We doen maar wat, althans de overheid doet te vaak maar wat. De Algemene Rekenkamer heeft forse kritiek op de wijze waarop de Nederlandse overheid gebruik maakt van de cloud.2Algemene Rekenkamer, Het Rijk in de cloud, Donkere wolken pakken samen, januari 2025. Deze kritiek komt er feitelijk op neer dat de ministeries onvoldoende zicht hebben op het type clouddienst dat wordt afgenomen, en zelfs bij clouddiensten die als materieel zijn bestempeld is veelal onvoldoende zicht op de risico's, doordat geen risicoafweging is gemaakt.3Mijn bescheiden inschatting is overigens dat het bedrijfsleven het gemiddeld genomen zeker niet beter doet. De rijksoverheid koopt meer dan de helft van haar clouddiensten in bij de Amerikaanse tech-reuzen en één van de gesignaleerde risico's is dan ook dat de Amerikaanse cloudaanbieders verplicht zijn data te verstrekken aan de Amerikaanse overheid. De discussie is weer terug van nooit echt weggeweest.
De Algemene Rekenkamer roept de overheid ook op nadrukkelijker te kijken naar alternatieve Europese cloudaanbieders. 4De Algemene Rekenkamer kijkt voor de rijksoverheid als gebruiker van de cloud daarnaast ook naar maatregelen als het sturen op gezamenlijke inkoop, het bedingen van betere contractvoorwaarden en het laten uitvoeren van audits. Het rapport brengt daarmee een ander rapport in herinnering uit 2024; Mario Draghi zijn veelbesproken rapport over de toekomstige concurrentiekracht van de Europese Unie.5M. Draghi, The future of European Competitiveness, September 2024, pagina 24. Volgens Draghi zijn de drie Amerikaanse tech-reuzen samen goed voor 65 procent van de Europese cloudmarkt, terwijl de grootste Europese cloudaanbieders samen slechts 2 procent van diezelfde Europese markt bestrijken. Draghi benadrukt op zijn beurt dat het onverstandig zou zijn om te proberen de kloof met de (Amerikaanse) tech-reuzen te dichten, omdat de daarvoor benodigde investeringen en middelen schaars zijn en beter ingezet kunnen worden in sectoren waar de innovatieve vooruitzichten van de Europese Unie beter zijn.6The future of European Competitiveness, pagina 34.
Zowel de Algemene Rekenkamer als Draghi benadrukken ieder op hun eigen wijze het belang van "soevereine cloud"-oplossingen.7Een soevereine cloud is kortgezegd een cloudomgeving waarmee een organisatie aan de vereisten voor digitale soevereiniteit (in de EU) kan voldoen. Draghi pleit ervoor een EU-breed gegevensbeveiligingsbeleid vast te stellen voor samenwerking tussen EU- en niet-EU-cloudaanbieders, waarbij toegang wordt verleend tot de nieuwste cloud-technologieën van Amerikaanse hyperscalers, terwijl encryptie, beveiliging en afgeschermde diensten voor vertrouwde EU-providers behouden blijven. De Algemene rekenkamer rekent op de Cybersecurity Act8Verordening (EU) 2019/881 van het Europese Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (Cyberbeveiligingsverordening). en de alom bekende Algemene verordening gegevensbescherming als relevante EU-ontwikkelingen die lidstaten meer controle zouden moeten geven over het veilig gebruik van de cloud.
Dit roept bij mij de vraag op hoe dit alles zich verhoudt tot de ambities van de Europese Unie uit de Dataverordening ("EU Data Act") van 13 september 2023 die op 12 september van dit jaar van toepassing wordt.9Verordening (EU) 2023/2854 van het Europees Parlement en de Raad van 13 december 2023 betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data en tot wijziging van Verordening (EU) 2017/2394 en Richtlijn (EU) 2020/1828 (Dataverordening). Meer specifiek de daarin opgenomen uitgebreide en gedetailleerde regeling om pre-commerciële, commerciële, technische, contractuele en organisatorische belemmeringen uit te bannen die het (ook gedeeltelijk!) overstappen van de ene cloudaanbieder naar de andere cloudaanbieder zouden kunnen verhinderen en die het gelijktijdig werken met meerdere cloudaanbieders zouden moeten stimuleren.
Enkele artikelen uit de Dataverordening vind ik in dat kader in het bijzonder noemenswaardig. Artikel 34 verbiedt om bij parallel gebruik van cloudaanbieders een gegevensextractievergoeding op te leggen die de gegevensextractiekosten overschrijdt. Anders dan in het kader van een overstap naar een andere aanbieder worden deze kosten daarmee niet stapsgewijs opgeheven, maar wel gelimiteerd.10Artikel 29 van de Dataverordening bepaalt dat overstapkosten door cloudaanbieders vanaf 12 januari 2027 niet meer in rekening mogen worden gebracht en dat tot die tijd enkel de rechtstreeks met de overstap verband houdende kosten in rekening mogen worden gebracht. Eveneens noemenswaardig is de nieuwe poging van de Europese Commissie om via artikel 30 lid 2 van de Dataverordening, open interoperabiliteitsspecificaties en -normen te (laten) ontwikkelen.11In overweging 100 van de Dataverordening wijst de Europese Commissie erop dat de marktacceptatie van vastgestelde normen in het kader van het in 2016 afgeronde initiatief inzake coördinatie van cloudnormalisatie (CSC) beperkt is gebleven. Om een andere reden is ook artikel 32 van de Dataverordening hier relevant, dat aanbieders van clouddiensten verplicht om alle adequate technische, organisatorische en juridische maatregelen te treffen om onrechtmatige doorgifte van niet-persoonsgegevens naar de Verenigde Staten en andere derde landen te voorkomen.12Artikel 28 van de Dataverordening verplicht de aanbieder hier ook op de website over te informeren en naar die website vervolgens in de overeenkomst te verwijzen.
Gaat de Dataverordening daarmee de zon alsnog laten schijnen in de Europese Unie? Voor zowel de zorgen van de Algemene Rekenkamer als de aanbevelingen van Draghi biedt de Dataverordening daarvoor in ieder geval een nieuwe stimulans.13De Dataverordening lijkt bij zowel Draghi als de Algemene Rekenkamer overigens niet op het netvlies te staan als een noemenswaardig puzzelstuk voor de cloud-uitdaging waar de Europese Unie respectievelijk de Nederlandse overheid voor staat. Zijn daarmee alle donkere wolken verdwenen? Ik vrees evenals Draghi dat regelgeving zoals de Dataverordening alleen, niet alle uitdagingen van de Europese cloudmarkt kan keren. Zolang de bekende tech-reuzen kwaliteit blijven leveren tegen zeer concurrerende tarieven zal er waarschijnlijk weinig veranderen. Indien Donald Trump en de tech-miljardairs aan zijn zijde echter (onbedoeld) in staat blijken de Europese Unie te verenigen kan de wind opeens gaan draaien. Zeker indien dat betekent dat Amerikaanse leveranciers de Europese Unie gaan vermijden vanwege dreigende sancties. Mocht dat overigens betekenen dat we Facebook, Instagram en X moeten gaan missen dan komen we daar uiteindelijk ook wel weer overheen. Zelfs indien hier geen (Europees) alternatief voor in de plaats zou komen.