Waarom Europese opslag bij Amerikaanse clouds geen oplossing is

De reden is simpel: Microsoft is een Amerikaans bedrijf. En de Amerikaanse Cloud Act geldt wereldwijd voor alle Amerikaanse bedrijven, ongeacht waar hun servers fysiek staan. Dat betekent dat als een Amerikaanse autoriteit toegang eist tot gegevens, ook die in een datacenter in Nederland of Frankrijk, Microsoft daaraan moet meewerken.

Dit creëert een fundamenteel probleem voor Europese bedrijven en overheden die persoonsgegevens opslaan bij Amerikaanse cloudproviders zoals Microsoft, Google of Amazon. Er is altijd een risico dat data buiten ons medeweten wordt gedeeld met een buitenlandse overheid.

Volgens de AVG mogen persoonsgegevens alleen buiten de EU worden verwerkt als er sprake is van een passend beschermingsniveau. Het Europese Hof van Justitie haalde in 2020 met het Schrems II arrest het Privacy Shield weg, juist omdat Amerikaanse wetgeving zoals de Cloud Act geen gelijkwaardig beschermingsniveau biedt. In de praktijk betekent dit dat veel huidige cloudoplossingen juridisch op drijfzand staan.

Het gaat niet alleen om individuele privacy. Er zijn ook aanwijzingen dat inlichtingendiensten informatie verzamelen met een economisch of geopolitiek doel. Met de huidige handelsrelaties en mondiale spanningen is het naïef te denken dat bedrijfsgevoelige data geen doelwit is.

Echte datasoevereiniteit vraagt om keuzes die verder gaan dan alleen opslag in de EU. Mogelijke strategieën:

• Kies voor Europese providers die volledig onder EU recht vallen, zonder Amerikaanse moedermaatschappij.
• Gebruik client side encryptie waarbij sleutels uitsluitend in eigen beheer blijven.
• Werk met sovereign cloud modellen waarbij contractueel en technisch is vastgelegd dat de provider geen toegang heeft.
• Splits gevoelige en minder gevoelige data en overweeg on premises of hybride oplossingen voor kritische informatie.

Om heel eerlijk te zijn: te weinig. Ook wij zitten voor ons gevoel ‘vast’ in de ecosystemen zoals die van Apple, Microsoft en Google. Waar wij jaren geleden nog onze eigen mailserver draaiden en volledig gebruik maakten van Open Office / LibreOffice, zijn wij een aantal jaar geleden overgestapt naar Google Workspaces vanwege betere gebruiksvriendelijkheid. Daarmee hebben wij onszelf ook vatbaar gemaakt voor dezelfde problemen die we in dit artikel beschrijven. Terug naar de oude situatie is met onze huidige omvang en type klanten lastig.

Er is op dit moment geen volwaardig alternatief voor suites als Google Workspace of Office 365 dat volledig soeverein én even gebruiksvriendelijk is. Wat we wél doen, is kritisch kijken naar onze afhankelijkheden en onderzoeken welke onderdelen van onze infrastructuur wél soeverein kunnen worden ingericht. Daarbij kijken we ook hoe we klanten kunnen helpen om hun risico’s in kaart te brengen en gefundeerde keuzes te maken.

SURF heeft een interessant artikel geschreven over een experiment waarbij in één uur een volledig soevereine werkplek werd opgezet. Maar heel eerlijk: veel verder dan een experiment ging het niet, want probeer met een dergelijke omgeving maar eens effectief samen te werken met je huidige klanten. Lees het artikel van SURF

We hebben nog niet alle antwoorden, maar we weten wél dat dit vraagstuk aandacht verdient. Daarom willen we de komende tijd samen met ons netwerk onderzoeken welke stappen mogelijk zijn. Denk je mee?