Blog van Patrick Makaaij
Ter discussie: onze Europese afhankelijkheid van Amerikaanse ICT-leveranciers
Veel organisaties in Europa vragen zich momenteel af hoe afhankelijk zij nog willen zijn van Amerikaanse ICT-leveranciers zoals Google, Microsoft en Amazon. Aanjager in dit proces was de recent voorgenomen inname van Groenland door Amerika. Het lijkt misschien alsof dit besef pas recent ontstond door de acties van de regering Trump in zijn tweede termijn, maar het speelt al langer...
Gedwongen overhandiging data aan NSA
Al langere tijd kan de Amerikaanse overheid Europese data opvragen bij Microsoft, Amazon en Google. Veel Europese bedrijven stonden hier niet bij stil of wisten het simpelweg niet. Door klokkenluider Edward Snowden weten we inmiddels al lange tijd dat de Amerikaanse overheid daadwerkelijk data opvraagt. Snowden bewees dat bijvoorbeeld Microsoft data letterlijk aan de NSA overhandigt.
Afsnijden van ICT-diensten
Naast meelezen door de Amerikaanse regering, is er nog een tweede dreiging. De Amerikaanse regering kan met één pennenstreek opdragen dat Microsoft, Amazon of Google geen zaken meer mag doen met organisaties. Een voorbeeld is dat de hoogste rechter van het Internationaal Strafhof in Den Haag niet meer bij zijn mail en agenda kon nadat hij een onderzoek naar Israël startte. Dus naast meelezen met data, kunnen de Amerikanen vrijelijk ICT-diensten voor organisaties in Europa uitschakelen. De aanjager in dit proces was de recent voorgenomen inname van Groenland door Amerika.
Misleidende situaties
Wat misleidend kan zijn, is dat organisaties in Europa denken samen te werken met Europese ICT-leveranciers. Maar in de praktijk zie je dat deze organisaties op de achtergrond vaak weer samenwerken met Amerikaanse ICT-leveranciers. Ook verwarrend is dat Amerikaanse techgiganten in hoog tempo Europese entiteiten opstarten. Daarmee lijkt het alsof je met een Europese partner zaken doet, maar juridisch is en blijft het een Amerikaans bedrijf.
We zijn wel verwend geraakt…
Amerikaanse cloudproviders zijn wereldwijd beschikbaar. Overal staan servers, wat de snelheid ten goede komt. De overstap van Amerikaanse providers en hostingpartijen naar Europese aanbieders kan lastig lijken. Met enkele muisklikken regel je in Amerika bij Microsoft, Amazon en Google een complete en snelle server met geheugen naar wens die 24/7 draait. Met je creditcard doe je online de betaling en je bent klaar. Wil je dat in Europa regelen? Dan kom je al snel in een oldschooltraject terecht van kennismaken, behoeftes inventariseren en offertes zenden. Lange verkooptrajecten die we door het snelle gemak van Amerikaanse providers niet meer gewend zijn.
Verschil tussen unieke software en standaard kantoorsoftware
Wees je bewust van een significant verschil tussen eigen, unieke software, en Office-software, zoals Microsoft 365, en SaaS-applicaties. Organisaties kunnen ervoor kiezen om hun eigen software voortaan binnen Europa te ontwikkelen en te hosten. Maar heel veel organisaties gebruiken ook Microsoft 365 met Outlook, Word en meer. Ook voor deze standaardsoftware zijn er alternatieven in Europa beschikbaar, zoals Nextcloud. Neem de Duitse deelstaat Sleeswijk-Holstein, deze stapte recent voor de eigen e-mailomgeving geheel over van Microsoft Exchange en Outlook naar Open-Xchange en Thunderbird. Volgens de regeringsleider van de deelstaat heeft deze overstap een duidelijke voorbeeldfunctie voor anderen.
Checklist overstappen naar Europese ICT-oplossingen
Overstappen van Amerikaanse techreuzen naar Europese ICT-oplossingen draait in de kern om twee zaken: datasoevereiniteit en het beperken van juridische risico’s, zoals die voortkomen uit de Amerikaanse CLOUD Act.
Data-soevereiniteit betekent dat digitale gegevens vallen onder de wetten en regels van het land of de regio waar ze worden opgeslagen en gebruikt. Voor Europese organisaties is dat belangrijk, omdat zij willen dat hun data beschermd wordt volgens Europese wetgeving, zoals de AVG.
Tegelijkertijd speelt de Amerikaanse CLOUD Act een rol. Deze wet verplicht Amerikaanse technologiebedrijven om, op verzoek van de overheid, toegang te geven tot data, ook als die data in Europa staat opgeslagen. Hierdoor kan er spanning ontstaan tussen Europese privacyregels en Amerikaanse wetgeving.
Een ander risico dat steeds zichtbaarder wordt, is het kunnen ontnemen van toegang tot digitale diensten. In geopolitieke spanningen kan een overheid of bedrijf besluiten om diensten (tijdelijk) te beperken of stop te zetten. Een voorbeeld is de situatie rond het Internationaal Strafhof, waarbij zorgen ontstonden over mogelijke drukmiddelen, zoals het afsluiten van toegang tot essentiële systemen en diensten.
Juist die combinatie maakt dat organisaties bewuster kijken naar waar hun data staat, en bij welke partijen ze hun digitale diensten onderbrengen.
Een praktische checklist:
- Inventarisatie & Risico-analyse. Breng afhankelijkheden in kaart: welke kritieke processen draaien op Amerikaanse clouddiensten, bijvoorbeeld Amazon Web Services (AWS), Microsoft Azure en Google Cloud. Controleer onder welke jurisdictie je huidige providers vallen. Let op: data op Europese servers van een Amerikaans moederbedrijf vallen juridisch nog steeds onder de VS.
- Strategie & Selectie Kies een soevereine cloud. Dit is een beveiligde clouddienst waarbij data fysiek is opgeslagen en beheerd binnen een specifiek rechtsgebied, zoals Nederland of de EU. Overweeg Nederlandse en Europese providers die volledige digitale autonomie bieden, bijvoorbeeld regionale aanbieders. Selecteer vervolgens software-alternatieven.
- Migratie & Implementatie. Stel een cloud exit-plan op: hoe krijg je data veilig weg bij je huidige provider zonder 'vendor lock-in'? Dit laatste is een situatie waarin een klant vastzit aan een specifieke leverancier voor producten of diensten.
Patrick Mackaaij, Product Manager