Experts kraken cloudkoers kabinet af

Experts maken gehakt van het recente besluit van de regering om overheidsgebruik van commerciële clouds, onder strikte voorwaarden, toe te staan. Naast een door AG Connect gesproken hoogleraar en de Nederlandse grondlegger van de Apache-opensourcestichting uiten nu ook twee andere deskundigen forse kritiek op deze wijziging in het cloudbeleid van en voor de rijksoverheid.

Tegenvaller

Zij spreken in de Volkskrant van naïviteit. 'Onze overheid moet haar kostbare data niet klakkeloos uitleveren aan Google en Amazon.' Staatssecretaris Van Huffelen stelde deze zomer voor alle overheidsdata op Amerikaanse servers op te slaan. 'Ze meent met techreuzen afspraken te kunnen maken over privacy, veiligheid en toegankelijkheid. Dat is naïef', stellen hoogleraren Bart Jacobs en José van Dijck. In hun opinie-artikel in de Volkskrant vandaag uiten ze ook teleurstelling. 'Net toen we dachten dat we met een staatssecretaris voor Digitalisering écht meters gingen maken met het inrichten van een verantwoorde digitale samenleving op basis van publieke waarden, kwam de eerste tegenvaller.'

Data vorderen

En die tegenvaller is dus de permissie van de overheid voor zichzelf om clouddiensten van commerciële bedrijven te gebruiken. Wat in de praktijk nogal neerkomt op clouds van bedrijven uit de Verenigde Staten, waarbij meespeelt dat de Amerikaanse regering zichzelf heeft gemachtigd om data te kunnen vorderen ongeacht waar die is opgeslagen. 'Overheidsinstanties, met uitzondering van Defensie, mogen voortaan hun data in de commerciële cloud van Amerikaanse bedrijven zetten. Tot nu toe mochten zij alleen eigen clouddiensten gebruiken', schrijven Jacobs en Van Dijck.

Nóg afhankelijker

Zij zijn respectievelijk hoogleraar cybersecurity aan de Radboud Universiteit Nijmegen en universiteitshoogleraar media en digitale samenleving aan de Universiteit Utrecht. Beiden zijn al jaren bezig en begaan met verstrekkende, fundamentele thema's als cybersecurity en privacy, ict-afhankelijkheid en soevereiniteit. Zo heeft Van Dijck begin 2020 al aan AG Connect haar zorgen geuit over de door corona florerende techreuzen en onze afhankelijkheid daarvan. 'We zijn nóg afhankelijker geworden.'

Onze overheid moet haar kostbare data niet klakkeloos uitleveren aan Google en Amazon

Hoogleraren Bart Jacobs en José van Dijck

Beren op de weg

Naast software, ict-dienstverlening en telecommunicatie spelen cloud en internetinfrastructuur daarbij ook een bepalende rol. Eerder deze maand al heeft AG Connect tech-expert en Apache-grondlegger Dirk-Willem Van Gulik gesproken over de nieuwe cloudkoers van het kabinet. Hij vindt het toestaan van commerciële clouds voor overheidsgebruik géén goed idee, net zoals hoogleraar ict & recht Frederik Zuiderveen Borgesius van de Radboud Universiteit. Zowel juridisch en technisch als ook politiek-bestuurlijk en qua digitale soevereiniteit zijn er beren op de weg, gaven deze twee deskundigen al aan.

Gebrek aan visie

Van Gulik laakt het gebrek aan visie van de Nederlandse overheid. 'Er zijn in Nederland en in Europa bedrijven die een cloud kunnen ontwikkelen van hoog niveau. De vraag is of er in Nederland voldoende visie en beleid is om diensten te ontwikkelen die op het niveau van Nederlandse infrastructuur kunnen leveren, zoals de Deltawerken en de wegenbouw.' Jacobs en Van Dijck hekelen de koers die is uitgezet in de Kamerbrief van staatssecretaris Alexandra van Huffelen. Die bewindsvrouw voor digitalisering schreef daarin eind augustus dat werken in de cloud inmiddels veilig is en vooral ook efficiënt en goedkoop. 'De gedachte is dat zolang we goede afspraken met ze maken over privacy, we met onze overheidsdata goed zitten bij Microsoft, Google en Amazon', duiden de twee hoogleraren.

Geen garanties

Zij pareren echter dat dit beleid onvoorzichtig is qua timing en wijzen daarbij op twee relevante rapporten die zeer recent zijn verschenen. Ten eerste de memo van advocatenkantoor Greenberg Traurig over de Amerikaanse Cloud Act. Die memo is opgesteld voor het Nationaal Cyber Security Centrum (NCSC) van het Nederlandse ministerie van Justitie en Veiligheid en daar sinds mid augustus openlijk te lezen. Dit document geeft aan dat er geen enkele ruimte voor twijfel is wat betreft de veiligheid van Nederlandse overheidsdiensten in clouds van Amerikaanse aanbieders. Er zijn praktisch gezien geen garanties te geven, schrijft ook het NCSC naar aanleiding hiervan.

