/dc-useruploads-images/f952387894ca476e91d1e248fe2b6eac.png)
Het komt niet vaak voor dat de Europese Commissie zo’n hard pak slaag krijgt als afgelopen 11 maart. Toen oordeelde de Europese Toezichthouder voor gegevensbescherming (EDPS) dat de Commissie de eigen Europese privacywet had overtreden.
De reden? Microsoft. Om precies te zijn: Microsofts cloud.
Want de 32.000 ambtenaren van de Commissie gebruiken sinds een paar jaar Microsoft 365, Microsofts online kantoorsoftware. Denk: e-mail, agenda’s, documenten en videobellen. De Europese Commissie had onvoldoende uitgesloten dat Microsoft gegevens over hóé ambtenaren de dienst gebruiken naar de Verenigde Staten stuurde – waar de Amerikaanse overheid er toegang toe kon krijgen. En dat is in strijd met de privacywet.
Een stevige conclusie. Maar de opdracht van de toezichthouder aan de Europese Commissie is nog steviger: vanaf 9 december 2024 moet de Commissie zorgen dat er geen persoonsgegevens meer via Microsoft stromen naar landen buiten de EU die onvoldoende privacybescherming bieden. Zoals de VS.
Dat is nogal een uitdaging. Want de Europese Commissie zit inmiddels vol in die Microsoft-cloud en daar bepaalt Microsoft, niet de Europese Commissie, welke gegevens wel of niet naar buiten de EU gaan. Met andere woorden: de Europese Commissie is afhankelijk van de goede wil van Microsoft om aan de opdracht van de eigen toezichthouder te kunnen voldoen.
Het legt een pijnlijke ironie bloot.
Want sinds een jaar of vijf is het een van de topprioriteiten van diezelfde Europese Commissie om Europa minder afhankelijk te maken van buitenlandse technologie, en dan vooral die uit de Verenigde Staten en China. ‘Technologische’ of ‘digitale soevereiniteit’ heet dat met een chique term, en dat gaat niet alleen over clouds, maar ook over chips, zonnepanelen en batterijen voor elektrische auto’s. Volgens Commissievoorzitter Ursula von der Leyen is het de voorwaarde voor Europa om zijn ‘eigen keuzes te maken, gebaseerd op zijn eigen waarden, indachtig zijn eigen regels’.
Dat blijkt zo makkelijk nog niet, je eigen keuzes maken. Want in diezelfde afgelopen vijf jaar sloot de Europese Commissie contracten met Microsoft, Oracle en Amazon – allemaal Amerikaanse bedrijven. En omdat de Europese Commissie onderhandelt namens alle Europese instituties (zoals het Europees Parlement) gaat het dan al snel over tientallen of misschien wel honderden miljoenen euro’s.
Waarom doet de Commissie ondanks de grote woorden over ‘soevereiniteit’ toch zaken met die buiten-Europese techreuzen? De meestgehoorde reden is dat er geen serieuze Europese alternatieven zijn en het daarom onvermijdelijk is om met die Amerikaanse techbedrijven in zee te gaan.
In 2018 zei de Europese Commissie ‘geen andere keuze te hebben’ dan Microsoft. Onderzoeksinstituut Clingendael deed onderzoek naar de cloud voor de Nederlandse geheime diensten en concludeerde hetzelfde. En als zelfs de burgemeester en wethouders van Almere zeggen dat er ‘geen realistisch Europees alternatief voor clouddiensten’ is, dan moet dat wel kloppen.
Toch?
Er is niet zoiets als ‘dé cloud’
Om die vraag te beantwoorden, is het goed om dieper te duiken in de ‘cloud’.
Tussen aanhalingstekens, want er ís niet zoiets als de cloud – als mensen het over ‘de cloud’ hebben, dan gaat het over het fenomeen dat het grootste deel van alle digitale activiteiten – de rekenkracht, opslagruimte en software die mensen en organisaties gebruiken – zich bevindt op computers in een datacentrum, niet op de laptop op je bureau.
Die ‘cloud’ bestaat grofweg uit drie lagen. Allereerst heb je de computers in datacenters nodig – het ‘metaal’, in IT’er-jargon. Dan heb je de software nodig waarmee de servers aan elkaar worden geknoopt, zodat ze allemaal samenwerken als één grote computer. En daarbovenop kan je dan diensten aanbieden aan gebruikers – diensten die heel verschillend kunnen zijn, van kantoorsoftware tot sociale media, van salarisadministratie tot het streamen van muziek of films.
