractvoorwaarden om die zaken te adresseren die nog niet worden gedekt door de huidige standaard Europese verkoopvoorwaarden. En ten derde willen we leiderschap in de publieke sector promoten door een European Cloud Partnership.”

U hebt inderdaad in Davos een European Cloud Partnership (ECP) aangekondigd, gericht op de publieke sector. Wat is de bedoeling daarvan?

“Het gebruik van cloud computing is een revolutie in de wijze waarop mensen informatie gebruiken en delen. Alle internetgebruikers kunnen profiteren van de enorme kostenbesparingen en efficiëntievoordelen die dat met zich meebrengt. Onderzoeken geven aan dat 80 procent van de bedrijven die nu cloud computing gebruiken, zo’n 10 tot 20 procent op hun IT-kosten besparen. En 20 procent bespaart zelfs 30 procent of meer. Met onze strategie streven we naar een naadloze en consistente cloudervaring over landgrenzen heen, zodat we volledig kunnen profiteren van de voordelen.”

Beoogt de ECP een soort Euro-Cloud?

“Nee. De ECP zal inkoopautoriteiten van Europese overheidsdiensten en sleutelspelers uit de ICT-industrie samenbrengen. We hebben al een aantal grote namen die meedoen, dus we kunnen vaart maken. Doel is vooral om de inkoopprocessen en – voorwaarden rond cloud computing te stroomlijnen. Het gaat dan bijvoorbeeld om het ontwikkelen van inkoop – en inkoopreferentiespecificaties. Dat moet Europese publieke diensten helpen om op een vergelijkbare manier of zelfs gemeenschappelijk clouddiensten in te kopen. Als er gemeenschappelijke gebruiksvoorwaarden zijn, is het een logische stap om ook gemeenschappelijk in te kopen.
Maar het is uitdrukkelijk niet onze bedoeling met dit partnerschap zelf een fysieke infrastructuur te gaan creëren. Doel van de ECP is wel dat wij via onze inkoopkanalen kunnen waarborgen dat het commerciële aanbod aan clouddiensten in Europa, zowel naar de private als publieke sector, voldoet aan de Europese behoeften.”

Onderdeel van de ECC-strategie is de rechten van consumenten te versterken. Hoe?

“We willen modelcontracten en -voorwaarden ontwikkelen waarmee we die zaken adresseren die nu niet worden gedekt door de Gemeenschappelijke Europese Verkoopwet. Dan gaat het om zaken als het bewaren van gegevens na beëindiging van een contract, gegevensopenbaring en -integriteit, garanties over opslaglocaties en transfer, eigenaarschap van gegevens en indirecte aansprakelijkheid. In Europa eisen we dat gegevensbeveiliging serieus wordt genomen. Het zijn jouw gegevens, en jij hoort te kunnen beslissen wat ermee gebeurt.”

Volgens de Europese Data Protection Directive moeten Europese bedrijven en organisaties hun gegevens opslaan binnen de Europese Economische Ruimte (EEA) of in landen met vergelijkbare wetgeving. Wilt u cloud providers die in Europa actief zijn, verplichten zich aan deze richtlijn te houden?

“Zeker, maar cloudaanbieders moeten daar nu al aan voldoen. Die richtlijn stamt al uit 1995, voordat internet een vlucht nam. Ik heb er toen hard aan getrokken om die bepaling in de richtlijn te krijgen. Het voorstel voor nieuwe regelgeving versterkt de juridische basis voor de ontwikkeling van cloud computing. Cloudaanbieders moeten dat niet als een last zien, maar als een manier om zich positief te onderscheiden. Maar hoe de definitieve tekst er ook uit gaat zien, we moeten cloudaanbieders wel zo snel mogelijkheid duidelijkheid bieden. Het is daarom belangrijk dat de betrokken ministers en het Europees parlement doorpakken en zo spoedig mogelijk in 2013 de nieuwe regelgeving vastleggen.”

Ondertussen starten er in steeds meer Europese landen nationale cloudinitiatieven, waarbij de garantie wordt geboden dat gegevens binnen de eigen grenzen worden opgeslagen. In Nederland hebben we de KPN Cloud, in Engeland de G-Cloud, in Frankrijk Andromède en in Duitsland Trusted Cloud. Hoe kijkt u daarnaar? Ondergraaft dit de vorming van één eurocloudzone met overeenkomstige regels en wetten?

