Het nieuws dat Microsoft “datasoevereiniteit niet kan garanderen in de EU” zette me direct aan het denken. Niet vanwege de verrassing — die was er niet — maar omdat het precies het soort signaal is dat we in onze sector vaak pas serieus nemen als het te laat is.
Laten we eerlijk zijn: het feit dat een niet-Europese overheid mogelijk toegang heeft tot data die wij als “veilig in de cloud” beschouwen, is op zijn zachtst gezegd… ongemakkelijk. En tegelijk ook niet echt nieuw. Maar deze keer lijkt de storm van bezorgdheid wat langer aan te houden. Misschien omdat er nu echt iets op het spel staat.
Wetgeving in een geopolitiek vacuüm?
De AVG, NIS2, DORA — allemaal wetten met stevige eisen over dataveiligheid, transparantie en toegangscontrole. En dan komt daar ineens de Amerikaanse Cloud Act tussendoor fietsen, waarmee de VS in principe data kan opvragen van Amerikaanse leveranciers, waar die data zich ook fysiek bevindt.
Leuk voor de FBI. Minder leuk als jouw klantdata in diezelfde cloud zit, netjes opgeslagen in een Europees datacenter maar via een juridische omweg alsnog op een Amerikaans bureau belandt. Dan komt de vraag bovendrijven: welke wetgeving gaat er eigenlijk voor? En vooral: wat vinden de toezichthouders daarvan?
Ik ben benieuwd naar de eerste rechtszaken waarin dit werkelijk tot een conflict leidt. Wie trekt dan aan het langste eind? De Europese privacywaakhond of de Amerikaanse wetgever?
De olifant in de kamer: we hebben geen alternatief
En ja, we kunnen er een prachtige ethische discussie van maken, maar laten we vooral ook praktisch blijven: op dit moment is er geen volwaardig Europees alternatief dat dezelfde functionaliteit, schaal en integratie biedt als bijvoorbeeld Microsoft 365 met SharePoint, Teams en OneDrive. En nee, “gebruik dan maar Nextcloud” is geen serieus alternatief in een enterprise-omgeving.
Dus we zitten vast in een situatie waarin we bewust kiezen voor een leverancier die mogelijk niet voldoet aan onze eigen wetgeving. Niet omdat we dat willen, maar omdat we geen keuze hebben. Comfortabel? Nope. Realistisch? Helaas wel.
Een gemiste kans (en een wake-up call)
Het wrange is dat dit allemaal niet nieuw is. Europa had al jaren geleden kunnen beginnen aan een stevig cloud-initiatief. Maar zoals zo vaak: de waan van de dag regeert, projecten krijgen pas prioriteit als het écht niet anders kan, en dan moet het met stoom en kokend water. Geen recept voor kwaliteit.
Toch is dit misschien het moment om een serieuze inhaalslag te maken. Wat als publieke en private sectoren samen een Europees platform ontwikkelen dat voldoet aan onze wetgeving én compatibel is met bestaande oplossingen? Stel je voor: een Azure-achtig ecosysteem, maar dan met de regels en waarden van de EU als uitgangspunt.
Van zorgen naar actie: wat kunnen we doen?
Voor nu zou het al helpen als we een fallback-scenario ontwikkelen. Wat als een toezichthouder morgen zegt: “Die Amerikaanse cloud mag niet meer”? Hebben we een plan? Een migratiestrategie? Templates? Iets?
En misschien moeten we als sector niet wachten op Brussel, maar zelf het initiatief nemen. Bijvoorbeeld via het Verbond van Verzekeraars, in samenwerking met andere branches. Als meerdere sectoren hun krachten bundelen en gezamenlijk eisen formuleren, dan kun je serieus een markt op gang helpen.
Tot slot: een persoonlijke noot
Dit is mijn mening. Geen beleidsadvies, geen juridisch pamflet, gewoon mijn persoonlijke observatie als architect in een sector die steeds vaker met dit soort vraagstukken worstelt.
Wat denk jij? Moeten we wachten op een verplichte maatregel vanuit Europa? Of is dit hét moment om de regie te pakken? Ik hoor het graag — discussie aanmoedigen mag 😉
1 gedachte over “Cloud in Europa: tussen wens, wet en werkelijkheid”