Als je als organisatie van de ‘cloud’ gebruik wil maken, sta je voor een belangrijke keuze: hoeveel wil je zelf doen, en hoeveel wil je uitbesteden aan anderen? Je kan er bijvoorbeeld voor kiezen om alleen de servers te huren. De rest moet je dan zelf installeren en beheren. Of je kan er juist voor kiezen om alles te laten regelen door iemand anders.
Hoe minder je uitbesteedt aan anderen, hoe meer controle je hebt. Ga maar na. Als je zelf de datacentra selecteert, dan kan je ervoor kiezen om alleen servers in Nederland te gebruiken. Als je zelf de servers beheert, kan je die zo instellen als je zelf wilt. En als je zelf het platform en verschillende diensten installeert, dan kan je software met aantrekkelijke licentievoorwaarden installeren, zodat je de code mag bestuderen en aanpassen.
Afhankelijk van de laag waar je naar kijkt, kom je verschillende aanbieders tegen. In de bovenste laag, de softwarelaag, zitten de diensten die jij en ik gebruiken: denk aan Gmail, aan Dropbox, waarmee je bestanden kan delen, of aan DeepL, waarmee je documenten kan vertalen. Op de laag waar de computers aan elkaar geknoopt worden kan je gebruikmaken van opensourcepakketten, zoals OpenStack of Apache CloudStack, of van software van cloudaanbieders zoals Amazon en Google. En dan heb je nog de laag van de hardware, waar de servers draaien: hier heb je een enorme diversiteit aan grotere en kleinere datacentra.
Slechts een paar bedrijven doen álles: zij worden hyperscalers genoemd, omdat ze, tja, nogal hyper kunnen opschalen. Amazon, Microsoft en Google zijn de grootste hyperscalers ter wereld, gevolgd door Oracle en IBM. Ze bieden een zeer uitgebreide menukaart van diensten aan, diensten die alle drie de lagen beslaan.
Deze hyperscalers hebben zo ongeveer de hele Europese markt in handen: 95 procent. En ze komen dus allemaal uit de Verenigde Staten.
Op zoek naar alternatieve kantoorsoftware die gemaakt is in Europa
En de Europese Commissie maakt gebruik van drie van die hyperscalers: Microsoft, Oracle en Amazon. Dat druist allemaal behoorlijk in tegen de soevereiniteitswensen van de Commissie. Bestaan er dan geen alternatieven?
De EDPS – de toezichthouder die de EC dat pak slaag gaf – denkt van wel. Ze experimenteert zelf met Nextcloud, alternatieve kantoorsoftware die gemaakt is in Europa, te installeren op een server naar keuze. Op het oog werkt die net zoals Microsoft: je kan ermee e-mailen, videobellen, bestanden opslaan, samenwerken aan documenten en je agenda bijhouden. Kortom: wat de meeste mensen doen als ze voor hun werk achter een computer zitten.
Maar wat Nextcloud radicaal anders maakt, is dat het open source is – dat wil zeggen dat iedereen de softwarecode kan downloaden, inzien, aanpassen en weer verspreiden.
Het argument ‘er zijn geen Europese cloud-alternatieven’ gaat dus niet op
Doordat Nextcloud open source is, geeft het de gebruiker vrijheid. Je kan zelf beslissen of je de software draait op je eigen servers óf op de servers van anderen, in Europa of in de Verenigde Staten. Het is ook makkelijker om de werking van de software te controleren. Zo kan je er zekerder van zijn dat vertrouwelijke gegevens niet worden weggesluisd – precies het punt waar het onderzoek van de EDPS over ging.
En niet alleen kan je de software bestuderen; je kan de software vervolgens ook aanpassen. Dat biedt weer een belangrijke bescherming tegen lock-in, een strategie waarbij een bedrijf probeert om het zo moeilijk mogelijk te maken om naar een concurrent over te stappen, en waar techbedrijven als Microsoft zeer bedreven in zijn. Stel dat de organisatie achter Nextcloud de software zou aanpassen, zodat de documenten die je erin hebt opgeslagen niet meer naar een ander systeem kunnen worden overgeplaatst, dan kan je de code op je eigen server eenvoudigweg aanpassen.
