Tweede Kamer wil cloudbeleid heroverwegen en kiezen voor Europees alternatief
Een motie van VVD, Volt, D66, CDA en ChristenUnie om voor een Europees cloudalternatief te kiezen heeft 21 februari een meerderheid gehaald in de Tweede Kamer. De Kamer wil dat het kabinet de keuze om commerciële cloudaanbieders bij de Rijksoverheid toe te staan heroverweegt.
Kamerlid Queeny Rajkowski nam het initiatief tot het indienen van de motie. | Beeld: ANP, Paul Dijkstra
Afgelopen oktober presenteerde staatssecretaris Van Huffelen het Rijksbreed cloudbeleid 2022. Hierin werd aangekondigd dat de overheid voortaan van commerciële clouddiensten gebruik mag maken. Deze nieuwe strategie heeft veel stof doen opwaaien. Volgens de nu aangenomen motie moet dit besluit bij de eerstvolgende evaluatie worden heroverwogen en moet er een keuze worden gemaakt voor een Europees alternatief.
Economisch voordeel
Kamerlid Queeny Rajkowski, initiatiefneemster van de motie, gaf eerder tegenover AG Connect aan dat ze naast betere gegevensbescherming ook een economisch voordeel ziet bij een Europese cloudaanbieder voor het Rijk. “Door het werken met Europese aanbieders zorgen we voor een sterke Europese economie waar wij allemaal van profiteren en houden we de gegevens van Nederlanders veilig en in eigen huis.”
Onzin. Het gaat niet om de infrastructuur maar om de data. Je kunt GaiaX overal op draaien waar je wilt, juist omdat het niet om ‘cloud’ gaat, maar om verifieerbare data relaties. ‘De Cloud’ bestaat ook niet, je zit al heen snel in een hybride samenstelling die je uitstekend end2end kunt regelen met Data Policies en Data Pane aansturing (welke data objecten mag je onder welke voorwaarden, waar en wanneer gebruiken). Trust & Governance raamwerken die je NU al kunt inzetten en volkomen agnostisch zijn van de cloud infra, maar WEL controle geven over de data bestaan ook allang, vb http://www.ishare.eu Dan geldt nog dat clouds allang zijn ingehaald door Edge computing, dus als er ergens aandacht aan zou moeten worden gegeven is het aan de locatie waar de algoritmen worden berekend die de edge-devices aansturen waar onze samenleving op draait en dan vooral zo’n beetje al onze kritieke infrastructuur. Gaia-X, de European Association for Data and Cloud AISBL, de Big Data Value Association (BDVA), de FIWARE Foundation en de International Data Spaces Association (IDSA) hebben allang hun krachten gebundeld om de acceptatie van dataruimten in heel Europa en daarbuiten te stimuleren OVER CLOUDS HEEN. Commerciële diensten moeten ook gewoon aan wet- en regelgeving voldoen, maar het belangrijkste wordt vergeten: de OUTSOURCENDE partij blijft datavoortbrengingsketenverantwoordelijk. Niet alleen volgens de AVG, maar zeker ook binnen de aanstormende NIS2 compliance. Het probleem ligt niet bij de infrastructuur leveranciers (hooguit data providers), maar maar de data eigenaren en data consumenten die hun shit niet op orde hebben.
De overheid lijkt ten prooi te vallen aan een klassiek geval van “Fear, Uncertainty, and Doubt” (FUD). Angst voor de cloud laat zich gemakkelijk voeden door twijfel te zaaien, en helemaal als mensen binnen “hun bubbel” elkaar ermee aansteken. Met FUD is het gemakkelijk om “de cloud” als onveilig weg te zetten, waardoor de overheid nog jaren miljoenen zal blijven besteden aan het onderhouden van dure eigen infrastructuur, computers en software. Zogenaamd omdat het in-house veiliger zou zijn.
De remedie tegen FUD is kennis. Alleen met kennis van zaken kun je de juiste vragen stellen en zin van onzin onderscheiden, zodat je niet ten prooi valt aan angst, onzekerheid en twijfel. Niet omdat je als overheid per se naar de cloud moet, maar om de dienstverlening aan burgers en bedrijven te verbeteren, te verduurzamen, en goedkoper te maken.
Het accent ligt in de discussies idd. altijd nogal op veiligheid en bescherming van persoonsgegevens. Ik kan me best voorstellen dat je dat goed kunt regelen, maar is er dan echt geen wolkje meer aan de cloud-hemel? Ik ben geen expert, maar hoe zit het met zeggenschap over de gegevens die in een cloudoplossing zitten? Je kunt ze erin stoppen, maar krijg je ze er nog (tegen redelijke kosten) uit? Hoe zit het met de realiteitswaarde van de kritische geluiden die ik daarover hoor?
En hoe kan het in cloudoplossingen wegzetten van data helpen om de dienstverlening aan burgers beter te maken? Of zitten we daarmee direct ‘vast’ aan de services die zij leveren om gegevens te gebruiken applicaties die het voor burgers en bedrijven makkelijker maken? Een vendor lock in lijkt me ook niet de bedoeling.
Het zou vooral heel fijn zijn als iemand eens een voor ‘normale mensen’ begrijpelijk stuk zou kunnen schrijven over wat (de) cloud wel en niet is. De Kamerbrieven spannen ook niet de kroon in helderheid wat dat betreft. En hoe hoog jouw deskundigheid ook acht, Vincent, voor mij is je verhaal niet heel begrijpelijk en daarom niet overtuigender dan het verhaal van kabinet of Kamer. En dan krijgt FUD idd. al snel de overhand.
Als politici het spel van het overvragen en onderbieden van belangen is, denk ik dat de motie indieners best wisten dat alles wat zij willen bereiken allang verwoord staat in de aanstormende en onderling versterkende EU wet- en regelgeving. Van NIS2 tot EU Data Act wordt het glashelder wie de data eigenaar is, wie de data aanbieder en wie de data consument. Data Spaces verplaatsen de macht over de data van centrale platformen (noem het ‘cloud’ maar dat is net zo’n containerbegrip als ‘blockchain’ of ‘AI’) terug naar de rechthebbende van de data, die daarbij controle houdt over het nieuwe goud. Een Data Space valt te omschrijven als een omgeving waar gegevens worden gedeeld tussen vertrouwde partners, die zich houden aan dezelfde standaarden en richtlijnen met betrekking tot het delen en opslaan van deze gegevens, binnen een of meerdere ecosystemen. De term Data Spaces is voor het eerst ontstaan in 2017 vanuit een samenwerking tussen het team van International (voormalig Industrial) Data Spaces Association (IDSA) en de Europese Commissie (EC). Juist vanuit de overtuiging dat “Big Tech”, de grote technologiespelers vanuit onder andere de verenigde Staten, een ontwrichtende rol zouden gaan spelen in de Europese economie. Laten we niet dezelfde fout maken als met de invoering van de AVG, die ook jaren van tevoren bekend was, maar waarvoor pas actie werd ondernomen toen het niet anders kon. Om de EU Data Act en NIS2 (en er komen er nog 15!) te kunnen uitvoeren is huiswerk en aandacht nodig. De balk zit in het eigen oog en ligt niet bij de techniek.