Soevereine cloud is een van de meest gebruikte termen in bedrijfstechnologie geworden.
Bijna elke grote dienstverlener heeft zich tot het uiterste ingespannen om hun versie op de markt te brengen, waarbij ze beloven dat de data ‘lokaal gelokaliseerd’ of ‘afgeschermd in Europa’ zijn, maar de belangrijkste vraag blijft: wat betekent echte cloudsoevereiniteit eigenlijk?
Voor overheden, toezichthouders en bedrijven die met gevoelige werklasten omgaan, is het van cruciaal belang om onderscheid te maken tussen wat op de markt wordt gebracht als soeverein en wat in werkelijkheid soeverein is.
De dominantie van Amerikaanse hyperscalers in Europa maakt deze uitdaging nog urgenter. Amazon Web Services, Microsoft Azure en Google Cloud controleren samen meer dan tweederde van de cloud computing-markt in de regio, wat aanleiding geeft tot bezorgdheid over de controle door de jurisdictie en de grenzen van het zogenaamde cloudaanbod van Europa.
Nu de vraag naar soevereiniteit en veerkracht toeneemt, is de vraag hoe Europa een evenwichtiger en onafhankelijker cloud-ecosysteem kan opbouwen.
Het definiëren van ware soevereiniteit
Soevereine cloud is niet alleen een vraag over de fysieke locatie van data, maar ook over wie de wettelijke zeggenschap heeft over die data en de afhankelijkheden die daarmee samenhangen, waaronder technologie, toeleveringsketens en leverancierslock-in, die de vrijheid van handelen kunnen mogelijk maken of beperken, samen met het begrijpen van soevereiniteit.
Dataresidentie beantwoordt de ‘waar’-vraag, soevereiniteit beantwoordt de ‘wie’- en ‘op welk punt’-vragen. Dit onderscheid is vooral belangrijk bij het overwegen van verschillende aspecten van soevereiniteit. Neem bijvoorbeeld de kwestie van de juridische autoriteit, waarbij we wetten als de Amerikaanse CLOUD Act en Sectie 702 van de Foreign Intelligence Surveillance Act (FISA) in ogenschouw nemen.
Beide wetten staan Amerikaanse rechtbanken en agentschappen toe om van bedrijven met hun hoofdkantoor in de VS te eisen dat ze toegang verlenen tot onderzoeksgerelateerde gegevens door middel van bevelschriften of andere processen, zelfs als ze in het buitenland zijn gevestigd.
In de praktijk betekent dit dat een bank, zorgaanbieder of overheidsdienst in Europa die afhankelijk is van een Amerikaanse cloudoperator mogelijk niet eenvoudig kan vaststellen of de gegevens van sommige van haar Europese klanten zijn verstrekt aan Amerikaanse wetshandhavings- of inlichtingendiensten, zelfs als de gegevens zich buiten de VS bevinden.
Voor organisaties die belast zijn met de verwerking van gevoelige informatie is een dergelijke blootstelling niet theoretisch. Dit is een echt compliance- en vertrouwensprobleem.
Echte soevereiniteit vereist daarom meer dan alleen lokale gastheren. Dit vereist dat de infrastructuur en jurisdictie worden afgestemd op de juridische omgeving van de klant.
Het vereist ook interoperabiliteit en draagbaarheid tussen cloudomgevingen, zodat organisaties kunnen kiezen waar en hoe workloads worden uitgevoerd zonder dat ze zich bij één enkele provider hoeven te houden.
Het vereist ook transparantie in de onderliggende technologie en toeleveringsketens, evenals het vermogen om risico’s te beheersen en keuzes te maken die de afhankelijkheid of concentratie verminderen.
De vragen blijven nog steeds bestaan
Dit is de reden waarom er nog steeds veel vragen zijn over overheidsaanbiedingen van wereldwijde hyperscalerbedrijven. Alle dienstverleners hebben initiatieven gelanceerd die de nadruk leggen op meer Europese controle of partnerschappen met lokale entiteiten.
Omdat het moederbedrijf echter onderworpen blijft aan de Amerikaanse wetgeving, blijven klanten zich zorgen maken over lacunes in de jurisdictie. Simpel gezegd: de unie van niet-soevereine stichtingen lost het probleem niet in alle gevallen volledig op.
Klanten kunnen grotere garanties krijgen met betrekking tot de locatie van data of operationele onafhankelijkheid, maar tenzij de operationele entiteit juridisch geïsoleerd is van buitenlandse rechtsgebieden en klanten de mogelijkheid biedt keuzes te maken, blijven soevereiniteitsclaims slechts gedeeltelijk.
Voor bedrijfskritische workloads, zoals workloads in de publieke sector, gereguleerde industrieën en AI-applicaties, brengt het vertrouwen op een door de VS gecontroleerde cloud operationele en compliancerisico’s met zich mee die niet volledig kunnen worden beperkt met alleen lokale hosting.
