Nieuwe golf van cloudprotectionisme ligt op de loer

CC BY-SA Sue Waters|Flickr.com

Een bijdrage van Tom Jozak, Mitopics.

Steeds vaker worden gegevens van Europese burgers en bedrijven verwerkt door Amerikaanse aanbieders van cloudcomputing-diensten. Aangezien de Amerikaanse Patriot Act van toepassing is op deze aanbieders, kan de Amerikaanse overheid al deze gegevens inzien. Dit is voor veel Europese landen een onaanvaardbare situatie. De laatste jaren promoten daarom steeds meer Europese landen de regionale cloudcomputing-agenda. Na Duitsland neemt nu ook Frankrijk dit standpunt in. Deze nieuwe ontwikkeling zou enorme gevolgen kunnen hebben voor de uitwisseling van data op het internationaal niveau en voor de huidige aard van cloudcomputing in het algemeen. Stand van zaken nu en een blik naar de toekomst.

France Telecom werkt samen met Thales SA, maker van lucht-, ruimtevaart en industriële elektronica, om een cloud-van-eigen-bodem te realiseren en de cloudsoftware binnen en buiten Frankrijk te kunnen aanbieden, bericht Bloomberg. "Het is het begin van een gevecht tussen twee reuzen [Frankrijk(Europa) en de Verenigde Staten, edit TJ]", zegt Jean-François Audenard, France Telecom Cloud security adviseur. Audenard vervolgt:

“It’s extremely important to have the governments of Europe take care of this issue because if all the data of enterprises were going to be under the control of the U.S., it’s not really good for the future of the European people.”

Deze ontwikkeling is op gang gekomen naar aanleiding van de Amerikaanse Patroit Act. Als gevolg van deze wetgeving zijn de Verenigde Staten (VS) namelijk bevoegd om de data die is opgeslagen in de cloud te raadplegen, indien deze data kan worden gebruikt om een bedreiging van de nationale veiligheid te signaleren en/of te weren. Het mag duidelijk zijn dat deze wetgeving de bevoegde Amerikaanse overheidsinstanties vrije handen geeft om bij een geringst vermoeden van bedreiging van de nationale veiligheid, bepaalde (persoons)gegevens door te lichten. Afgelopen voorjaar heeft ook Microsoft naar buiten gebracht dat zij de beschikbare cloudgegevens aan de Amerikaanse autoriteiten desgevraagd zou overdragen, zelfs als deze data zich in één van haar op het Europese grondgebied gevestigde datacentra zou bevinden.
Dergelijke verklaringen veroorzaken consternatie in landen van de Europese Unie, met name in Duitsland, waar veel strengere eisen gelden op het gebied van privacy dan in de meeste Europese landen.

Vorig jaar september verklaarde Reinhard Clemens, CEO van Deutsche Telekom's T-Systems Group, dat lokale wetgevers en toezichthouders de technische ontwikkelingen om een super beveiligde ‘cloud’ op het Europese grondgebied mogelijk te maken, niet in de weg mogen staan. Dit vraagt harmonisatie-inspanningen van de lidstaten op Europees niveau. Er is immers steeds meer vraag van klanten die niet willen dat hun informatie of informatie van hun klanten toegankelijk is voor derden zoals de Amerikaanse overheid. Ook grotere Europese bedrijven zijn zich hiervan bewust en zien kansen op dit gebied. Zij wachten niet af en zijn op steeds grotere schaal bezig met het (na)bouwen van de oplossingen die voorheen alleen vanuit Amerika afkomstig waren. Een ware concurrentieslag wordt nu uitgevochten als gevolg van de conflicterende Amerikaanse en Europese wetgeving. Het is echter slechts een kwestie van tijd voordat Europese bedrijven (‘de nieuwkomers’) hun diensten naar Amerika uitbreiden en aldaar aan de Amerikaanse wetgeving moeten voldoen. De Europese klant kan hier uiteindelijk de dupe van worden, tenzij de wetgever ingrijpt. Dat een oplossing hiervoor in de maak is, kan uit berichtgeving van Eurocommissaris Viviane Reding (en voorheen Neelie Kroes) worden afgeleid. De nieuwe General Data Protection Regulation (d.d. 29/11/2011), die nu als conceptvoorstel ter beoordeling ligt, geeft onafhankelijke Europese toezichthouders de middelen in handen om op te treden tegen eenzijdige beslissingen van Amerika bij het raadplegen van de uit Europa afkomstige persoonsgegevens (zie bijv. art. 79 lid 4 sub j van deze verordening, die een boete van 5% van de jaarlijkse wereldwijde omzet oplegt aan een bedrijf dat zonder toestemming uit Europa afkomstige data exporteert naar een land buiten Europa). Deze wetgeving gaat waarschijnlijk aanstaande woensdag in werking treden, bericht Tweakers.

De Amerikaanse cloudmarktleiders (Amazon, Facebook, Google, IBM en Microsoft) protesteren uiteraard tegen deze protectionistische benadering. Zij zijn namelijk bezig om een nieuw universeel clouddatanetwerk te creëren door middel van efficiënte, gedecentraliseerde datacenters om daarmee hun enorme cloudoperaties uit te voeren, en eigen (commerciële) belangen in Europa veilig te stellen. Als de Europese landen deze ontwikkelingen tegengaan, kan de waarde van cloudcomputing, niet alleen voor deze bedrijven, maar ook voor hun klanten aanzienlijk verminderen, zij het dat dit vooralsnog ‘slechts’ tussen de in de VS en de in EU gevestigde bedrijven parten zal spelen.

Deze Europese protectionistische benadering van cloudcomputing, initieel veroorzaakt door Amerikaanse wetgeving zal, als de patstelling langer voortduurt, ook nadelen brengen voor de Europese bedrijven, stelt Informa. Zij vervolgt:

“The European telecom operators who promote this strategy risk being sidelined in the global cloud computing market as aggressive North American and Asian operators spend billions to build international presence.”

The Informa Telecom Cloud Monitor (pdf) laat zien dat Europese operators slechts 7 procent uitmaken van de totale wereld cloudactiva, gemeten vanaf 2011, terwijl hun Noord-Amerikaanse en Aziatische collega's goed zijn voor 90 procent.

GigaOM meldde vorige maand nog, dat de Amerikaanse technologiegiganten deze bedreiging niet ongemoeid voorbij laten gaan. Google, IBM, Citi en een aantal andere grote Amerikaanse bedrijven en federale banken lobbyen bij hun regering voor verdragen die de vrije stroom van informatie over de grenzen waarborgen. De Patriot Act staat hun inspanningen echter in de weg en dat zal binnen afzienbare tijd ook niet veranderen, aangezien de nationale veiligheid vóór commerciële belangen gaat. De wil om een vrije stroom van informatie te waarborgen is er echter aan beide kanten van de Atlantische oceaan – als we een informeel commentaar op het nieuw voorstel voor General Data Protection Regulation mogen geloven en beide partijen lijken hetzelfde doel na te streven. Dit biedt hoop op een blijvende oplossing met betrekking tot vrije uitwisselbaarheid van gegevens tussen de twee nog steeds tegenstrijdige benaderingen. We zullen dus nog een tijdje geduld moeten hebben voordat bezorgdheden en openstaande punten worden weggewerkt en dat geeft op een korte termijn weinig troost.

Bron: Bloomberg, GigaOm)
Tags: General Data Protection Regulation, privacy, cloud computing