Europese cloud: de status van de hype

Onlangs werden we van alle kanten gebombardeerd met het bericht dat de ‘Europese cloud’ eigenlijk een wassen neus is. Dit naar aanleiding van vragen rond de introductie van Office 365, de cloud-dienst van Microsoft, waarbij de Britse Microsoft-baas Gordon Frazer moest erkennen dat ook informatie in Europese clouds niet altijd veilig is voor Amerikaanse ‘huiszoekingen’.

De gedachte dat data veiliger staat bij Microsoft of Amazon omdat zij, in tegenstelling tot Google, een speciale ‘Europese cloud’ hebben, is hiermee tot een illusie verworden. Want ook deze bedrijven kunnen gedwongen worden de data die ze in Europa hosten prijs te geven aan de Amerikaanse autoriteiten en geheime diensten. Daar sta je dan, als een partij als Rackspace. Dit hostingbedrijf heeft in het Verenigd Koninkrijk onlangs een datacenter geopend dat het speciaal heeft opgezet voor de Europese cloud. Verspilde moeite en geld?

Gelukkig lijkt het allemaal iets genuanceerder te liggen. De reden dat bedrijven als Microsoft en Amazon hun data desgevraagd moeten overdragen, zit hem in het feit dat deze bedrijven hun hoofdkantoor in de VS hebben. En daarom moeten ze voldoen aan Amerikaanse vorderingen, rechterlijke uitspraken, de Patriot Act en aan de wensen van Amerikaanse geheime diensten. Of de desbetreffende data in Europa staat, is absoluut irrelevant in dit verband. Case closed. Of toch niet?

Blijkbaar niet… Een woordvoerder van Microsoft in Brussel blijkt namelijk beweerd te hebben dat elk bedrijf dat een vestiging heeft in de VS is bij wet verplicht is om gehoor te geven aan een legitiem verzoek van de Amerikaanse overheid tot informatie die het bedrijf in beheer of onder controle heeft. Dit geldt volgens hem altijd, wederom ongeacht waar de data is opgeslagen en of er andere, conflicterende wettelijke verplichtingen gelden in het land waar de data is opgeslagen.

En dan is er nog een interessante juridische interpretatie van het voorval, bijvoorbeeld de versie die een medewerker van Dirkzwager Advocaten & Notarissen heeft gepost. De slotsom van de schrijver van het artikel is dat het hem niet zou verbazen dat de Europese Commissie in antwoord op de spoedvragen van Europarlementariër Sophie in ‘t Veld er vooral op zal wijzen dat het gebruik van cloud-oplossingen voor de verwerking van bijzondere persoonsgegevens (te) veel risico’s met zich meebrengt.

Op alle drie de punten wil ik graag reageren. Laat ik beginnen met de bewering van de woordvoeder van Microsoft in Brussel, die ik met grote zekerheid kan counteren door te zeggen dat de desbetreffende journalist het verhaal gewoon verkeerd geïnterpreteerd heeft. Het gaat niet om bedrijven met een vestiging in de VS, maar om bedrijven die hun hoofdkantoor in de States hebben staan. Jitscale heeft een kantoor in Florida, maar onze Europese klanten kennen ons onder andere dankzij het feit dat wij hun data ook in Europese clouds zetten waarvan de moedermaatschappij niet Amerikaans is. Bovendien kijken we allereerst naar de business requirements van onze klanten. Als deze – of specifieke regel- en/of wetgevingen – dicteren dat privacygevoelige data op een bepaalde manier of locatie dient te worden opgeslagen, passen we hier het infrastructurele ontwerp op aan door de data bijvoorbeeld in een lokaal datacenter of lokale cloud op te slaan. “Amerika graait in Europese clouddata” is een titel die dus zeker niet opgaat voor onze Europese klanten. Waarmee ik in feite ook al mijn reactie heb gegeven op het eerste punt; een Europese cloud bestaat wel degelijk, en die wordt gewoon uitgebaat door providers met een Europese hoofdzetel.

En dan punt drie, het juridische stuk. Hoe gerechtvaardigd de conclusie van Mark Jansen van Dirkzwager ook moge zijn vanuit een juridisch oogpunt, ik hoop van ganser harte dat hij er faliekant naast zit. En velen met mij. Ik zou het intriest vinden als de Europese Commissie zijn onderdanen inderdaad op de gedachte zou brengen dat het gebruik van de cloud voor de verwerking van persoonsgegevens veel risico’s met zich meebrengt. We raken net met zijn allen gewend aan het idee dat de cloud veel meer voordelen dan nadelen met zich meebrengt. Mits goed beheerd, dat spreekt voor zich. Maar het is inmiddels toch genoegzaam bekend en bewezen dat de cloud in vergelijking met fysieke infrastructuren goedkoper is, schaalbaar, toekomstbestendig, waar nodig redundant en dus veilig en flexibel, en noem maar op.

Ik kan me prima vinden in de beweegredenen van mevrouw in ’t Veld om het probleem van de dataprotectie tussen Europa en de VS aan de orde te stellen. Maar laten we alsjeblieft de problemen daar aanpakken waar ze daadwerkelijk zijn. Mevrouw in ’t Veld zegt mijns inziens terecht dat Europa zo snel mogelijk met duidelijke regels en goede afspraken met de Amerikanen moet komen, omdat Amerikaanse wetten steeds meer lijken te gelden op Europees grondgebied.

Maar ze heeft het terecht niet gehad over de verdiensten van cloud computing zelf. Indien goed beheerd, met de specialistische kennis die tegenwoordig voorhanden is, is er helemaal niets aan de hand. Zeker niet als de aanbieder zijn hoofdkantoor gewoon in Europa heeft. Deze discussie moet gaan over verantwoordelijkheden, rechten en plichten die behoren bij databeheer en -verkeer. En niet over de manier waarop dit tot stand wordt gebracht.


Eelco van Beek is CEO van Jitscale uit Nieuwegein. Het bedrijf is gespecialiseerd in het ontwerp, de inrichting en de optimalisatie van bedrijfskritische IT-infrastructuren, inclusief het operating systeem, web-, database-, caching- en applicatieservers. Voor de oprichting van Jitscale was Van Beek actief betrokken bij de ontwikkeling van onder meer grote videostreaming-infrastructuren, storage-netwerken en high-traffic internetplatformen.