'Kritiek op nieuwe cloudkoers overheid slaat de plank mis'

Hoogleraren Van Dijck en Jacobs trekken in Het Financieel Dagblad, de Volkskrant en AG Connect fel van leer tegen het in hun ogen onverantwoordelijke cloud beleid van staatssecretaris (Koninkrijksrelaties en Digitalisering) Van Huffelen. Zij noemen het beleid een tegenvaller, de staatssecretaris naïef, en stellen dat met het nieuwe beleid data van Nederlandse burgers uitgeleverd wordt aan Amerikaanse techreuzen en de Amerikaanse overheid. Hun zorgen zijn op het eerste gezicht begrijpelijk. Maar hun conclusies getuigen van weinig kennis over het onderwerp cloud en zijn gebaseerd op een bekende, onjuiste aanname: met IT in eigen beheer behoud je controle, met clouddiensten geef je de regie volledig uit handen. De realiteit is veel genuanceerder.

Ministersbrief uit 2011

IT, ook die van de overheid 'in eigen beheer', bestaat anno 2022 uit complexe ketens met hardware, software en diensten afkomstig van allerlei leveranciers. De tijden dat de overheid eigen datacenters bouwde, computers van Philips of Tulip kocht en zelf al haar software schreef liggen achter ons. In de afgelopen decennia zijn Amerikaanse partijen in de markt en dus ook binnen de overheid overal aanwezig.

Een handvol Amerikaanse techreuzen domineert met een aandeel van 80% de cloudmarkt. En daar heeft het oude beleid aan bijgedragen. Dat zit zo. Tot voor kort werd het cloudbeleid van onze overheid bepaald door de 'brief van Donner' uit 2011, die het gebruik van publieke cloud simpelweg verbiedt. Andere lidstaten van de Europese Unie hadden een vergelijkbaar beleid. De nieuwe Nederlandse en Europese cloudaanbieders kregen daardoor geen toegang tot de Europese markt van overheids-IT-infrastructuur.

Door dat beleid, versterkt door het aanbestedingsbeleid en de afkeer van open source, werd de praktijk het werken met technologie van Microsoft, Oracle en andere Amerikaanse aanbieders, in private clouds. Met de licentie-inkomsten daarvan konden die leveranciers hun publieke cloudaanbod ontwikkelen. De Amerikaanse overheid, die wél in een vroeg stadium de publieke cloud omarmde, gaf cloudaanbieders extra wind mee bij het vergroten van hun voorsprong in de mondiale cloudmarkt.

Het verbieden van publieke cloud heeft de Europese markt dus op achterstand gezet en heeft ons soevereiniteitsprobleem in de hand gewerkt.

Niet als social media

Ook klopt de bewering niet dat de overheid onze data weggeeft aan deze techreuzen. Want commerciële clouds zijn geen gratis diensten zoals social platforms die klantdata gebruiken als betaling. Het securitybeleid van cloudserviceproviders is onderworpen aan veel wet- en regelgeving zoals de NIS, in Nederland bekend als de WBNI (Wet Beveiliging Netwerk- en Informatiesystemen). Bedrijven die daaraan moeten voldoen, liggen onder de vergrootglazen van toezichthouders. En ze worden elk half jaar doorgelicht door onafhankelijke auditors, en ook door experts van de overheid zoals die van SLM Rijk. Na constatering van afwijkingen volgen altijd correcties. De bewering dat zulke bedrijven, die vaak ook al decennia actief zijn op de Nederlandse IT-markt zich structureel aan onze wetten en regels onttrekken valt dan ook moeilijk vol te houden

Dan is er de kwestie van de AVG en de CLOUD Act. De hoogleraren beweren dat door het gebruik van publieke clouds de Amerikaanse overheid gemakkelijk toegang krijgt tot onze data. Een recente analyse van ons eigen NCSC (Nationaal Cyber Security Centre), die door Van Dijck en Jacobs overigens selectief wordt geciteerd, laat zien hoe het wél zit. Net zoals onze eigen AVG extraterritoriale werking heeft, is iedereen die gebruikmaakt van hardware, software of services van bedrijven met een Amerikaanse vestiging, wereldwijd, onderworpen aan de CLOUD Act. Daarmee geeft de Amerikaanse overheid zichzelf ruime bevoegdheden om data op te kunnen vragen.

