Voor het weekend schiep het kabinet helderheid over zijn cloudbeleid met een aantal brieven aan de Tweede Kamer. Eén ding staat als een paal boven water: het kabinet wil de Nederlandse en Europese cloudsector versterken om de afhankelijkheid van Amerikaanse diensten in te perken. ‘Cloudtechnologie is onmisbaar geworden in onze digitale economie en samenleving,’ schrijft staatssecretaris Aerdts (Digitale Economie en Soevereiniteit) in een brief aan de Kamer.
Cloudbeleid van kabinet: vooralsnog geen harde keuze voor ‘Europe first’
Wat opvalt, is de behoedzame toon: het kabinet is voorstander van meer Europese cloudsoevereiniteit, maar spreekt zich niet nog niet onomwonden uit voor een voorkeursbeleid voor Europese en nationale aanbieders van clouddiensten: eerst maar eens duidelijke uniforme criteria en wettelijke kaders.
Voor de levering daarvan zijn organisaties in Nederland in grote mate afhankelijk van een klein aantal niet-Europese cloudaanbieders. Dat brengt volgens Aerdts risico’s met zich mee voor de concurrentiepositie, digitale open strategische autonomie en continuïteit. ‘Het kabinet onderkent deze risico’s en zet zich al geruime tijd in voor een beter functionerende cloudmarkt, met als centrale ambitie de ontwikkeling van een federatief Europees cloud-ecosysteem.’
Voorzichtige koers
Aerdts gaat in haar brief in op het manifest ‘Een Open Cloud voor Nederland’ van de Open Cloud Alliantie (OCA), een samenwerkingsverband van zeven Nederlandse IT-bedrijven. Hun boodschap aan het kabinet en de Tweede Kamer: spreek bij overheidsopdrachten een duidelijke voorkeur uit voor Nederlandse en Europese cloudoplossingen. De OCA wijst daarbij op de ruimte binnen Europese aanbestedingsregels voor keuzes die zijn ingegeven door nationale veiligheid en digitale soevereiniteit. ‘Werk dit uit naar het voorbeeld van het European Sovereignty Framework,’ schrijft de alliantie. Dat raamwerk, voortkomend uit een EU-richtlijn, vertaalt het abstracte begrip ‘soevereiniteit’ naar concrete, meetbare en afdwingbare criteria.
‘Momenteel bestaat er geen uniform vastgelegde definitie en bijbehorende criteria voor een soevereine cloud’
Willemijn Aerdts
Zover wil het kabinet zelf nog niet gaan. Hoewel het de risico’s onderkent van te grote afhankelijkheid van niet-Europese aanbieders, kiest het uiteindelijk voor een voorzichtigere koers. Aerdts spreekt zich in elk geval niet onomwonden uit voor Nederlandse en Europese cloudoplossingen. Een dergelijke voorkeur ligt momenteel lastig, omdat er nog geen algemeen geaccepteerde definitie bestaat van het begrip ‘soevereiniteit’, luidt de reactie.
Europese initiatieven
‘Momenteel bestaat er geen uniform vastgelegde definitie en bijbehorende criteria voor een soevereine cloud,’ schrijft Aerdts. ‘Verschillende aanbieders van clouddiensten bieden cloudproposities aan die ze ‘soeverein’ noemen. Bij gebrek aan een uniform vastgelegde definitie en bijbehorende criteria doen ze dat op basis van eigen criteria.’ Voor afnemers blijft daardoor onduidelijk waaraan zo’n soevereine clouddienst precies voldoet en welke garanties eraan verbonden zijn, stelt de staatssecretaris. De zelfverklaarde soevereiniteit kan dan in werkelijkheid niet de ‘veiligheidswaarborgen’ bieden die afnemers verwachten, en dat dreigt volgens haar zelfs ‘sovereignty washing’.
In plaats van een nationale voorkeur uit te spreken, verwijst het kabinet naar Europese initiatieven zoals het Cloud Sovereignty Framework (CSF) en vooral de Cloud & AI Development Act (CADA), het vergaande wetgevingsvoorstel van de Europese Commissie om digitale soevereiniteit te versterken. Het kabinet ziet CADA zelfs als het ‘primaire regelgevende kader’ voor definities van cloudsoevereiniteit en mogelijke Europese voorkeursprincipes bij aanbestedingen. Voor wie tussen de regels door leest: het kabinet houdt de deur naar een Europese voorkeursbehandeling toch enigszins open. Een Europe first-benadering lijkt nog een brug te ver. Eerst moeten er duidelijke regels en kaders komen.
In plaats van een nationale voorkeur uit te spreken, verwijst het kabinet naar Europese initiatieven, zoals het Cloud Sovereignty Framework (CSF) en vooral de Cloud & AI Development Act (CADA).
Herziening cloudbeleid
Vrijdag presenteerde het kabinet ook een aangescherpt cloudbeleid, gericht op het beperken van risico’s en het meer in eigen beheer houden van cruciale data. E-mailservers en documentbeheer moeten bij voorkeur op interne servers draaien, in plaats van in publieke clouds van partijen als Microsoft en AWS. Dat geldt ook voor werkzaamheden van kritieke ministeries en uitvoeringsorganisaties, zoals het UWV en de Sociale Verzekeringsbank. Het gebruik van publieke cloud voor bijzondere persoonsgegevens wordt afgeraden. Als dat toch nodig is, moeten Privacy Enhancing Technologies (PET) worden ingezet.
Bestaande publieke cloudoplossingen worden met een overgangstermijn gemigreerd, schrijft Aerdts. 'E-mail en documenten bevatten een grote hoeveelheid overheidsinformatie die, zelfs wanneer individuele e-mails of documenten niet hoog gerubriceerd zijn, door de combinatie van hun inhoud en grote hoeveelheid toch een risico kunnen vormen. Daarnaast is de bedrijfsvoering vaak in grote mate afhankelijk van dit e-mail- en documentbeheer.'
Rijksorganisaties moeten minder afhankelijk worden van Amerikaanse techbedrijven en, belangrijker nog, kunnen terugvallen op alternatieven. Zij krijgen vier jaar om de aanpassingen door te voeren. Maar alle digitale ambities ten spijt: extra geld komt er niet. De overstap naar andere aanbieders dan bijvoorbeeld Microsoft moet ogenschijnlijk uit bestaande budgetten worden betaald.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.