Innovatie & Strategie

'Kritiek op nieuwe cloudkoers overheid slaat de plank mis'
Cloudbeleid Van Huffelen is noodzakelijk voor verbeteren soevereiniteit en beschermen van data, reageert de branche.
Cloudbeleid Van Huffelen is noodzakelijk voor verbeteren soevereiniteit en beschermen van data, reageert de branche.
De fel verwoorde kritiek van hoogleraren op de nieuwe cloudkoers voor de Nederlandse overheid doet nogal stof opwaaien. Naast bijval en nuancering ook een onderbouwd tegengeluid, vanuit branche-organisatie DINL (Stichting Digitale Infrastructuur Nederland). Directeur en spreekbuis Michiel Steltman geeft een repliek op de kritiek:
Hoogleraren Van Dijck en Jacobs trekken in Het Financieel Dagblad, de Volkskrant en AG Connect fel van leer tegen het in hun ogen onverantwoordelijke cloud beleid van staatssecretaris (Koninkrijksrelaties en Digitalisering) Van Huffelen. Zij noemen het beleid een tegenvaller, de staatssecretaris naïef, en stellen dat met het nieuwe beleid data van Nederlandse burgers uitgeleverd wordt aan Amerikaanse techreuzen en de Amerikaanse overheid. Hun zorgen zijn op het eerste gezicht begrijpelijk. Maar hun conclusies getuigen van weinig kennis over het onderwerp cloud en zijn gebaseerd op een bekende, onjuiste aanname: met IT in eigen beheer behoud je controle, met clouddiensten geef je de regie volledig uit handen. De realiteit is veel genuanceerder.
Ministersbrief uit 2011
IT, ook die van de overheid 'in eigen beheer', bestaat anno 2022 uit complexe ketens met hardware, software en diensten afkomstig van allerlei leveranciers. De tijden dat de overheid eigen datacenters bouwde, computers van Philips of Tulip kocht en zelf al haar software schreef liggen achter ons. In de afgelopen decennia zijn Amerikaanse partijen in de markt en dus ook binnen de overheid overal aanwezig.
Een handvol Amerikaanse techreuzen domineert met een aandeel van 80% de cloudmarkt. En daar heeft het oude beleid aan bijgedragen. Dat zit zo. Tot voor kort werd het cloudbeleid van onze overheid bepaald door de 'brief van Donner' uit 2011, die het gebruik van publieke cloud simpelweg verbiedt. Andere lidstaten van de Europese Unie hadden een vergelijkbaar beleid. De nieuwe Nederlandse en Europese cloudaanbieders kregen daardoor geen toegang tot de Europese markt van overheids-IT-infrastructuur.
Door dat beleid, versterkt door het aanbestedingsbeleid en de afkeer van open source, werd de praktijk het werken met technologie van Microsoft, Oracle en andere Amerikaanse aanbieders, in private clouds. Met de licentie-inkomsten daarvan konden die leveranciers hun publieke cloudaanbod ontwikkelen. De Amerikaanse overheid, die wél in een vroeg stadium de publieke cloud omarmde, gaf cloudaanbieders extra wind mee bij het vergroten van hun voorsprong in de mondiale cloudmarkt.
Het verbieden van publieke cloud heeft de Europese markt dus op achterstand gezet en heeft ons soevereiniteitsprobleem in de hand gewerkt.
