Op 16 juli 2020 verklaarde het Hof van Justitie van de Europese Unie het EU-VS Privacy Shield ongeldig. Dit, door middel van het Schrems II arrest. Het Privacy Shield was een overeenkomst tussen de Verenigde staten en Europa. Die maakte het mogelijk om legaal persoonlijke data van Europese burgers uit te wisselen met de Verenigde Staten. Meer dan een jaar na deze uitspraak is het nog steeds wachten op nieuwe wetgeving voor transatlantische data-uitwisseling. Vooral bij het gebruik van cloud is dat een handicap.
Alternatieven voor Amerikaanse providers
Nu de European Data Protection Supervisor (EDPS) onlangs een onderzoek is gestart naar het gebruik van Amazon Web Services en Microsoft binnen EU-instanties, lijkt een oplossing verder weg dan ooit. Dit leidt tot de vraag of er alternatieven bestaan voor de Amerikaanse cloud providers.
Volgens Adriaan Hoogduijn, COO van het Nederlandse fintech bedrijf Hyarchis, is het antwoord op deze vraag zonder twijfel “ja”. Hyarchis is onder meer actief in de sterk gereguleerde banksector. Één van de klanten moest onlangs stoppen met alle cloudprojecten. De directe aanleiding voor deze beslissing was het Schrems II arrest. Deze beslissing zette extra druk op een project waarvoor reeds strakke deadlines bestonden. En hierdoor moest men er creatief nadenken. Na het overwegen van diverse alternatieven vond het team de oplossing in een Europese cloud provider.
Onmogelijke situatie
Adriaan Hoogduijn: “Het project betrof een grootschalig customer due diligence traject dat slechts een druk op de knop verwijderd was van uitvoering. Na meer dan zes maanden van uitgebreide voorbereiding trok de directie plotseling de stekker uit alle cloud-gerelateerde projecten. Het projectteam bevond zich door deze beslissing in een onmogelijke situatie: de deadline bleef staan, terwijl alle benodigde technologie om deze deadline te halen plots onbeschikbaar werd”.
De tijd werd schaarser en het projectteam moest snel met een oplossing komen. Het handmatig verwerken van honderdduizenden klantgegevens ging niet alleen veel langzamer dan verwacht, maar vooral ook een stuk minder accuraat. Uiteindelijk wendde het team zich tot een in Europa gevestigde cloud provider. Hiermee werden de beperkingen van Schrems II immers omzeild zonder de voordelen van een cloudinfrastructuur op te hoeven geven.
Europese cloud services providers
Het opzetten van een Europese cloud is echter niet zo makkelijk als het lijkt, verzekerd Adriaan Hoogduijn: “Europese cloud services providers bieden een significant beperktere infrastructuur in vergelijking met hun Amerikaanse concurrenten. Dit betekent dat veel tech services zoals logging en monitoring zelf moeten worden opgezet. Dit, terwijl er hiernaast veel tijd moet worden geïnvesteerd in het onderzoek naar voorwaardelijke zaken zoals ultimate beneficial ownership. Dit vergt een behoorlijke tijdsinvestering daar de documentatie van Europese cloud services providers aanzienlijk beperkter is dan die van hyperscalers, zoals Amazon, Microsoft, IBM en Google”.
Kale infrastructuur
Zelfs als het ultmate beneficial ownership niet terugleidt naar de Verenigde Staten en de gaten in de documentatie zijn dicht gelopen, beaamt Adriaan dat het opzetten van een Europese cloud nog verre van compleet is. “Een Europese cloud biedt een relatief kale infrastructuur en is een stap terug van de ‘Platform as a Service’-filosofie (PaaS) van de Amerikaanse hyperscalers. Waar de hyperscalers focussen op een brede variëteit aan services op het gebied van veiligheid, database, logging en het monitoring, leveren Europese cloud services providers hun infrastructuur veel meer als een blank canvas.”
Risico’s
“Dit betekent dat je voor een Europese cloud een eigen engineering team aan boord moet hebben. Dit, om invulling aan onder meer beveiliging, deployment, databasestructuur, logging en monitoring. Dit leidt niet alleen af van de kern van je oplossingen, maar brengt ook de nodige risico’s met zich mee die in de PaaS-filosofie veelal geheel afwezig zijn”.
Multi-cloudstrategie
Het inrichten van een Europese cloud is een arbeidsintensief traject. Het vereist veel expertise vereist zo stelt Adriaan Hoogduijn. De vraag is daarom of het bedrijf een Europese cloud ook als een oplossing voor de lange termijn ziet. Adriaan Hoogduijn zegt hierover: “Zeker. En niet alleen omdat we veel tijd en werk hebben gestoken in het optuigen van onze Europese cloud. Het privacy shield is reeds vanaf haar inceptie een moeilijk onderwerp geweest. De Amerikaanse regering onder Trump ondersteunde de regeling nooit volhartig gesteund. En vertraagde de implementatie hiervan zelfs moedwillig. De regering onder Biden geeft tot dusver nog geen prioriteit aan het onderwerp. Het valt kortom nog maar te bezien wanneer er een plaatsvervanger komt voor het Privacy Shield en wat dit betekent voor de uitvoering van transatlantische datatransfers”.