Maar met kantoorsoftware alleen ben je er nog niet. Je hebt ook de computers nodig – het metaal – en de software die deze computers aan elkaar knoopt. Ook daarvoor bestaan in Europa alternatieven – zo heb je bijvoorbeeld het Franse OVHcloud en het Duitse ‘Open Telekom Cloud’ (opgericht door Deutsche Telekom) die hele serverparken aanbieden.
Het argument ‘er zijn geen Europese cloud-alternatieven’ gaat dus niet op. De vraag is waarom de Europese Commissie, net als meer dan 95 procent van alle Europese organisaties, toch voor die hyperscalers kiest? En wat is er nodig om soevereiner te worden in de cloud?
We spraken erover met vier cloudkenners: een academicus, een opensourceondernemer, een financier van een ander internet en een spreekbuis van de Nederlandse digitale industrie.
De wens van digitale soevereiniteit: veel geschreeuw, weinig wol
‘Het idee dat er geen Europese alternatieven bestaan voor de grote clouds is hardnekkig’, zegt Frank Karlitschek, de oprichter en CEO van Nextcloud. ‘Maar het klopt niet.’
Nextcloud heeft een omzet van 18 miljoen euro en er werken zo’n honderd mensen. Het is een kleine speler. Maar wel een met een aantal high profile-klanten, zoals de ITZBund, de IT-leverancier van de Duitse overheid, enkele onderdelen van het Duitse leger, een paar ministeries in Frankrijk en de Italiaanse luchtmacht.
‘Voor die partijen is “soevereiniteit” geen theoretisch begrip maar noodzaak’, vertelt Karlitschek via Nextcloud Talk − een soort Zoom of Teams, maar dan van Nextcloud (en het werkt uitstekend).
Karlitschek bedoelt maar: als het echt moet, dan gebeurt het.
‘Het vreemde is dat Europa geweldige dingen doet, maar het zelf niet doorheeft’
De Duitser vertelt dat hij in Duitsland hetzelfde ziet gebeuren als in Brussel: politici belijden de wens van digitale soevereiniteit vooral met de mond. ‘Alle politieke partijen zeiden bij de laatste Duitse verkiezingen in 2021 dat zij open source zeer belangrijk vonden. Uiteindelijk gaat er een paar miljoen naartoe. Terwijl de overheid cloudcontracten heeft met Oracle en Microsoft ter waarde van 13 miljard euro.’
De verklaring is dan vaak: we kunnen niet anders. Maar het kan wel anders, zegt Karlitschek, alleen laat die boodschap zich volgens de ondernemer maar moeilijk verspreiden.
‘Het vreemde is dat Europa geweldige dingen doet, maar het zelf niet doorheeft’, zegt Michiel Leenaars van NLnet, een stichting die met onder andere Europees geld opensourceprojecten financiert. Volgens Leenaars – die zijn stichting ‘de bankier van het verzet’ noemt – zijn er allerlei Europese alternatieven die ook nog eens veelal met Europese subsidies tot stand zijn gekomen. ‘Het is echt onzin dat er geen andere keuzes gemaakt kunnen worden.’
Ook onzin volgens Leenaars: het idee dat overheidsdiensten en -instellingen niet zonder de brede waaier aan diensten van de hyperscalers kunnen. ‘De meeste hebben helemaal geen fancy dingen nodig’, zegt hij. ‘Het gaat dan om vrij simpele dataopslag en serverruimte en dat bieden heel veel Europese partijen ook aan. Ja, bij Amazon en Oracle kan dat óók, maar wat die nog meer aanbieden is vaak helemaal niet relevant voor overheden.’
Leenaars vergelijkt het met de aankoop van een onderbroek. ‘Het is alsof je te horen krijgt dat je je onderbroeken absoluut bij de Bijenkorf moet kopen en niet op die markt waar je al veertig jaar je onderbroeken koopt. En dan loop je de Bijenkorf binnen en is het natuurlijk superindrukwekkend wat je daar allemaal nog meer kunt kopen, maar uiteindelijk kom je toch gewoon voor een onderbroek.’