Waarom het nu uitmaakt
De snelheid van de marktgroei maakt duidelijkheid urgent. De omvang van de mondiale cloudmarkt zal naar verwachting groeien van 154,69 miljard dollar in 2025 naar 823,91 miljard dollar in 2032. Europa alleen controleert in 2024 ongeveer 37% van de wereldmarkt.
Deze groei weerspiegelt de toenemende vraag naar veilige en vertrouwde omgevingen, vooral in Europa, waar regelgevingskaders zoals DORA, GDPR en de Data Act de nadruk leggen op lokale controle, risicobeheer, transparantie van de toeleveringsketen en concentratierisico’s.
De Europese Unie heeft bijvoorbeeld van digitale soevereiniteit een strategische prioriteit gemaakt, terwijl landen als Duitsland en het Verenigd Koninkrijk kaders onderzoeken om ervoor te zorgen dat hun kritieke gegevens niet juridisch in het buitenland kunnen worden vervolgd. De reisrichting is duidelijk, de soevereiniteit moet worden gedefinieerd en gehandhaafd, en niet worden aangenomen.
Duidelijke normen en een sterker ecosysteem
Wat momenteel niet bestaat, is een consistent raamwerk dat definieert wat een soevereine cloud inhoudt.
EU-lidstaten hebben cloudcertificeringsprogramma’s opgezet, zoals C5 in Duitsland en SecNumCloud in Frankrijk, die soevereiniteitscriteria bevatten. DGIT, de IT-dienst van de Europese Commissie, heeft in de aanbestedingscontext belangrijke inspanningen geleverd om soevereiniteit te definiëren in de vorm van een schaal van eisen.
Hoewel al deze inspanningen welkom zijn, tonen ze de fragmentatie van de EU-markt aan. Klanten worden vaak overgelaten aan het navigeren door concurrerende claims en complexe technische taal zonder duidelijke vergelijkingsnormen.
Een werkelijk soevereine cloud moet garanderen dat gegevens uitsluitend binnen het rechtsgebied van de klant worden gecontroleerd, benaderd en beheerd.
Dit bereiken betekent niet dat we ons moeten terugtrekken uit de mondiale innovatie. Dit vereist het vermogen van lokale dienstverleners om zonder compromissen diensten te leveren die voldoen aan de soevereiniteitscriteria. Europese cloudserviceproviders zoals Redcentric en ANS zijn goed gepositioneerd om deze rol te vervullen.
Door te opereren onder lokale wettelijke en compliance-kaders en lokaal te investeren, kunnen ze organisaties volledige controle over hun data geven. In veel gevallen kan deze controle het beste worden gerealiseerd via een private cloud-omgeving, waar infrastructuur, governance en operationele autoriteit rechtstreeks kunnen worden afgestemd op de vereisten van de overheid.
Technologieleveranciers spelen een rol bij het ondersteunen van dit ecosysteem. Door een platform, infrastructuursoftware en interoperabiliteitskader aan te bieden, kunnen ze lokale aanbieders empoweren zonder zelf exploitant te hoeven worden.
Dit onderscheid is belangrijk. Dit vermijdt verwikkeling met buitenlandse jurisdicties en bevordert tegelijkertijd een omgeving waarin soevereiniteit opzettelijk wordt ingebed in plaats van simpelweg achteraf.
Een soevereine toekomst door ontwerp
Naarmate de markt evolueert, verschuift de focus van het bestaan van een soevereine cloud naar de vraag of deze werkelijk voldoet aan de behoeften van de klant. Lokale hosting- en nalevingsclaims moeten worden getoetst aan jurisdictiecontroles. Clouddiensten moeten vanaf het begin worden ontworpen om soevereiniteit te belichamen, met een bestuursstructuur die aansluit bij de gegevens die worden beschermd.
Uiteindelijk gaat het debat over de soevereine cloud over meer dan technologie. Dit weerspiegelt bredere vragen over vertrouwen, onafhankelijkheid, ontwikkeling van vaardigheden, economische groei, veerkracht en controle in de digitale economie. Voor zowel bedrijven als overheden zal het wegnemen van de hype van cruciaal belang zijn om ervoor te zorgen dat soevereiniteit echt is en geen retoriek.
We hebben de beste bescherming tegen identiteitsdiefstal aangeboden.
Dit artikel is gemaakt als onderdeel van TechRadarPro’s Expert Insights-kanaal, waar we de beste en slimste geesten in de technische industrie van vandaag onder de aandacht brengen. De hier geuite standpunten zijn die van de auteur en niet noodzakelijkerwijs die van TechRadarPro of Future plc. Als u geïnteresseerd bent om een bijdrage te leveren, kunt u hier meer informatie vinden: https://www.techradar.com/news/submit-your-story-to-techradar-pro
