Volgens Steltman zien de hoogleraren over het hoofd dat het voor toezichthouders noch voor de overheid mogelijk is die langetermijnrisico’s zodanig hard te maken dat die een doorslaggevende rol kunnen spelen bij hun platformkeuze. Steltman: ‘Laat staan dat onderwijsorganisaties en bedrijfsleven dat kunnen.’
De hoogleraren vragen zich af of het wel zo verstandig is over te gaan op de cloud-gebaseerde e-mailsystemen van Microsoft. Ze menen dat de keuze voor Amerikaanse providers op de lange termijn meer problemen kan opleveren dan er nu worden opgelost. Veiligheid en privacy van studenten en medewerkers zijn daar onvoldoende gewaarborgd.
Een nacht ijs
Volgens Steltman suggereren de briefschrijvers met hun opmerkingen over de korte versus de lange termijn ten onrechte dat de universiteitsbesturen over één nacht ijs zijn gegaan. ‘Er is geen aanleiding om te veronderstellen dat de e-mailplatforms van Microsoft en Google niet aan de wet voldoen of onveilig zijn. Dat argument wordt er met de haren bijgesleept’, meent Steltman.
Hij wijst op een onderzoek van ICTRecht over opslag van medische data in de cloud. Dit juridisch adviesbureau concludeerde dat medische gegevens bij Google en andere Amerikaanse hyperscalers wel degelijk veilig zijn. Onder voorwaarden kunnen ze daar gerust worden opgeslagen. Steltman: ‘Er bestaat er geen concrete aanwijzing dat partijen als Microsoft en Google zich niet aan de Europese wet houden. Als je als afnemer met de feitelijke informatie van vandaag een rationele afweging moet maken, dan kies je vaak voor zulke platforms. Ook de overheid zelf gebruikt die diensten. Meer mag je nu niet verwachten van organisaties die zulke keuzen moet maken.’
Gebrekkig
De DINL-directeur verwijt de hoogleraren een gebrekkige onderbouwing. Te veel hebben de hoogleraren zich laten meeslepen door het negatieve sentiment rond Big Tech, en de op zich terechte zorgen over onze digitale soevereiniteit. Verder reiken ze nauwelijks alternatieve oplossingen aan. Enige concrete voorstel is de e-mailinfrastructuur en andere diensten zoals autorisatie en andere diensten vaker uit te besteden aan Surf. Dat is op zich een prima gedachte, vindt Steltman. Maar alternatieven die zich kunnen meten met de diensten van genoemde leveranciers, zijn er nog niet. Daarbij kun je afvragen hoe zinvol het is om een nationaal alternatief na te streven en die ambitie bij onderwijs- en onderzoeksinstellingen neer te leggen.
Steltman: ‘In plaats van universiteiten en hoge scholen als een soort kop van Jut te maken, hadden de hoogleraren zich beter ergens anders druk over kunnen maken: de oorzaken van de steeds groter wordende achterstand van Europese alternatieven en het gebrek aan assurance-keurmerken die voldoen aan de behoeften van zakelijke cloudgebruikers.’ Het sleutelwoord is digitale soevereiniteit. Hoe zorgen we ervoor dat de Nederlandse en Europese cloud-industrie zich beter kan ontwikkelen, en die alternatieven wel kan bieden? En hoe kunnen afnemers zekerheden krijgen over de geschiktheid van een clouddienst voor een bepaalde toepassing? Hoe zorgen we er voor dat we op de lange termijn de baas blijven over onze eigen data?
Heldere criteria
De oplossing is niet dat organisaties ieder op hun eigen houtje een strategisch cloudbeleid ontwikkelen zoals de hoogleraren voorstellen. Universiteiten zijn er veel meer mee geholpen dat de overheid met certificeringen voor cloudproviders komt, die gebaseerd zijn op heldere criteria. ‘Dan weet elke instelling met wie ze in zee kunnen gaan. Als vaststaat dat een provider voldoet aan de Europese wet- en regelgeving, dan is geen discussie nodig over de vraag of data in vertrouwde handen zijn.’ Steltman moet helaas vaststellen dat de ontwikkeling van goede keurmerken tot nog toe niet van de grond is gekomen. En dat terwijl bijvoorbeeld artikel 42 van de Algemene Verordening Gegevensbescherming (AVG) voorschrijft dat de overheid voor certificeringen op het gebied van de AVG zorgt.
Volgens Steltman laten de Europese toezichthouders en de betrokken ministeries het echter op dit punt afweten. Wel is mede op initiatief van dat laatste het ministerie van Economische Zaken en Klimaat (EZK) de Online Trust Coalitie tot stand gekomen. Dit samenwerkingsverband van ruim twintig organisaties streeft naar eenduidige eisen, keurmerken en certificeringen. Cloudleveranciers kunnen daarmee aantonen dat hun diensten betrouwbaar en veilig zijn. De Online Trust Coalitie kan het tempo van ‘assurance’ omhoog brengen.
Luchtvaart
Volgens Steltman is allereerst nodig dat er heldere normenkaders komen die voorschrijven waaraan cloudproviders die actief zijn op de Europese markt, moeten voldoen. Daarnaast is bewijs nodig dat de beweringen van cloudproviders kloppen. Iemand zal dat moeten toetsen. Behalve een instantie die maatregelen neemt en een onafhankelijk toezicht, moet ook de informatieverstrekking worden gestandaardiseerd. Pas als aan die drie voorwaarden is voldaan, kunnen organisaties er zeker van zijn dat hun data in vertrouwde handen worden gelegd.
Steltman noemt de luchtvaart als voorbeeld van een sector waar de zaken naar ieders tevredenheid zijn geregeld. Luchtvaartmaatschappijen moeten in Europa aan strenge normen voldoen. Dat voorkomt dat bijvoorbeeld TUI moet nagaan of ze vakantiegangers met Ryanair kunnen laten vliegen.
Aan zakelijke afnemers van clouddiensten zou dezelfde zekerheid moeten worden geboden. Alleen assurance brengt de uiteindelijke oplossing. Beloftes van cloudproviders zijn ontoereikend. ‘Daar hebben we weinig aan. Klanten moeten onafhankelijke waarborgen hebben dat het klopt.’ Wel heeft de inrichting van zo’n kwaliteitsstelsel tijd nodig. Het is een stap naar volwassenheid, zegt Steltman.
Hij stelt een systematiek voor zoals we die kennen van financiële jaarrekeningen. Noem het een digitale jaarrekening op basis van een rapportagestandaard die voldoet aan wettelijke eisen. Qua auditpraktijk zou Nederland het voortouw moeten nemen. Die audits van cloudproviders mogen niet eenmalig zijn, want techniek en risico’s veranderen snel. Het tempo van de vernieuwing ligt zo hoog dat eenmaal afgegeven certificering al gauw is verouderd. Elk half jaar is daarom een audit nodig.
Schreeuwend
Omdat de Europese wetgeving anders is en in de EU anders over privacy wordt gedacht, kunnen we geen Amerikaanse normen volgen. Europa heeft schreeuwend behoefte aan eigen assurance-systematiek, besluit Steltman. Zolang we dit probleem niet oplossen, blijft de innovatie geremd. Mede onder invloed van brandbrieven zoals die van de ACCSS durven andere bedrijven en instellingen niet naar de cloud te gaan. Dat remt hun vermogen om te innoveren en werken op afstand te faciliteren. Nu krijgen ze geen duidelijkheid over welke platforms ze wel en niet kunnen kiezen. Het wordt hoog tijd deze onzekerheden weg te nemen.