“Ik ben voor keuzevrijheid en flexibele bedrijfsmodellen. Als een bedrijf meent dat het zich kan onderscheiden door gegarandeerde nationale opslag aan te bieden, dan heb ik daar geen enkel probleem mee. Maar de potentiële schaalvoordelen zijn veel groter – 160 miljard euro per jaar, of 300 euro per persoon per jaar – bij een pan-Europees initiatief. Dus waarom zou je dat niet proberen? Het is onze taak in Brussel om dat mogelijk te maken. Tevens kunnen we een einde maken aan alle lapwerk op nationaal niveau, en gebruikers en aanbieders zekerheid bieden over hun juridische rechten en plichten. Die zekerheid is er nu niet. Dat kan geen goede zaak zijn.”

Bij cloud computing spelen landsgrenzen in de praktijk nauwelijks een rol. Speelt de EU nog een rol om op mondiaal niveau tot betere waarborgen en regelgeving te komen?

“Je hebt natuurlijk helemaal gelijk. Cloud computing is per definitie grenzeloos. Dat is precies de reden dat we Europese inbreng nastreven in de mondiale groei van cloud computing. We kunnen niet controleren wat de wereld doet, maar we kunnen wel de regels uitdragen van de grootste economische en juridische entiteit in de wereld – de Europese Unie.
De volgende aanpak waar we op inzetten is om meer grip te krijgen op dataopslag buiten de Europese zone. We beginnen vanuit de standaardcontractvoorwaarden die voor organisaties gelden als ze persoonlijke gegevens naar derde landen overbrengen. Dit juridisch kader passen we – waar nodig – aan voor clouddiensten. We roepen verder nationale autoriteiten op om bindende regels op te stellen voor cloudaanbieders. En ten slotte brengt de Commissie deze cloudthema’s natuurlijk ook in bij onze reguliere dialoog met landen als de Verenigde Staten, Japan en andere.”

Patriot Act

Een van de terugkerende items rond de risico’s van cloud computing is de toegang tot gegevens door buitenlandse mogendheden. In oktober leidde dat nog tot kamervragen. Buiten de risico’s van spionage of gegevensdiefstal wordt daarbij vooral gedoeld op activiteiten van de Amerikaanse overheid. Veel cloudaanbieders zijn immers Amerikaanse bedrijven. Onvermijdelijk komt dan ook de Patriot Act uit 2001 op de proppen. Deze antiterrorismewet heeft een symboolfunctie gekregen in het debat, maar de Amerikaanse wetgeving biedt veel meer mogelijkheden om rechtstreeks gegevens bij een cloudaanbieder op te vragen. Zo blijkt althans uit een rapport van het Instituut voor Informatierecht van de Universiteit van Amsterdam. En anders dan Amerikanen zelf hebben buitenlanders maar zeer summiere rechtsbescherming.
Het rapport stelt vast dat indien informatie is opgeslagen bij een clouddienst die onder Amerikaanse jurisdictie valt, Amerikaanse veiligheidsdiensten deze gegevens rechtstreeks in de VS bij de betreffende onderneming kunnen opvragen. “De Amerikaanse constitutionele waarborgen op het gebied van bevragingen door de Amerikaanse overheid zijn niet van toepassing op Nederlandse gebruikers van de cloud.”
Een cloudaanbieder valt volgens het rapport al snel onder Amerikaanse jurisdictie, ook als de gegevens niet op Amerikaans grondgebied zijn opgeslagen: “Het criterium is of de cloud provider structureel activiteiten binnen de VS ontplooit, bijvoorbeeld door een vestiging te hebben of onderdeel te zijn van een in de VS gevestigde onderneming die controle heeft over de betreffende gegevens.” Dat raakt kortom elk Europees bedrijf met een vestiging in de Verenigde Staten.
[‘Clouddiensten in hoger onderwijs en onderzoek en de USA Patriot Act’, september 2012, www.ivir.nl]

Digitale Agenda

De Nederlandse overheid ondersteunt de visie van eurocommissaris Kroes dat cloud computing een belangrijke factor kan worden voor innovatie en economische groei. Cloud Computing is dan ook onderdeel van de Nederlandse Digitale Agenda. Daarin worden twee wegen geschetst: belemmeringen voor veilig en verantwoord gebruik wegnemen en de ontwikkeling van eigen clouddiensten bevorderen.
In 2012 startte het programma ‘Productiviteit en cloud computing’. In dat kader verscheen in maart 2012 het rapport ‘Cloud computing; fundament op orde’. Het rapport verschaft inzicht in effecten, belemmeringen en randvoorwaarden van cloud computing. Het eindigt met een serie aanbevelingen, onder andere gericht aan het ministerie van EL&I.
In de vorige kabinetsperiode is de conclusie getrokken dat ‘open’ cloudoplossingen nog niet voldoen aan de eisen die de overheid stelt. De markt zou nog te onvolwassen en te weinig transparant zijn. Voor de ontwikkeling van rijksclouddiensten koerst men dan ook vooralsnog af op gesloten vormen van cloud computing, oftewel de private cloud.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren