De Europese Commissie overweegt regels die het gebruik van Amerikaanse cloudplatforms voor gevoelige overheidsdata beperken. De plannen maken deel uit van het ‘Tech Sovereignty Package’, dat op 27 mei wordt gepresenteerd. Financiële, justitiële en gezondheidsdata zouden voortaan verplicht via Europese sovereign cloud-infrastructuur moeten worden verwerkt.
Dat meldden twee anonieme Commissieambtenaren aan CNBC. De plannen maken deel uit van het zogeheten ‘Tech Sovereignty Package’. Momenteel mogen overheidsinstellingen in EU-lidstaten cloudplatforms van niet-Europese aanbieders gebruiken voor gevoelige data, mits zij voldoen aan geldende regelgeving. De spanning met de Amerikaanse regering onder president Donald Trump heeft de roep om minder afhankelijkheid van Amerikaanse techbedrijven versterkt.
Financiën, justitie en zorg als prioriteit
Binnen de Commissie wordt gesproken over een verplichting voor financiële, justitiële en gezondheidsdata van overheidsorganisaties om te worden verwerkt via Europese sovereign cloud-infrastructuur. “Amerikaanse cloudproviders zouden te maken kunnen krijgen met beperkingen in bepaalde gevoelige en strategische sectoren”, aldus één van de ambtenaren. De voorstellen verbieden buitenlandse cloudproviders niet volledig bij overheidscontracten, maar beperken hun rol afhankelijk van de gevoeligheid van de data.
Een Commissiewoordvoerder liet aan CNBC weten dat het pakket gaat over “Europa ontwaakt en brengt de eigen zaken op orde.” Het zou mogelijkheden voor sovereign cloud-aanbiedingen verbeteren en de toetreding van een meer diverse groep cloud- en AI-dienstverleners tot de markt ondersteunen.
Onderdeel van breder soevereiniteitspakket
Het ‘Tech Sovereignty Package’ bevat naast de cloudmaatregelen ook de Cloud and AI Development Act (CADA) en de Chips Act 2.0. Die wetten moeten Europese oplossingen op het gebied van cloud en chips stimuleren. De plannen gelden uitsluitend voor de publieke sector, want private bedrijven vallen buiten de scope van het pakket. Eenmaal gepresenteerd door de Commissie moet het pakket worden goedgekeurd door alle 27 EU-lidstaten. De besprekingen zijn nog gaande en de voorstellen zijn nog niet definitief, aldus de ambtenaren.
De aanleiding voor de plannen is mede de Amerikaanse CLOUD Act uit 2018, op grond waarvan Amerikaanse opsporingsdiensten toegang kunnen vragen tot data van Amerikaanse bedrijven, ongeacht waar die data is opgeslagen. Google waarschuwde eerder al dat te strikte Europese soevereiniteitsregels de concurrentie kunnen ondermijnen.
Lees ook: 8 op 10 Europeanen wantrouwen Amerikaanse techbedrijven
In april kende de Commissie al een aanbesteding van 180 miljoen euro toe aan vier Europese sovereign cloud-projecten voor EU-instellingen en -agentschappen. Toch stelde Gartner onlangs dat volledige cloudsoevereiniteit buiten de VS en China vooralsnog niet haalbaar is. Dat komt omdat Europese organisaties afhankelijk zijn en blijven van Amerikaanse hyperscalers.
De drie lagen van soevereiniteit
Het debat over de ‘Sovereign Cloud’ gaat verder dan alleen de fysieke locatie van servers op Europese bodem. In de kern draait het om drie lagen. De eerste is datasoevereiniteit, waarin de vraag centraal staat wie er precies toegang heeft. Dan is er ook nog de operationele afhankelijkheid, met de centrale vraag: kunnen we de infrastructuur draaiend houden zonder hulp van buitenaf?. Tot slot speelt ook technologische soevereiniteit een belangrijke rol. Hebben we zelf wel de kennis om deze systemen te realiseren is een vraag, die we onszelf moeten blijven stellen.
Voor de publieke sector is vooral het tweede punt een heikel punt. Wanneer een buitenlandse aanbieder besluit de voorwaarden te wijzigen of onderhevig is aan politieke druk uit het thuisland, heeft een overheid zonder soeverein alternatief geen back-up plan. Met het Tech Sovereignty Package tracht de Commissie de strategische afhankelijkheid te beperken en de digitale weerbaarheid te vergroten.
Voor IT-beslissers binnen de overheid creëert het Tech Sovereignty Package een complex dilemma. Aan de ene kant bieden Amerikaanse hyperscalers een innovatietempo en een ecosysteem aan diensten waar Europese partijen momenteel moeilijk tegenop kunnen boksen. Aan de andere kant vergroot dit de vendor lock-in ook.
Hoe dieper een overheidsinstantie verweven raakt met de specifieke API’s en AI-modellen van een Amerikaanse grootmacht, hoe moeilijker de overstap naar een Europees alternatief wordt. De nieuwe regels dwingen organisaties om bij de inrichting van nieuwe IT-omgevingen vooraf sluitende afspraken te maken over dataportabiliteit en de overdraagbaarheid van diensten.
Een hybride toekomst?
De grote vraag blijft of de Europese markt klaar is om deze grote uitdaging aan te gaan. Critici wijzen erop dat strikte regelgeving zonder voldoende investeringen in eigen infrastructuur kan leiden tot een technologische achterstand. De koers van de Commissie lijkt echter niet gericht op een volledig isolement, maar op het afdwingen van een hybride model. Daarbij worden generieke processen in de publieke cloud gedraaid, terwijl de meest privacygevoelige data van burgers strikt binnen Europese, soevereine kaders blijft.
Het belang van digitale zelfstandigheid is verschoven van de vergadertafel naar de praktijk. Wie zelf de controle over data en techniek behoudt, is veel beter beschermd tegen verstoringen en digitale gevaren van buitenaf. Het hebben van die eigen regie is dan ook geen luxe meer, maar een basisvoorwaarde om risico’s in deze tijd goed te beheersen.