Maar anders dan vaak wordt gedacht zorgt opslag van data in eigen land of het verbieden van publieke clouds niet voor immuniteit. Het compleet uitsluiten van de extraterritoriale werking van de CLOUD Act, zegt het NCSC, is zelfs onmogelijk. Verder is het maar de vraag of de Nederlandse overheid een eventueel dataverzoek van de Amerikaanse overheid zal afwijzen. De praktijk laat zien dat juist de door de hoogleraren verfoeide cloudaanbieders zich met hand en tand tegen zulke opvragingen verzetten. Kort en goed, publieke cloud is niet de bepalende factor voor deze kwestie.

Vendor lock-in

Als laatste punt dragen Van Dijck en Jacobs vendor lock-in aan als anti-cloudargument. Maar ook dat fenomeen is niet uniek voor de cloud. Vrijwel alle digitale technologie is als de bekende tekst in de hit ‘Hotel California’ van de Eagles: je kunt gemakkelijk inchecken maar je kunt nooit meer weg. Investeringen in kennis, ervaring rond de technologie en interne afhankelijkheden wegen in de praktijk het zwaarst. Dat werd onlangs helder geïllustreerd met de casus rond medische software van nota bene een Nederlandse softwareleverancier, daar speelde de publieke cloud geen rol.

Sterker nog, de meeste inspanning voor verminderen van lock-in richt zich juist op de publieke cloud. De Europese Commissie zet met de nieuwe Data Act stevig en specifiek in op standaarden voor interoperabiliteit en bijbehorende verplichtingen voor cloudleveranciers. En met forse budgetten jaagt de Commissie het ontwikkelen van interoperabele services door Europese providers aan, zoals het project Gaia-X.

Werkt averechts

Maar ook hier werkt het verbieden van publieke clouds averechts. Want het is voor Europese leveranciers een stuk minder aantrekkelijk om te investeren in zo'n platform als een van de grootste potentiële afnemers, de overheid, hun aanbod sowieso niet mag gebruiken, maar wel de licentiekassa blijft spekken van de dominante Amerikaanse bedrijven waar Gaia-X de oplossing voor moet zijn. Dan wordt het opnieuw niets met de kansen voor Nederlandse en Europese cloudaanbieders.

Het nieuwe cloudbeleid van Van Huffelen is juist noodzakelijk om de zorgen van de beide hoogleraren te adresseren. Europese cloudaanbieders krijgen eindelijk toegang tot de overheidsmarkt en de overheid krijg toegang tot innovatieve, veilige diensten van Europese spelers. Voor de CLOUD Act maakt het allemaal weinig uit, en het risico van lock-in wordt door wetgeving verkleind. De risk-based aanpak die het nieuwe beleid karakteriseert, laat zien dat er realistisch - en niet dogmatisch, politiek, of activistisch - naar risico's wordt gekeken. Dat valt te prijzen. Zo kunnen de grote ambities voor een digitale overheid beter worden gerealiseerd en kan data effectief worden beschermd.

Klok niet 11 jaar terug zetten

Het zou de hoogleraren sieren zich beter te verdiepen in de complexe dynamiek van digitale markten en cloud, en de daadwerkelijke risico’s van de verschillende opties voor overheids-IT. Een activistisch advies om de klok 11 jaar terug te draaien, helpt daarbij niet echt. We hebben oplossingen nodig voor de root-causes van de onbalans in de markt, voor interoperabiliteit, de digitale overheid, en voor ingewikkelde juridische kwesties, De wetenschap gaat ons daarbij hopelijk helpen in plaats van tegenwerken.