Europa is veel te afhankelijk van Amerikaanse tech. Waar blijft het Nederlandse crisisteam dat onze eigen cloud optuigt?
Dat veel Europese overheden, ziekenhuizen en banken hun data op Amerikaanse servers opslaan, was nooit echt verstandig. Maar nu Donald Trump weer aan de knoppen draait in de Verenigde Staten is het extra gevaarlijk. Kan Amerika ons de toegang tot onze eigen data ontzeggen?
Je e-mails, je financiële transacties, binnenkort misschien zelfs je belastingaangifte:* steeds meer privégegevens van Nederlanders staan op de servers van Amerikaanse bedrijven.
En niet alleen gegevens van burgers, ook de data van Nederlandse bedrijven en overheidsorganisaties staan steeds vaker in die Amerikaanse cloud. Van de kantoorsoftware van de overheid tot de meteorologische gegevens van het KNMI en de administratie van banken.
Die ontwikkeling leidde de afgelopen jaren al tot zorgen over privacy, want het betekent vaak dat de Amerikaanse overheid onder bepaalde omstandigheden bij die gegevens kan. Maar sinds Donald Trump opnieuw president is, is daar nog een zorg bij gekomen: kan de VS ons de toegang tot onze eigen gegevens ontzeggen?
Hoe afhankelijk zijn we van de Amerikaanse cloud?
Dát veel Nederlandse partijen ervoor kiezen hun data op servers van Amerikaanse bedrijven op te slaan, is niet zo gek.
Organisaties werken namelijk vaak met een ingewikkelde IT-infrastructuur die van alles moet kunnen, van het inloggen door gebruikers tot het samen werken aan bestanden. En dat 24 uur per dag, 7 dagen per week.
Het laten werken van de servers waarop zo’n infrastructuur draait, is een vak apart. Je hebt daar mensen voor nodig die goed zijn in dingen als beveiliging, onderhoud en beschikbaarheid – en die mensen zijn duur en schaars. Het is daarom vaak aantrekkelijker om rekenkracht en opslagruimte af te nemen van bedrijven die zich daarin specialiseren: cloudaanbieders. En de bedrijven die daarin het beste zijn, zijn allemaal Amerikaans: Microsoft, Amazon en Google.
Uit een inventarisatie van de Rekenkamer blijkt dat de Nederlandse overheid in elk geval meer dan de helft van haar publieke clouddiensten bij deze techbedrijven inkoopt.* Bij bedrijven en organisaties – van ziekenhuizen* tot banken* – is het niet veel anders: ook die brengen steeds meer van hun systemen onder in de cloud, een markt die in de EU dan ook voor meer dan 90 procent in handen is van Amerikaanse techbedrijven.*
Europese privacyregelgeving stelt weliswaar strenge eisen aan het versturen van privégegevens naar landen buiten de Europese Unie, maar zolang de data op servers in de EU blijven, hoef je niet aan die strenge eisen te voldoen. Daarom bieden grote Amerikaanse bedrijven zoals Microsoft, Amazon en Google de mogelijkheid om gegevens op te slaan op hun Europese servers, een mogelijkheid waar bedrijven in de EU massaal gebruik van maakten.
Niet dat dat altijd vlekkeloos gaat. Soms blijkt dat de clouddiensten alsnog automatisch data naar de Verenigde Staten versturen. Dat was voor de Europese privacytoezichthouder bijvoorbeeld een belangrijke reden om op de rem te trappen toen de Europese Commissie overstapte naar de clouddienst van Microsoft.* En omdat de data worden beheerd door Amerikaanse techbedrijven, kan de Amerikaanse overheid die data in sommige gevallen – bijvoorbeeld in bepaalde strafzaken – alsnog opvragen, ook als de data in de EU opgeslagen zijn.*
Hoewel sommige IT-experts al jaren waarschuwen voor dit soort privacyrisico’s, waren bedrijven en overheden bereid die op de koop toe te nemen. De kans dat de Amerikaanse overheid geïnteresseerd is in je data is immers klein.
Geen toegang tot je eigen data
Maar sinds Trump weer president is van de Verenigde Staten, is er een nieuw risico dat álle Europeanen die de Amerikaanse clouddiensten gebruiken zich kunnen aantrekken. Namelijk: dat de toegang tot die diensten wordt uitgezet. Als dat gebeurt, kun je niet meer bij je data en je systemen.
Het verhaal van een Nederlandse bank met Russische banden is daar een voorbeeld van. Die bank, de Amsterdam Trade Bank (ATB), kreeg in 2022 Amerikaanse sancties opgelegd in verband met de Russische inval in Oekraïne. Een direct gevolg daarvan was dat Microsoft zijn clouddiensten aan ATB volledig stopzette.
