Begin mei kondigde Brad Smith, de bestuursvoorzitter en Chief Legal Officer bij Microsoft, in een blog aan dat het bedrijf eindelijke werk gaat maken van EU-gebonden dataopslag voor Europese B2B-klanten. Deze EU Data Boundary for the Microsoft Cloud, die in 2022 van de grond moet komen, moet een antwoord gaan vormen op een probleem dat Europese bedrijven al langer hebben: hoe kan ik ervoor zorgen dat de persoonsgegevens nooit op servers buiten de EU terecht komen?
Voor veel bedrijven zou het een belangrijke drempel wegnemen om over te stappen naar de cloud. Volgens IDC zet 21 procent van de Europese bedrijven cloud over de hele breedte in. Hun Amerikaanse concurrenten zitten op 33 procent. Controle over data is voor veel Europese bedrijven belangrijk. Het is geen verrassing dat de aankondiging van Smith amper details bevat. Hij gaat vooral niet in op de grootste uitdagingen waar een partij als Microsoft, en ook Google en Amazon, mee te maken hebben.
Safe Harbor
Want op technisch vlak hoeft er niet veel te gebeuren. Iedere grote cloudleverancier heeft zijn eigen Europese datacenters, al was het alleen al omdat je de verwerking zo dicht mogelijk bij de bron wil hebben. Het probleem is vooral juridisch van aard: de bevoegdheid van de Amerikaanse overheid om gegevens op te vragen bij Amerikaanse bedrijven, ook al bevinden deze zich in een ander land. Dat staat direct haaks op Europese regels die de privacy van EU-burgers moeten beschermen.
De beide blokken hebben al geprobeerd hier onderling een compromis voor te vinden. Dat begon met de Safe Harbor-principes. Die werden al opgesteld tussen 1998 en 2000, voordat iemand ook maar van cloud computing had gehoord. Als bedrijven zich houden aan bepaalde eisen om persoonsgegevens van EU-burgers te beveiligen tegen onopzettelijke lekken, dan mogen ze data ook in de VS opslaan. Maar zoals het Europees Hof van Justitie in 2015 constateerde: daar vallen aanvragen van de Amerikaanse overheid niet onder. Autoriteiten in de VS hebben veel meer mogelijkheden om persoonsgegevens op te vragen dan hun Europese tegenhangers, vooral als het gaat om gegevens van niet-Amerikanen. Safe Harbor biedt onvoldoende bescherming.
Privacy Shield
Het volgende idee was Privacy Shield, een akkoord tussen de Europese Commissie en Washington. Privacy Shield moest aan de hand van verschillende principes waarborgen dat Europese data op Amerikaanse servers dezelfde bescherming geniet als in Europa. Maar ook dat mislukte: Privacy Shield biedt volgens het Hof geen bescherming in een geval dat de wet van het derde land fundamenteel ingaat tegen Europese regelgeving, de AVG in het bijzonder.
En nu? In Europa zijn er eigenlijk geen ‘eigen’ leveranciers van publieke cloudinfrastructuren. Amazon, Microsoft en Google worden gevolgd door het Chinese Alibaba. Wat volgt zijn gespecialiseerde Amerikaanse partijen die de cloud vooral inzetten voor eigen dienstverlening, zoals Oracle en IBM. Europese cloudleveranciers spelen in deze markt geen rol van betekenis. Deutsche Telekom, de grootste Europese aanbieder, heeft volgens analistenfirma Synergy Research een marktaandeel van slechts 2 procent.
Gaia-X
Het is vanzelfsprekend dat Europese ICT-aanbieders datasoevereiniteit prominent laten terugkomen in hun marketingmaterialen. Het heeft ook de aandacht gewekt van vooral de Duitse en Franse regeringen. Zij zien met lede ogen aan hoe hun grote bedrijven massaal gebruik maken van Amerikaanse dienstverleners, terwijl ze voor verwerking blijven aangewezen op hun eigen infrastructuur met alle beperkingen van dien.
Organisatie van het delen van data is essentieel voor het Europese bedrijfsleven
Daarom is het project Gaia-X bedacht, een gefedereerde open Europese infrastructuur waarop dienstverleners een volledige public cloud kunnen aanbieden die buiten bereik van niet-EU entiteiten moet staan. Gaia-X is in september 2020 geformaliseerd als samenwerking tussen overheden, grote bedrijven en onderzoeksinstellingen, ondergebracht bij een non-profit onder Belgisch recht (AIBSL).
Open en gedecentraliseerd
Gaia-X moet dezelfde voordelen bieden van andere public clouds, maar dan zonder dat er één bedrijf achter zit. Door het decentrale karakter kan ieder bedrijf ervan profiteren – mits ze natuurlijk de financiële slagkracht hebben – terwijl transparantie en dataveiligheid zo optimaal mogelijk worden gebalanceerd. “Organisatie van het delen van data is essentieel voor het Europese bedrijfsleven”, zegt Hubert Tardieu, de president van Gaia-X, in een interview met de Financial Times. “Niemand wil de cloud in als ze fundamentele elementen als portabiliteit van de infrastructuur, data en applicaties niet kunnen behouden. Ze willen 30 jaar na het mainframe niet opnieuw worden gebonden aan Amerikaanse bedrijven.” In juni moet de website gaia-x.eu volledig actief worden.
Haken en ogen
Maar ook Gaia-X kent zijn uitdagingen. De voorsprong van de grote cloud–aanbieders is gigantisch, en het is de vraag of GAIA-X in staat is kwaliteits–diensten te kunnen leveren. Over de prijs is ook nog niets bekend en alleen het label ‘Made in Europe’ is onvoldoende. De grote Amerikaanse bedrijven zijn ondertussen ook allemaal toegetreden tot GAIA-X, wat weer juridische vragen kan oproepen – iets dat voor EU-bedrijven die buiten Europa actief zijn ook speelt. En dat geldt al helemaal voor een bedrijf als Palantir, de schimmige dataverzamelaar die onder meer werkt voor de Amerikaanse inlichtingendiensten. Palantir heeft zich eind vorig jaar bij Gaia-X aangesloten.
Terug naar Microsoft, die bij Gaia-X is aangesloten maar ook een eigen plan in de maak heeft, waarbij het niet gezegd is dat er geen link tussen de twee is. Meer details moeten in de herfst naar buiten komen. Maar dat ze het in hun officiële FAQ voorlopig hebben over ‘minimalisatie’ van dataoverdracht naar buiten de EU, en niet over ‘uitsluiting’, roept vraagtekens op. Wordt vervolgd dus…
[Dit artikel is eerder gepubliceerd in ChannelConnect 3 – 2021]