Is de Europese Dataverordening de olifant in de kamer?

Doelstelling: de Europese cloudmarkt openstellen

Ter herinnering: de Dataverordening vereist dat de gegevens die door een product of dienst worden gegenereerd, toegankelijk zijn voor de gebruiker en overdraagbaar zijn aan een derde partij naar keuze van de gebruiker. Neem het voorbeeld van een particulier die een ‘smart’ auto bezit: de gegevens mogen niet langer exclusief voorbehouden zijn aan de fabrikant, maar moeten kunnen worden gedeeld met een onafhankelijke garage. Op papier is het een revolutie. Maar hoeveel spelers zijn al technisch klaar om deze interoperabiliteit op een veilige en gedocumenteerde manier te bieden?

Een impact op alle contracten

De Dataverordening beperkt zich niet tot technologie. Hij legt een echte contractuele revolutie op. Clausules die de toegang tot en de overdraagbaarheid van gegevens verbieden of beperken, worden duidelijk misbruik en zelfs illegaal. Leveranciers moeten hun servicecontracten grondig herzien. Een SaaS-leverancier mag niet langer exorbitante kosten in rekening brengen voor het exporteren van de gegevens van een klant. Ook een cloudprovider kan niet langer clausules in zijn algemene voorwaarden opnemen die de migratie onmogelijk maken of waarvan de kosten pas later duidelijk worden. Bedrijfsjuristen en inkoopafdelingen zijn druk bezig met het herschrijven van hun contracten.

Alle gegevens moeten beschermd zijn

Aangezien we het over contractanten hebben, spreekt het voor zich dat delen en overdraagbaarheid niet betekenen dat de veiligheid wordt opgegeven. De Dataverordening benadrukt dat gegevens met vertrouwen moeten kunnen worden uitgewisseld. Dit gaat dus om systematische versleuteling, gedetailleerde toegangscontrole, uitgebreide logboekregistratie en traceerbaarheid. Stel je een zorgbedrijf voor dat de gegevens van zijn patiënten van de ene cloud naar de andere wil overbrengen. De aanbieder zal verplicht zijn om een end-to-end versleutelde overdracht te garanderen, met gedetailleerde toegangscontrole. Hetzelfde gebeurt in de luchtvaartindustrie: als een onderaannemer onderhoudsgegevens overdraagt, zal hij moeten aantonen dat deze gegevens bij elke stap worden beschermd.

Met de grootst mogelijke eenvoud

Maar wees gerust, de overdracht is eenvoudig. Of beter gezegd, dat zal uiteindelijk zo zijn. Waarom? Omdat de Dataverordening dit vereist. Hoe? Door het gebruik van standaard en gedocumenteerde API's. Vergeet eerdere formats die zijn ontworpen zodat klanten het heel moeilijk vinden om te migreren. Voortaan zal een leverancier duidelijke, gestandaardiseerde en openbare interfaces moeten opzetten. Neem het voorbeeld van een SaaS-oplossing voor HR-beheer: werknemersgegevens moeten kunnen worden geëxtraheerd via API's die door derden kunnen worden gelezen, niet alleen door de oorspronkelijke uitgever. Dezelfde beperking geldt voor een fabrikant van industriële IoT-sensoren: telemetriegegevens moeten toegankelijk zijn via open standaarden. De impact is enorm: het gaat om het herzien van technische architectuur, het ontwikkelen van betrouwbare gateways en het investeren in interoperabiliteit. Een aanzienlijke hoeveelheid werk die, ook al wordt deze ondersteund door veel gestandaardiseerde talen (REST API, JSON), nog steeds grotendeels wordt onderschat.

Binnen een aanvaardbaar en gecontroleerd tijdsbestek

Tot slot nog een heikel punt: de Dataverordening omschrijft niet alleen principes, maar legt ook strikte implementatiedeadlines op. Een klant die van leverancier wil veranderen, kan niet voor onbepaalde tijd gevangen worden gehouden. De tekst stelt twee duidelijke beperkingen: een maximale opzegtermijn van twee maanden en een gegevensoverdracht die in minder dan dertig dagen moet worden voltooid. Als voorbeeld: een bedrijf dat wil migreren van cloudprovider A naar G, moet dat binnen dit tijdschema kunnen doen. Leverancier A heeft niet het recht om het proces vrijwillig te vertragen of buitensporige kosten in rekening te brengen. In absolute termen is dit goed nieuws voor klanten. Maar hoeveel cloudoperators zijn er in werkelijkheid in staat om een volledige, veilige en operationele overdracht binnen 30 dagen te garanderen? Zeer weinig. En nog minder klanten hebben op deze verplichtingen geanticipeerd door ze op te nemen in hun IT-governance.

Grote gevolgen voor het bedrijfsleven en de industrie

Zoals uit het bovenstaande blijkt, zijn de gevolgen voor bedrijven aanzienlijk, temeer omdat de Dataverordening niet alleen betrekking heeft op de cloudgiganten. Hij heeft ook gevolgen voor MKB-ers, start-ups en maakbedrijven. En dat geldt ongeacht het land van herkomst van het bedrijf, zolang het maar een product op de markt brengt binnen de Europese Unie. Een fabrikant van smart devices zal zijn datastrategie moeten herzien; een SaaS-uitgever zal zijn bedrijfsmodel moeten herzien; een SOC-dienstverlener zal moeten anticiperen op de traceerbaarheid van zijn gegevensuitwisselingen. Op korte termijn betekent dit aanzienlijke nalevingskosten: systemen aanpassen, contracten bijwerken, teams opleiden. Op lange termijn is het een complete paradigmaverschuiving: de data-economie zal niet langer gesloten zijn, maar open en transparant.

Conclusie

De Dataverordening is in theorie een belangrijke stap voorwaarts voor de Europese digitale economie. In de praktijk is deze echter onzichtbaar in het publieke debat, overschaduwd door NIS2 en de CRA. Tussen het openstellen van gegevens, het bijwerken van contracten, het adopteren van standaard API's en het halen van migratiedeadlines liggen echter enorme uitdagingen. En laten we eerlijk zijn: in dit tempo is het merendeel van de betrokken bedrijven nog lang niet klaar. De Dataverordening: we weten dat het er is, maar we zien hem eigenlijk niet. Net als die olifant.

Auteur kennisbijdrage: Sébastien Viou, Cybersecurity Strategist bij Fortinet.