Björn Remmerswaal

"Sla gegevens niet zomaar op in de VS", zo waarschuwde demissionair staatssecretaris Alexandra van Huffelen (Digitalisering) eerder dit jaar. Haar uitspraak is een reactie op een rapport van het Instituut Clingendael, dat in opdracht van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) onderzoek deed naar de Europese afhankelijkheid van Amerikaanse 'Big Tech'.

"Cloudsoevereiniteit vereist hoogwaardige technologie, maar ook vertrouwen, veiligheid en diversificatie - drie elementen die niet noodzakelijkerwijs worden gegarandeerd door het huidige Amerikaanse aanbod", schrijven de onderzoekers.

In de EU werken bijna alle bedrijven met cloudsystemen van de big three: Google, Microsoft en Amazon. De onderzoekers raden Europese beleidsmakers aan om onder meer via Europese aanbestedingen de lokale markt te stimuleren, zodat er op termijn Europese cloudoplossingen komen.

Risicovol

Frank Groenewegen, partner Cyber Risk bij Deloitte, is het eens met de oproep van Van Huffelen en ziet een belangrijke rol voor de Europese Unie. "De huidige situatie is risicovol. We moeten als EU echt gas gaan geven op een EU-cloudstrategie en digitale soevereiniteit. Er zijn wel Europese datacentra, maar niet op de schaal van de drie grote spelers, daar zit echt nog heel veel ruimte tussen. Maar de EU is groot genoeg om met een goede strategie en de juiste subsidies het speelveld interessant te maken voor andere partijen."

'We moeten als EU echt gas gaan geven op een EU-cloudstrategie en digitale soevereiniteit.'

Groenewegen verwacht dat het ook met de juiste strategie nog zeker vijf jaar kan duren voordat er alternatieven zijn voor Europese bedrijven. Dat zou best sneller mogen: "Als je kijkt naar de afgelopen periode, dan zie je dat omstandigheden snel kunnen veranderen. Denk aan de oorlog in Oekraïne, of de politieke situatie in de VS. Dat soort ontwikkelingen veranderen de risico-inschatting. Je moet daardoor versneld kijken naar dit soort onderwerpen. We hebben te lang vanuit de tech-kant de Amerikaanse lijn gevolgd. Vanwege onder meer de Patriot Act kan de VS bijvoorbeeld medewerkers van techbedrijven verplichten om data te overhandigen; daar moet je als bedrijf bedacht op zijn."

Groenewegen legt uit dat de digitalisering zo hard gaat in de afgelopen twintig jaar, dat de meeste bedrijven continu achter de feiten aan lopen. De drang om de nieuwste tech in te zetten is daarbij niet altijd in balans met de beveiliging. "Incidenten laten zien dat het niet om theoretische risico's gaat en dat helpt bij de bewustwording. Daarnaast hebben toezichthouders meer oog voor beveiliging en privacy en snappen steeds meer bedrijven dat ze op dat vlak een zorgplicht hebben; dat het afvinken van checklistjes dus niet genoeg is."

Ironisch

Enigszins ironisch is dat veel bedrijven in de afgelopen jaren juist vanwege betere beveiliging de Amerikaanse cloud in zijn gegaan met hun data. De opmars van grootschalige ransomware-aanvallen deed veel bedrijven beseffen dat lokale opslag van data gevaren met zich meebrengt.

'Op zich is er nog geen nood aan de man, maar het is vooral belangrijk dat bedrijven weten wat ze moeten doen als er toch iets misgaat.'

"Data werd eerst lokaal opgeslagen, toen ging het met hybride modellen deels naar de cloud en nu is het bijna helemaal de cloud geworden”, aldus Groenewegen. "Op zich is er nog geen nood aan de man, maar het is vooral belangrijk dat bedrijven weten wat ze moeten doen als er toch iets misgaat: stel er gebeurt morgen iets, ligt er dan een plan? Hoe krijg je je data zo snel mogelijk uit de cloud? Heb je dat al eens getest? Het is een stuk veiliger als je de antwoorden op die vragen klaar hebt liggen."

Kiezen

Ron Hakvoort, partner Deloitte Risk Advisory en gespecialiseerd in het onderwerp IT-assurance, ziet het specifieke vraagstuk over cloudsoevereiniteit op bestuursniveau nog niet vaak op de agenda staan. "Cloudsoevereiniteit komt momenteel ook zelden omhoog als onderwerp bij de audit. Dit rapport is een mooie wakeup call en ik verwacht dat het onderwerp steeds hoger op de agenda komt, ook vanwege de toename in wetgeving over dit thema vanuit de EU."

'Het blijft altijd een afweging op basis van het specifieke speelveld van een organisatie.'

De beweging om alles in de cloud te zetten, is wel aan het veranderen; Hakvoort ziet een trend richting de hybride cloud. "De EU loopt wat achter bij het ontwikkelen van cloudoplossingen, dus in de tussentijd moet je als bedrijf bewust keuzes maken over wat je in de cloud zet en wat niet, evenals het hebben van een exit strategie. Toch ben ik ook nog van mening dat je op basis van bepaalde risico's juist weer moet kiezen voor de cloud. Het blijft dus altijd een afweging op basis van het specifieke speelveld van een organisatie."

Goed thema voor accountants

Hakvoort vindt het hoe dan ook een goed thema voor accountants om over te praten met klanten, omdat het gaat over afhankelijkheden in de hele keten. "Het is onderdeel van de business strategie en als je met klanten praat over risico's, dan hoort dit erbij. In het overheidsdomein speelt dit onderwerp steeds meer, omdat je te maken hebt met data over en van burgers, dat ligt gevoelig. De publieke sector benadert ons over dit soort vraagstukken en dat zal steeds meer komen. Het resultaat van de komende verkiezingen in de VS kan daar ook een slinger aan geven."

Tot nu toe heeft Deloitte op basis van het onderwerp cloudsoevereiniteit nog geen adviezen gegeven om data op grote schaal uit de Amerikaanse cloud te halen. Hakvoort: "Maar we blijven uiteraard goed kijken naar Europese cloud-alternatieven. Die kunnen in de toekomst zeker interessant worden bij het verminderen van risico's."

• Rapport Instituut Clingendael 'Too late to act? Europe's quest for cloud sovereignty'
• NOS: 'Europese alternatieven voor Amerikaanse internetdiensten hard nodig'
• NOS: 'Amerikaanse overheid kan bij e-mail van Nederlandse overheden en kritieke bedrijven'