Niet als social media
Ook klopt de bewering niet dat de overheid onze data weggeeft aan deze techreuzen. Want commerciële clouds zijn geen gratis diensten zoals social platforms die klantdata gebruiken als betaling. Het securitybeleid van cloudserviceproviders is onderworpen aan veel wet- en regelgeving zoals de NIS, in Nederland bekend als de WBNI (Wet Beveiliging Netwerk- en Informatiesystemen). Bedrijven die daaraan moeten voldoen, liggen onder de vergrootglazen van toezichthouders. En ze worden elk half jaar doorgelicht door onafhankelijke auditors, en ook door experts van de overheid zoals die van SLM Rijk. Na constatering van afwijkingen volgen altijd correcties. De bewering dat zulke bedrijven, die vaak ook al decennia actief zijn op de Nederlandse IT-markt zich structureel aan onze wetten en regels onttrekken valt dan ook moeilijk vol te houden
Dan is er de kwestie van de AVG en de CLOUD Act. De hoogleraren beweren dat door het gebruik van publieke clouds de Amerikaanse overheid gemakkelijk toegang krijgt tot onze data. Een recente analyse van ons eigen NCSC (Nationaal Cyber Security Centre), die door Van Dijck en Jacobs overigens selectief wordt geciteerd, laat zien hoe het wél zit. Net zoals onze eigen AVG extraterritoriale werking heeft, is iedereen die gebruikmaakt van hardware, software of services van bedrijven met een Amerikaanse vestiging, wereldwijd, onderworpen aan de CLOUD Act. Daarmee geeft de Amerikaanse overheid zichzelf ruime bevoegdheden om data op te kunnen vragen.
Maar anders dan vaak wordt gedacht zorgt opslag van data in eigen land of het verbieden van publieke clouds niet voor immuniteit. Het compleet uitsluiten van de extraterritoriale werking van de CLOUD Act, zegt het NCSC, is zelfs onmogelijk. Verder is het maar de vraag of de Nederlandse overheid een eventueel dataverzoek van de Amerikaanse overheid zal afwijzen. De praktijk laat zien dat juist de door de hoogleraren verfoeide cloudaanbieders zich met hand en tand tegen zulke opvragingen verzetten. Kort en goed, publieke cloud is niet de bepalende factor voor deze kwestie.
Vendor lock-in
Als laatste punt dragen Van Dijck en Jacobs vendor lock-in aan als anti-cloudargument. Maar ook dat fenomeen is niet uniek voor de cloud. Vrijwel alle digitale technologie is als de bekende tekst in de hit ‘Hotel California’ van de Eagles: je kunt gemakkelijk inchecken maar je kunt nooit meer weg. Investeringen in kennis, ervaring rond de technologie en interne afhankelijkheden wegen in de praktijk het zwaarst. Dat werd onlangs helder geïllustreerd met de casus rond medische software van nota bene een Nederlandse softwareleverancier, daar speelde de publieke cloud geen rol.
Sterker nog, de meeste inspanning voor verminderen van lock-in richt zich juist op de publieke cloud. De Europese Commissie zet met de nieuwe Data Act stevig en specifiek in op standaarden voor interoperabiliteit en bijbehorende verplichtingen voor cloudleveranciers. En met forse budgetten jaagt de Commissie het ontwikkelen van interoperabele services door Europese providers aan, zoals het project Gaia-X.
Werkt averechts
Maar ook hier werkt het verbieden van publieke clouds averechts. Want het is voor Europese leveranciers een stuk minder aantrekkelijk om te investeren in zo'n platform als een van de grootste potentiële afnemers, de overheid, hun aanbod sowieso niet mag gebruiken, maar wel de licentiekassa blijft spekken van de dominante Amerikaanse bedrijven waar Gaia-X de oplossing voor moet zijn. Dan wordt het opnieuw niets met de kansen voor Nederlandse en Europese cloudaanbieders.
Het nieuwe cloudbeleid van Van Huffelen is juist noodzakelijk om de zorgen van de beide hoogleraren te adresseren. Europese cloudaanbieders krijgen eindelijk toegang tot de overheidsmarkt en de overheid krijg toegang tot innovatieve, veilige diensten van Europese spelers. Voor de CLOUD Act maakt het allemaal weinig uit, en het risico van lock-in wordt door wetgeving verkleind. De risk-based aanpak die het nieuwe beleid karakteriseert, laat zien dat er realistisch - en niet dogmatisch, politiek, of activistisch - naar risico's wordt gekeken. Dat valt te prijzen. Zo kunnen de grote ambities voor een digitale overheid beter worden gerealiseerd en kan data effectief worden beschermd.