Het probleem was dat de administratie van ATB was opgeslagen in de Microsoft-cloud, waardoor de bank dus niet meer bij zijn klantgegevens, e-mails en andere bestanden kon. De bank kon, met andere woorden, zijn werk niet meer goed doen. Op 22 april 2022 sprak de rechtbank het faillissement van ATB uit. Daarna wilde Microsoft zelfs de curator die het faillissement afwikkelde geen toegang geven tot de systemen van de bank – de rechtbank moest eraan te pas komen om Microsoft daartoe te dwingen.*
Nu denk je misschien: ATB had Russische banden, dus die sancties en de daaropvolgende maatregelen van Microsoft zijn niet zo gek. Een organisatie waarvoor dat niet geldt, hoeft zich daar toch geen zorgen over te maken?
Toch wel, laten de Amerikaanse sancties tegen het Internationaal Strafhof in Den Haag zien. Die werden afgelopen februari door Trump opgelegd, als reactie op de arrestatiebevelen die het Strafhof uitvaardigde tegen de Israëlische premier Benjamin Netanyahu en de voormalige Israëlische minister van Defensie Yoav Gallant.
Ook het Internationaal Strafhof is afhankelijk van Amerikaanse IT-systemen, en dus vreesde de organisatie dat Microsoft de stekker uit haar diensten zou trekken. Tot nu toe gebeurde dat gelukkig niet – de sancties zijn beperkter dan die tegen ATB – maar het is een maatregel die als een zwaard van Damocles boven de organisatie hangt.
Een fantastische troefkaart voor Trump
Moeten alle Europese overheden, bedrijven en organisaties nu vrezen voor Amerikaanse sancties? Niet direct. Maar het probleem is dat sinds het aantreden van Trump allerlei onderwerpen politiek gevoelig zijn geworden die dat eerder niet waren – de Amerikaanse steun aan Oekraïne is bijvoorbeeld niet meer vanzelfsprekend.
Die afhankelijkheid van de cloud kan zomaar de inzet van onderhandelingen worden, bijvoorbeeld over het verlagen van invoerrechten of de inkoop van gas uit de VS. Daarbij kan het stopzetten van de diensten van de grote techbedrijven een fantastische troefkaart zijn.
Het is zelfs zo’n stevige troefkaart dat je hem niet eens hoeft uit te spelen – je hoeft er alleen mee te dreigen.
Dat bleek onlangs naar aanleiding van een gerucht over satellietinternetaanbieder Starlink, een bedrijf dat in handen is van Elon Musk. Reuters schreef dat onderhandelaars voor de VS hadden gedreigd met het uitschakelen van Starlink voor heel Oekraïne als er geen grondstoffendeal werd gesloten – wat een enorme klap voor het Oekraïense leger zou zijn.* Musk ontkende dit snel daarna op X,* maar de boodschap zal vast zijn aangekomen.
Tijd voor een degelijke Europese cloud
De afgelopen weken hebben één ding duidelijk gemaakt: de Verenigde Staten zijn niet meer een vanzelfsprekende bondgenoot van de Europese Unie. En dat betekent dat ook het gebruik van clouddiensten van Amerikaanse bedrijven een stuk gevaarlijker is geworden. Je wilt simpelweg niet dat je land en economie grotendeels afhankelijk zijn van de goodwill van een paar Amerikaanse bedrijven.
Hopelijk is dat besef er nu ook bij de Nederlandse overheid. Waar het ministerie van Defensie vorig jaar bijvoorbeeld nog ‘vol inzette’ op het gebruik van de diensten van Microsoft, Amazon en Google,* krabt men zich nu hopelijk achter de oren vanwege die ongelooflijke naïviteit.
Het goede nieuws is dat negen ministeries onlangs hebben besloten om ‘vanwege het veranderende nationale en internationale speelveld’ documenten en data nog maar even in eigen datacenters te houden, in afwachting van nader beleid.* Het is wel de vraag wat dat nader beleid dan moet worden. Want een Europese cloud, die is er nog niet echt.
Er zijn wel Europese bedrijven die clouddiensten aanbieden, maar ze kunnen niet concurreren met de grote Amerikaanse bedrijven. Amerikaanse cloudaanbieders bieden allerlei diensten om hun klanten het leven makkelijker te maken, van administratie tot beveiliging, en Europese bedrijven kunnen daar nog niet aan tippen.
Het beste wat de EU nu dus kan doen, is investeren in het bouwen van die cloud. Cybersecurity-expert Bert Hubert verdient wat dat betreft een eervolle vermelding. Hij waarschuwt al jaren voor de Europese afhankelijkheid van Amerikaanse techbedrijven. Onlangs opperde hij daarom het idee een IT-systeem te bouwen dat volledig in Nederlandse handen is, en dat het mogelijk moet maken om met elkaar te communiceren, bijvoorbeeld via e-mail en chat.*
Een goed en belangrijk idee – in elk geval om mee te beginnen. Maar ook wel gek dat het moest komen van iemand die dat in zijn vrije tijd bedacht heeft. Waar blijft het Crisisteam Nederlandse Cloud-Infrastructuur van de Nederlandse overheid? Als dat nog niet is opgericht, dan stel ik voor om dat nu te doen.
De bermudadriehoek van talent
Simon van TeutemSimon van Teutem laat zien hoe idealisten tot hun eigen verbazing in de zakelijke advocatuur, consultancy en het bankwezen verdwijnen – en hoe het anders kan.
