Achter de donkere wolken schijnt de zon?
mr. H.A.J. de Jong1 Het artikel is in de opmaak van het tijdschrift rechts als pdf beschikbaar.We doen maar wat, althans de overheid doet te vaak maar wat. De Algemene Rekenkamer heeft forse kritiek op de wijze waarop de Nederlandse overheid gebruik maakt van de cloud.2 Deze kritiek komt er feitelijk op neer dat de ministeries onvoldoende zicht hebben op het type clouddienst dat wordt afgenomen, en zelfs bij clouddiensten die als materieel zijn bestempeld is veelal onvoldoende zicht op de risico's, doordat geen risicoafweging is gemaakt.3 De rijksoverheid koopt meer dan de helft van haar clouddiensten in bij de Amerikaanse tech-reuzen en één van de gesignaleerde risico's is dan ook dat de Amerikaanse cloudaanbieders verplicht zijn data te verstrekken aan de Amerikaanse overheid. De discussie is weer terug van nooit echt weggeweest.
De Algemene Rekenkamer roept de overheid ook op nadrukkelijker te kijken naar alternatieve Europese cloudaanbieders. 4 Het rapport brengt daarmee een ander rapport in herinnering uit 2024; Mario Draghi zijn veelbesproken rapport over de toekomstige concurrentiekracht van de Europese Unie.5 Volgens Draghi zijn de drie Amerikaanse tech-reuzen samen goed voor 65 procent van de Europese cloudmarkt, terwijl de grootste Europese cloudaanbieders samen slechts 2 procent van diezelfde Europese markt bestrijken. Draghi benadrukt op zijn beurt dat het onverstandig zou zijn om te proberen de kloof met de (Amerikaanse) tech-reuzen te dichten, omdat de daarvoor benodigde investeringen en middelen schaars zijn en beter ingezet kunnen worden in sectoren waar de innovatieve vooruitzichten van de Europese Unie beter zijn.6
Zowel de Algemene Rekenkamer als Draghi benadrukken ieder op hun eigen wijze het belang van "soevereine cloud"-oplossingen.7 Draghi pleit ervoor een EU-breed gegevensbeveiligingsbeleid vast te stellen voor samenwerking tussen EU- en niet-EU-cloudaanbieders, waarbij toegang wordt verleend tot de nieuwste cloud-technologieën van Amerikaanse hyperscalers, terwijl encryptie, beveiliging en afgeschermde diensten voor vertrouwde EU-providers behouden blijven. De Algemene rekenkamer rekent op de Cybersecurity Act8 en de alom bekende Algemene verordening gegevensbescherming als relevante EU-ontwikkelingen die lidstaten meer controle zouden moeten geven over het veilig gebruik van de cloud.
Dit roept bij mij de vraag op hoe dit alles zich verhoudt tot de ambities van de Europese Unie uit de Dataverordening ("EU Data Act") van 13 september 2023 die op 12 september van dit jaar van toepassing wordt.9 Meer specifiek de daarin opgenomen uitgebreide en gedetailleerde regeling om pre-commerciële, commerciële, technische, contractuele en organisatorische belemmeringen uit te bannen die het (ook gedeeltelijk!) overstappen van de ene cloudaanbieder naar de andere cloudaanbieder zouden kunnen verhinderen en die het gelijktijdig werken met meerdere cloudaanbieders zouden moeten stimuleren.
Enkele artikelen uit de Dataverordening vind ik in dat kader in het bijzonder noemenswaardig. Artikel 34 verbiedt om bij parallel gebruik van cloudaanbieders een gegevensextractievergoeding op te leggen die de gegevensextractiekosten overschrijdt. Anders dan in het kader van een overstap naar een andere aanbieder worden deze kosten daarmee niet stapsgewijs opgeheven, maar wel gelimiteerd.10 Eveneens noemenswaardig is de nieuwe poging van de Europese Commissie om via artikel 30 lid 2 van de Dataverordening, open interoperabiliteitsspecificaties en -normen te (laten) ontwikkelen.11 Om een andere reden is ook artikel 32 van de Dataverordening hier relevant, dat aanbieders van clouddiensten verplicht om alle adequate technische, organisatorische en juridische maatregelen te treffen om onrechtmatige doorgifte van niet-persoonsgegevens naar de Verenigde Staten en andere derde landen te voorkomen.12
Gaat de Dataverordening daarmee de zon alsnog laten schijnen in de Europese Unie? Voor zowel de zorgen van de Algemene Rekenkamer als de aanbevelingen van Draghi biedt de Dataverordening daarvoor in ieder geval een nieuwe stimulans.13 Zijn daarmee alle donkere wolken verdwenen? Ik vrees evenals Draghi dat regelgeving zoals de Dataverordening alleen, niet alle uitdagingen van de Europese cloudmarkt kan keren. Zolang de bekende tech-reuzen kwaliteit blijven leveren tegen zeer concurrerende tarieven zal er waarschijnlijk weinig veranderen. Indien Donald Trump en de tech-miljardairs aan zijn zijde echter (onbedoeld) in staat blijken de Europese Unie te verenigen kan de wind opeens gaan draaien. Zeker indien dat betekent dat Amerikaanse leveranciers de Europese Unie gaan vermijden vanwege dreigende sancties. Mocht dat overigens betekenen dat we Facebook, Instagram en X moeten gaan missen dan komen we daar uiteindelijk ook wel weer overheen. Zelfs indien hier geen (Europees) alternatief voor in de plaats zou komen.
