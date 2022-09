Het datacenter van Google in de Eemshaven. Beeld ANP

Net toen we dachten dat we met een staatssecretaris voor Digitalisering écht meters gingen maken met het inrichten van een verantwoorde digitale samenleving op basis van publieke waarden, kwam de eerste tegenvaller. Overheidsinstanties, met uitzondering van Defensie, mogen voortaan hun data in de commerciële cloud van Amerikaanse bedrijven zetten. Tot nu toe mochten zij alleen eigen clouddiensten gebruiken.

Werken in de cloud is inmiddels veilig en vooral ook efficiënt en goedkoop, schrijft staatssecretaris Alexandra van Huffelen eind augustus in een brief aan de Tweede Kamer. De gedachte is dat zolang we goede afspraken met ze maken over privacy, we met onze overheidsdata goed zitten bij Microsoft, Google en Amazon.

Over de auteurs: José van Dijck is universiteitshoogleraar media en digitale samenleving aan de Universiteit Utrecht. Bart Jacobs is hoogleraar cybersecurity aan de Radboud Universiteit Nijmegen.

Zulk beleid is qua timing onvoorzichtig, vooral in het licht van twee relevante rapporten die juist afgelopen weken verschenen. Wat betreft de veiligheid van Nederlandse overheidsdata in de clouddiensten van ­Amerikaanse techbedrijven laat de recente memo van GreenbergTraurig aan ons Nationaal Cyber Security Centrum geen enkele ruimte voor twijfel. Onder de Cloud-Act (de Clarifying Lawful Overseas Use of Data Act uit 2018 die ook op Nederland van toepassing is) mogen je gegevens door de Amerikaanse overheid worden opgevraagd zonder dat jij of bijvoorbeeld je werkgever daarvan op de hoogte zijn.

Alleen daarom al kunnen Nederlandse overheden nooit aan de Algemene verordening gegevensbescherming (AVG) voldoen als ze privacygevoelige data bij Amerikaanse bedrijven in de cloud zetten.

Competitief en goedkoop

Er is nog een tweede rapport waaraan staatssecretaris Digitalisering Van Huffelen in haar Kamerbrief voorbijgaat. Deze memo is afkomstig van de Autoriteit Consument en Markt (ACM). De Marktstudie Clouddiensten die begin september uitkwam laat zien dat Amazon, Google en Microsoft deze markt nagenoeg volledig in handen hebben.

En hoewel hun clouddiensten op het eerste gezicht competitief en goedkoop lijken, waarschuwt de ACM dat overstappen van de ene naar de andere dienst moeilijk, zo niet onmogelijk is, tenzij de gebruiker bereid is daar flink voor te betalen. Betalen doe je namelijk vooral om je data er weer uit te halen, en dat zijn kosten die Nederlandse instellingen en overheden meestal niet incalculeren.

Bovendien, zo waarschuwt de ACM, wie eenmaal gevangen zit in de diensten van één Amerikaanse aanbieder, raakt steeds verder ingesponnen in dat dienstenweb. Gebrekkige interoperabiliteit en dataportabiliteit zijn de belangrijkste redenen waarom gebruikers van Big Tech-clouddiensten grote kans lopen op volledige afhankelijkheid, een zogenoemde vendor lock-in. De EU Data Act, die op dit moment in de maak is in Brussel, schiet vooralsnog tekort om technische en financiële overstapdrempels tussen clouddiensten te slechten, laat staan om open standaarden af te dwingen.

Gezamenlijke eisen

Alleen al deze twee rapporten maken van Van Huffelens aanmoediging van Nederlandse overheden om eigen servers in te ruilen voor Amerikaanse publieke clouddiensten, onbegrijpelijk. Haar optimisme dat je door stevig onderhandelen met Google, Microsoft en Amazon wel degelijk afspraken kunt maken over privacy, veiligheid en toegankelijkheid, getuigt van een merkwaardige naïviteit.

Als we de afgelopen jaren iets hebben geleerd, is het wel dat alleen afspraken over de waarborging van privacy onvoldoende zijn. Scholen, universiteiten en andere instellingen zijn overgestapt op clouddiensten en zijn daarbij hun autonomie kwijtgeraakt. De grote IT-spelers dwingen ieder het gebruik van hun eigen software steeds breder af en maken het gebruik van (open) alternatieven onmogelijk. Het versterken van de Europese digitale autonomie is een breed gedeelde wens die door deze brief wordt ondergraven.

Natuurlijk hebben overheden gezamenlijke inkoopmacht, maar die wordt zelden op een dwingende wijze ingezet. En zelfs als alle Nederlandse overheden harmonieus zouden samenwerken (nog nooit vertoond), zijn hun gezamenlijke eisen ten aanzien van privacy en veiligheid nog niet genoeg om een gelijk speelveld af te dwingen. Alleen EU-wetgeving heeft in die mondiale en geopolitieke markt echt invloed. En die regelgeving gaat traag, zoals we inmiddels weten.

Treuzelen

Door de Nederlandse overheidsdata nu toe te vertrouwen aan Amerikaanse conglomeraten, geven we niet alleen een cruciale schakel weg in onze digitale infrastructuur. We geven ook een verkeerd signaal af aan al onze overheidsinstellingen. We willen dat zij investeren in open standaarden, open data en open source.

Door clouddiensten te koppelen aan hun eigen digitale services op het gebied van machinelearning en kunstmatige intelligentie kunnen de grote spelers een onevenredig grote voorsprong nemen op toekomstige, datagedreven technologieën.

Dat de techbedrijven treuzelen met principes die de uitwisseling tussen digitale diensten en datastromen moeten faciliteren, is een veeg teken. Zolang die bereidheid bij Google, Microsoft en Amazon er niet is en zolang deze principes niet in Europese wetgeving zijn verankerd, zou de Nederlandse overheid de baas moeten willen blijven over haar eigen publieke data.

In plaats van naar buitenlandse partijen te rennen, zouden we ook kunnen inzetten op het ontwikkelen van een nationale (of Europese) cloudmarkt door aansluiting te zoeken bij nationale aanbieders, zoals Freedom.nl of bij Europese, zoals NextCloud. Bij de corona-apps is dat vanwege de gevoeligheid van de gegevens ook gedaan.

Wie eenmaal met zijn hoofd in de wolken loopt, komt er moeilijk meer uit. Daarom het dringende advies voorlopig met de voeten op de eigen grond te blijven.