Tunnelvisie bij cloudinkoop: overheid worstelt met soevereiniteit bij AWS

De afdeling Strategisch Leveranciersmanagement (SLM) van JenV had advocatenkantoor Greenberg Traurig gevraagd de risico’s te onderzoeken die kleven aan het gebruik van de European Sovereign Cloud van AWS.
Greenberg Traurig stelt in het rapport dat de VS via wetgeving of informele druk toegang kan krijgen tot data of diensten kan laten stopzetten. De advocaten concluderen dat de kans daarop klein is, meldt de Volkskrant in een analyse. Vervolgens postte een medewerker van SLM een LinkedIn-bericht waarin stond dat het zeer onwaarschijnlijk is dat de VS toegang krijgt tot data en het risico op sancties met opschorting van de dienstverlening laag is. Daarmee sluit het AWS-product potentieel goed aan bij kabinetsvisie op soevereiniteit van digitale overheidsdiensten, volgens de medewerker.

Kritiek op het rapport

Verschillende experts die de Volkskrant aanhaalt, uitten scherpe kritiek op het onderzoek. De advocaten leunen in het rapport te sterk op de uitleg van AWS over de soevereiniteit van de dienstverlening en zien het aanbod van AWS vooral als een black box. Voor de verwerking van staatsdata wil je volgens hen technisch verifieerbare zekerheid, idealiter tot op broncode-niveau en niet alleen juridische argumentatie. De overheid zou zich bij de inkoop van ICT meer moeten richten op de lokale Europese industrie om de ontwikkeling en het gebruik daarvan te stimuleren.

Juridische kaders uitwerken

De afdeling SLM is in 2014 opgezet om de onderhandelingspositie richting Microsoft, Google en Amazon te versterken. Critici zeggen dat dit juist tunnelvisie creëert door uitsluitend naar het aanbod van drie techgiganten te kijken. JenV weerspreekt overigens die conclusie door aan te geven ook het aanbod van het Duitse STACKIT en het Franse OVHCloud mee te wegen.

JenV heeft het onderzoek en de LinkedIn-post een dag na de publicatie offline gehaald en een week later, op 26 februari, opnieuw gepubliceerd met een aanvullend memo. Daarin staat dat het rapport geen technisch onderzoek is, maar alleen een eerste stap is om de juridische kaders rond digitale soevereiniteit verder uit te werken. Het is geen beleidsadvies en ook geen compliance-beoordeling, aldus het memo.