Op naar een Europese cloud!

Onze afhankelijkheid van clouddiensten wordt steeds groter. Als we bijvoorbeeld gebruikmaken van videobeldiensten zoals Teams of Zoom, dan versturen we die gesprekken en beelden naar externe servers elders in de wereld. Gebruik je een Chromebook-laptop, dan 'draaien' alle applicaties in de cloud van Google. Alle mailtjes die je typt of tekstdocumenten die je maakt, stuurt de laptop naar een van Googles datacenters. Daardoor zijn je apps altijd up-to-date en raak je je documenten niet kwijt.

Afhankelijkheid

'Cloudinfrastructuur is diep in ons leven geschoven', zegt Jesse Robbers, de Nederlandse GAIA-X-coördi­nator. Hij ondervond dat laatst aan den lijve toen hij niet meer kon stofzuigen. 'Ik heb een robotstofzui­ger die wordt aangestuurd door een app die in de cloud van Amazon draait, en daar was toevallig een storing.' Ook fysieke apparaten worden dus steeds meer afhankelijk van de cloud, en als daar dan een storing is, valt alles letterlijk stil. Met een uptime (de tijd dat een machine in bedrijf is) van doorgaans meer dan 99,9 procent is het over het algemeen goed gesteld met de betrouwbaarheid van clouddiensten. De kans op storingen is dus klein, en een haperende robotstofzuiger is dan misschien nog geen levensbe­dreigende zaak, maar als bijvoorbeeld ook autonoom rijdende auto's of medische apparatuur steeds meer van clouddiensten afhankelijk worden, dan staan er wel levens op het spel.

'Het is onduidelijk waar jouw data zich bevinden en wat ermee wordt gedaan. Dat zijn grote zorgpunten.'

Privacy

Een misschien veel groter probleem is dat zo'n 75-85 procent van de cloud-aanbieders, zoals Amazon Web Services, Google, Microsoft en Alibaba zich buiten Europa bevindt. Jouw data worden dus ook buiten Europa opgeslagen, volgens de in dat land gelden­de regels. De Europese privacywet GDPR, die ook data van Europese burgers buiten de EU probeert te beschermen, biedt helaas geen volledige garantie. De Amerikaanse overheid kan bijvoorbeeld een beroep doen op de Cloud Act en alsnog toegang krijgen tot clouddata van Europese gebruikers. Robbers: 'Je bent overgeleverd aan de onoverzichtelijke voorwaarden van een clouddienst en het is niet duidelijk waar jouw data zich bevinden en wat ermee wordt gedaan. Dat zijn grote zorgpunten. Die partijen hebben in­middels een zodanige marktmacht en het is lastig om daar tegenwicht aan te bieden.'

Met het in 2019 gestarte initiatief GAIA-X probeert Europa nu om de spelregels te beïnvloeden. Niet zozeer door de overzeese cloudreuzen de pas af te snijden, maar door een gezamenlijke set van regels en afspraken op te stellen en door software te ont­wikkelen waarmee je aan die regels kunt voldoen. Ook wordt er gewerkt aan interoperabiliteit, oftewel de mogelijkheid om eenvoudig jouw eigen data en zelf ontwikkelde applicaties mee te kunnen nemen naar een andere clouddienst. Dit alles lijkt grote cloudaanbieders niet af te schrikken. Integendeel, veel van hen participeren zelfs in GAIA-X, zoals Ama­zon, Google, IBM en Microsoft. Robbers: 'We willen allemaal graag Office 365 en Microsoft Teams blijven gebruiken. En andersom is Europa voor cloudaanbie­ders een belangrijke markt die ze niet willen  missen. Microsoft en Google bouwen dan ook datacenters in Nederland en daarbuiten om in te spelen op de Europese behoeften.'

Gevaar

Het Europese cloudproject GAIA-X werd officieel gelanceerd in 2019 door Duitse industriële partijen die zich bezighouden met automatisering. Ook bedrijven in de auto-industrie, die bijvoorbeeld zelfrijdende auto's vol software ontwikkelen, sloten zich aan omdat ze een gevaar in de cloud-afhankelijkheid zien. 'Men vroeg zich af of het niet gevaarlijk is om volledig afhankelijk te zijn van niet-Europese aanbie­ders', aldus Thomas Niessen, programmamanager van GAIA-X in Duitsland. 'Naast veiligheid speelt ook intellectueel eigendom een rol. Je weet nooit wie er stiekem een blik op jouw data werpt om daar zijn of haar voordeel mee te doen. En stel je voor dat de relatie met een land zodanig bekoelt dat het besluit de cloudtoegang te blokkeren. Dan loopt je produc­tie gevaar.'

'Door gebrek aan IT-personeel, wordt veel oude overheidssoftware niet gemoderniseerd.'

Franse industriële partijen sloten zich al snel bij het initiatief aan. En inmiddels zijn ruim tweehonderd partijen uit heel Europa en daarbuiten aangeslo­ten. Uit Nederland zijn dat onder andere Philips, TNO, Brainport Industries en de Universiteit van Amsterdam. Nederlandse bedrijven in de cloud, hosting en digitale infrastructuur, die samen de Nederlandse Cloud Infrastructuur Coalitie (CiC) vormen, hebben ook aansluiting gezocht. De GAIA-X ontwikkelingen in Europa worden door het CiC in nauwe samenwerking met het ministe­rie van Economische Zaken vertaald naar Ne­derland en er wordt gewerkt aan het vormgeven van een Nederlandse GAIA-X Hub. Ook in andere domeinen wordt het initiatief nu omarmd, zoals in de gezondheidszorg, de financiële sector en bij overheden. Niessen: 'Veel overheidssoftware is ontwikkeld in de jaren negentig en zou hoog­nodig gemoderniseerd moeten worden, maar door gebrek aan IT-personeel gebeurt dat niet. Door gezamenlijk in Europees verband bijvoor­beeld software voor identiteitsmanagement te bouwen, hoeft niet elke overheid zelf het wiel uit te vinden. En zo voorkomen we ook dat data van onze burgers op servers in de VS of China belan­den.' Dit najaar zou de eerste aanbesteding voor Europese cloudsoftware van start moeten gaan. De regels en afspraken zijn voorlopig nog vrijwil­lig. 'Maar ik denk dat het onderliggende concept van data-soevereiniteit ook in de toekomstige Europese wetgeving zijn weerspiegeling gaat vinden,' aldus Niessen.

Door Amanda Verdonk