Onderzoeker Mathieu Paapst van de Rijksuniversiteit Groningen sluit zich aan bij die kritiek: het is volgens hem niet onvermijdelijk om voor Microsoft of Oracle te kiezen. ‘Dat lijkt mij vooral een soort rookgordijn om te verhullen dat ook de IT-afdeling van de Europese Commissie het liefste “ontzorgd” wil worden en daarom producten en diensten die goed samen te gebruiken zijn aanschaft bij één grote partij.’ Volgens de universitair docent ICT en Recht kunnen overheden, als ze willen, alternatieven vinden. ‘Natuurlijk zijn veel functionaliteiten ook gewoon beschikbaar bij kleinere spelers, ook in Europa.’
Is het slechts een marketingprobleem?
Toch is het te simpel om te stellen dat Europese alternatieven slechts een marketingprobleem hebben. Hyperscalers hebben voor organisaties ook veel voordelen. Techondernemer Bert Hubert vergelijkt ze in een artikel met IKEA: (bijna) alles wat je zoekt kun je er vinden, de kwaliteit is prima tot goed, de prijzen lopen van zeer goed betaalbaar tot een beetje duur. ‘Mensen gaan naar de IKEA omdat ze weten dat ze daar hoogstwaarschijnlijk alles zullen vinden wat ze nodig hebben. En waarschijnlijk méér dan dat.’
Dit geldt dus ook voor veel klanten van clouddiensten: waarom moeilijk doen als het makkelijk kan? Als je clouddiensten nodig hebt uit alle lagen – zoals veel grote organisaties – waarom zou je die bij drie verschillende partijen afnemen, als je ze ook bij één aanbieder kunt halen? Onderzoek van de Autoriteit Consument & Markt naar de motivaties van organisaties om de diensten van hyperscalers af te nemen, laat hetzelfde beeld zien: veel chief information officers – zeg maar de directeur die bij een bedrijf gaat over de IT – willen graag een alles-in-eenoplossing.
En daarbij gaat het niet alleen om de diensten en producten van hyperscalers, zegt Michiel Steltman. Volgens de spreekbuis van de Nederlandse digitale-infrastructuurindustrie bestaan er op het gebied van functionaliteiten inderdaad prima alternatieven voor de hyperscalers. Maar het totaalpakket is om meer redenen dan alleen het ‘IKEA-gevoel’ aantrekkelijk. De hyperscalers bieden ook diensten voor het beheer, de administratie en de beveiliging van de cloud, zegt Steltman.
Dan gaat het bijvoorbeeld over het voldoen aan wet- en regelgeving. ‘Voor veel internationaal opererende organisaties is dat snoepwinkel-idee zeer relevant, want je weet dan dat je wettelijk in heel veel landen gedekt bent, omdat “jouw” hyperscaler de juiste certificering heeft.’ Dit geldt ook voor het financiële overzicht en het managen van de clouddiensten die je afneemt, zegt Steltman. ‘Dat is voor zo ongeveer iedereen relevant, voor kleine en grote partijen, publiek en privaat.’
Hoe je wél aan de soevereiniteitswens kan voldoen: vier suggesties
Het roept de vraag op: wat te doen? De huidige geopolitieke turbulentie zal Europa’s onafhankelijkheidswens alleen maar versterken. Niet gek dus, dat verschillende politieke partijen pleiten voor meer digitale soevereiniteit in hun Europese verkiezingsprogramma’s. GroenLinks-PvdA wil graag dat de EU ‘grootschalig’ gaat investeren in ‘onze eigen digitale infrastructuren’, zodat we ‘zo snel mogelijk digitaal autonoom’ worden. De VVD is voorstander van ‘het ontwikkelen en implementeren van clouddiensten en standaarden binnen de EU’. En ook NSC vindt dat er ‘Europese alternatieven’ moeten komen.
Maar hoe dan? Vier suggesties:
1. De EC moet eigen marktmacht inzetten
Michiel Steltman, de woordvoerder van de Nederlandse industrie, vindt dat overheden ‘soevereiniteit moeten verkiezen boven gemak’. Met andere woorden: als de Europese Commissie en de Nederlandse overheid soevereiniteit zo belangrijk vinden, dan zouden ze andere keuzes moeten maken vóór Europese alternatieven. ‘Overheden hebben een formidabele markt- en inkoopmacht’, zegt Steltman. ‘Het wordt natuurlijk niks met die soevereiniteit als ze bij de hyperscalers blijven afnemen.’