AVG

'Onder de Cloud-Act (de Clarifying Lawful Overseas Use of Data Act uit 2018 die ook op Nederland van toepassing is) mogen je gegevens door de Amerikaanse overheid worden opgevraagd zonder dat jij of bijvoorbeeld je werkgever daarvan op de hoogte zijn.' Daaruit volgt dan dat Nederlandse overheden dus nooit kunnen voldoen aan de Algemene verordening gegevensbescherming (AVG) als ze privacygevoelige data opslaan in of verwerken via clouds van Amerikaanse herkomst.

Amazon, Google en Microsoft hebben de cloudmarkt nagenoeg volledig in handen

Autoriteit Consument en Markt (ACM)

Nog zorgwekkender

Mogelijk nog zorgwekkender is het tweede rapport waar staatssecretaris Van Huffelen volgens de kritische hoogleraren aan voorbij gaat. Dat is de Marktstudie Clouddiensten die is uitgevoerd door de Autoriteit Consument en Markt (ACM). Dit rapport is begin september uitgekomen en toont aan dat de Amerikaanse techreuzen Amazon, Google en Microsoft de cloudmarkt nagenoeg volledig in handen hebben.

Flink betalen

'En hoewel hun clouddiensten op het eerste gezicht competitief en goedkoop lijken, waarschuwt de ACM dat overstappen van de ene naar de andere dienst moeilijk, zo niet onmogelijk is, tenzij de gebruiker bereid is daar flink voor te betalen. Betalen doe je namelijk vooral om je data er weer uit te halen, en dat zijn kosten die Nederlandse instellingen en overheden meestal niet incalculeren', waarschuwen hoogleraren Jacobs en Van Dijck. Hetzelfde valt te zeggen voor het combineren van meerdere clouds van verschillende leveranciers. En ook dan is vastzitten nog mogelijk. De kosten van een cloud-exit zijn al jaren wel bekend in de it-wereld, waar AG Connect begin 2016 al tips voor gaf.

Zuigwerking

In het recente ACM-rapport wordt nog een bijkomende complicatie aangestipt. Namelijk de 'zuigwerking' van clouddiensten. Wanneer een organisatie (bedrijf of overheidsinstantie) eenmaal effectief gevangen zit in de cloudomgeving van één Amerikaanse aanbieder raakt die klant 'steeds verder ingesponnen in dat dienstenweb'. Jacobs en Van Dijck wijzen op gebrekkige interoperabiliteit en dataportabiliteit als 'de belangrijkste redenen waarom gebruikers van Big Tech-clouddiensten grote kans lopen op volledige afhankelijkheid, een zogenoemde vendor lock-in'. In de zomer van 2017 is dit al eens aangekaart door AG Connect, bij monde van onderzoeksbureau Forrester.

Van Huffelens optimisme getuigt van een merkwaardige naïviteit

Hoogleraren Bart Jacobs en José van Dijck

Europese wet schiet tekort

De Nederlandse overheid lijkt hier niet goed oog voor te hebben en vanuit de Europese overheid valt voorlopig ook geen soelaas te verwachten, menen de twee criticasters. 'De EU Data Act, die op dit moment in de maak is in Brussel, schiet vooralsnog tekort om technische en financiële overstapdrempels tussen clouddiensten te slechten, laat staan om open standaarden af te dwingen.'

Onbegrijpelijk

'Alleen al deze twee rapporten maken van Van Huffelens aanmoediging van Nederlandse overheden om eigen servers in te ruilen voor Amerikaanse publieke clouddiensten, onbegrijpelijk. Haar optimisme dat je door stevig onderhandelen met Google, Microsoft en Amazon wel degelijk afspraken kunt maken over privacy, veiligheid en toegankelijkheid, getuigt van een merkwaardige naïviteit.'

Afspraken onvoldoende

Het hebben van alleen afspraken over de waarborging van privacy zijn onvoldoende, betogen Jacobs en Van Dijck. Dat stellen zij niet alleen, maar is de afgelopen jaren al meermaals gebleken. Onder meer met trans-Atlantische afspraken zoals de Safe Harbor Agreement tussen de EU en de VS, plus het daarna gauw opgetuigde Privacy Shield. Beide zijn ongeldig verklaard op juridische gronden en uiteengespat.

Dit artikel verscheen eerder op AG Connect.