Klok niet 11 jaar terug zetten
Het zou de hoogleraren sieren zich beter te verdiepen in de complexe dynamiek van digitale markten en cloud, en de daadwerkelijke risico’s van de verschillende opties voor overheids-IT. Een activistisch advies om de klok 11 jaar terug te draaien, helpt daarbij niet echt. We hebben oplossingen nodig voor de root-causes van de onbalans in de markt, voor interoperabiliteit, de digitale overheid, en voor ingewikkelde juridische kwesties, De wetenschap gaat ons daarbij hopelijk helpen in plaats van tegenwerken.
Alleen het feit dat Defensie zijn data niet in de publieke cloud mag opslaan, zegt al genoeg. Voor een bedrijf zijn de gegevens en de metadata die transacties veroorzaken welke de overheid met de wet als stok achter de deur verplicht om te geven, net zo belangrijk en vertrouwelijk als de militaire geheimen voor de generaals. Hoe klein de kans is dat de Amerikaanse overheid ze daadwerkelijk opvraagt is niet van belang, de GDPR/AVG is geen staatsloterij of casino waar je bepaalde kans loopt, maar biedt zekerheden over de rechten die zijn toegekend, als het goed is.
Of de Amerikaanse cloud providers zich nog wel verzetten tegen dataverzoeken, of dat dat enkel marketing is, we zullen het nog weten. Moeten we heilig geloven in een papieren firewall?
Laten we het elementair houden, op dit moment doet iedereen zijn uiterste best om iedereen buiten het datacenter te houden met allerlij peperdure technologie, door naar een publieke cloud te gaan vervallen alle eigen mogelijkheden voor bescherming, waarom zou je dit ooit aan gaan?
Dit hele verhaal gaat voorbij aan maar een begrip en dat is vertrouwen. Vertrouwen we big tech, overheden, maar ook ons zelf (individuen). We leven nu eenmaal samen in deze wereld, hoewel ik soms wel eens twijfel of we wel willen samenleven. Samenleven betekent ook samenwerking en samenwerking betekent ook het vastleggen van feiten en het vastleggen van procesinformatie. Het is erg prettig om te weten met wie ik aan de andere kant van de tafel van doen heb, en dat onroerend goed in iemands bezit is. Het is ook prettig dat om te weten voor een koekjesfabriek hoeveel koekjes langs controlepunt B kwamen, zodat bijgestuurd kan worden. We leggen dus gegevens vast in databronnen. Databronnen resideren ergens: dat kan lokaal op een USB-stick (in je "privé datacenter) zijn, in een organisatie (in een datacenter van je werkgever) op een eigen systeem of in de cloud (dus inherent in een datacenter van een ander). Databronnen bestaan fysiek uit hard- en software en die zijn bijna in veel gevallen van commerciële (vaak Amerikaanse) partijen. De gegevens op die databronnen zijn of van individuen of van organisaties (zowel commerciële als overheid).
De vraag rijst nu of hoeveel vertrouwen je hebt andere of je eigen overheid, commerciële partijen en individuen. Ik hoef maar alle nieuwsberichten te lezen van de afgelopen tijd en kom zelf tot de conclusie dat geen van de drie partijen in essentie absoluut te vertrouwen is. Bestaat er een manier waarop de samenleving kan blijven draaien en dit fundamentele punt van vertrouwen weggenomen kan worden. Ik zie dan dat mensen compleet naar technologische oplossingen schieten (blockchain, etc....) of alles willen juridificeren. Ik heb niet "zo maar even" een antwoord op deze vraag.
Het lek voor NL zit hier:
https://www.ams-ix.net/chi/contact-us
Alle data verkeer kan eenvoudig opgevraagd worden.
Er is (zeker vanuit juridisch perspectief) een wezenlijk verschil tussen controle en control, tussen maatregelen en waarborgen en tussen papier en werkelijkheid.
Ik verwijs naar de mooie boeken van collega Wim Borst
Vendor lock-in is inderdaad van alle tijden. Bij uitbestede (ICT) diensten is het verstandig om vooraf passende afdwingbare exit-afspraken te maken.
Kleine verduidelijking: Het compleet uitsluiten van de extraterritoriale werking van de CLOUD Act is onmogelijk ongeacht de opslaglocatie - dit geldt (dus) voor alle Cloud en XaaS verschijningsvormen.