2. Investeren in Europese kantoorsoftware
‘Als ik Europees minister van ICT zou zijn’, zegt Michiel Leenaars, de verzetsbankier van NLnet, ‘dan zou ik tientallen miljoenen investeren in Europese alternatieven voor Microsoft 365.’ Want ze bestaan wel, alternatieven zoals Nextcloud, maar ze werken nog niet allemaal zo soepel als de diensten van de hyperscalers. Die alternatieven, zegt Leenaars, hebben vaak een solide technische basis, maar moeten volgens de financier nog wat gepolijst worden. ‘Gebruikers hebben vaak ingesleten gewoontes, en om alternatieven laagdrempelig te maken moet je daarop kunnen inspelen.’
3. Anders aanbesteden
Daarnaast zouden de aanbestedingsregels moeten worden aangepast, meent industriespreekbuis Steltman. Europese instellingen moeten voor grote ICT-projecten een zogenoemde tender uitschrijven, waar partijen zich op kunnen inschrijven. Op dit moment staan in die tenders nog geen voorwaarden die de Europese ‘soevereiniteit’ stimuleren. Sterker: de voorwaarden die gesteld worden, spelen de hyperscalers vaak in de kaart.
Volgens jurist Mathieu Paapst zou alleen al het naleven van de bestaande aanbestedingsregels een zeer grote stap zijn richting soevereiniteit. Op dit moment, zegt hij, worden opdrachten vaak samengevoegd tot één aanbesteding, wordt er vaak een voorkeur uitgesproken voor bij naam genoemde leveranciers en producten en worden er barrières opgeworpen voor opensourceleveranciers. Dat is eigenlijk niet de bedoeling. En als dat verandert, dan zullen ‘kleine Europese partijen ook in staat zijn om zich met alternatieven in te kunnen schrijven’.
4. Samenwerken
Die Europese alternatieven zouden beter kunnen samenwerken. Het aanbod is nu versnipperd en onsamenhangend. Er zou een soort catalogus van alle Europese (cloud)diensten moeten komen, met daarbij gebundelde oplossingen. Michiel Steltman spreekt de industrie aan: ‘Zorg dat je samen een aanbod van diensten hebt dat serieus te vergelijken is met de hyperscalers.’ Dit sluit aan bij het advies van Instituut Clingendael, dat pleit voor een ‘alles-in-eenpakket’ – met onder meer opslag, databases, veiligheid en softwareontwikkelingsinstrumenten – als alternatief. En: ‘Alleen door samen te werken kunnen Nederlandse en andere Europese cloudbedrijven komen tot zo’n Europese “Bijenkorf Cloud Megascaler”.’
De cloudkenners zijn niet onverdeeld enthousiast over Gaia-X, een Europees initiatief dat zo’n Bijenkorf-achtige samenwerking zou moeten zijn. Volgens Nextcloud-baas Frank Karlitschek – die erbij betrokken was – heeft dit project om twee redenen geen toekomst. Eén: de Amerikaanse hyperscalers mochten eraan meedoen en deden dat ook. En twee: Europese politici verloren algauw hun interesse.
Uiteindelijk is de vraag niet zozeer óf er alternatieven bestaan, maar vooral of je er genoeg in gelooft om erin te investeren. Laat de verkiezingen ook dáárover gaan.
Dit verhaal heb je gratis gelezen, maar het maken van dit verhaal kost tijd en geld. Steun ons en maak meer verhalen mogelijk voorbij de waan van de dag.
Al vanaf het begin worden we gefinancierd door onze leden en zijn we volledig advertentievrij en onafhankelijk. We maken diepgravende, verbindende en optimistische verhalen die inzicht geven in hoe de wereld werkt. Zodat je niet alleen begrijpt wat er gebeurt, maar ook waarom het gebeurt.
Juist nu in tijden van toenemende onzekerheid en wantrouwen is er grote behoefte aan verhalen die voorbij de waan van de dag gaan. Verhalen die verdieping en verbinding brengen. Verhalen niet gericht op het sensationele, maar op het fundamentele. Dankzij onze leden kunnen wij verhalen blijven maken voor zoveel mogelijk mensen. Word ook lid!
Je bent niet ingelogd. Log in om andere verhalen te lezen, verhalen op te slaan, bijdragen te lezen en plaatsen, correspondenten te volgen en meer.
Meer lezen?
Hoe kun je apparaten vertrouwen die je niet eens een béétje snapt? Deze hacker bouwt een radicaal open systeem
Raken we door kunstmatige intelligentie allemaal onze baan kwijt?
