Onder druk van Trump staan akkoorden over datatransfers tussen de Europese Unie en de Verenigde Staten nog maar eens onder druk. Digitale soevereiniteit lijkt zo niet langer een luxe, maar een noodzaak voor Europese bedrijven. Of is het een illusie?
De Oostenrijkse privacy-organisatie noyb verspreide begin dit jaar een opvallende waarschuwing. Noyb vreest dat onder het bewind van Donald Trump het dataprivacyframework tussen de Europese Unie en de Verenigde Staten op losse schroeven staat. Het wegvallen van dit framework kan grote gevolgen hebben: het gebruik van Amerikaanse clouddiensten zou dan ‘illegaal’ zijn volgens de letter van de Europese privacywetgeving. “Meer dan een handtekening van Trump is daar in principe niet voor nodig”, zegt Max Schrems tijdens Cybersec Europe in Brussel.
Hoewel het zover nog niet gekomen is, verandert de perceptie rond Amerikaanse technologiebedrijven breder in Europa. Dat heeft veel te maken met de vaak agressieve taal en werkwijze van de machthebbers uit Washington. Vanuit de politiek klinkt de oproep dat Europa onafhankelijker moet worden steeds luider en ook bedrijven denken na aan wie ze hun data kunnen toevertrouwen. De zoektocht naar digitale soevereiniteit barst los.
Schrems I, II en III?
Datatransfers tussen de Europese Unie en de Verenigde Staten worden geregeld via de TADPF (Transatlantic Data Privacy Framework), dat sinds de zomer van 2023 van kracht is. Het framework legt voorwaarden op voor Amerikaanse cloudproviders zoals Google, Microsoft en AWS voor het verwerken van persoonsgegevens van hun Europese klanten.
Het TADPF was van in het begin een broos compromis, of volgens de woorden van Schrems ‘een goocheltruc op papier’. Eerdere akkoorden tussen de EU en de VS overleefden het niet. Tot twee keer toe was Schrems de man die het akkoord ten val bracht. In 2015 werd het Safe Harbour-akkoord nietig verklaard en de Schrems II-rechtszaak uit 2020 betekende het einde voor het EU-VS ‘privacyschild’.
De fundamenteel verschillende visies die Europa en de Verenigde Staten rond data en privacy zijn moeilijk te verzoenen. Twee collectieve trauma’s uit het verleden bepalen die houding. In Europa is in de nasleep van de Holocaust het afschermen van persoonsgegevens een verworven recht, terwijl in de VS sinds 9/11 inmenging van de overheid in de persoonlijke sfeer aanvaardt wordt. Compromissen zoals TADPF zijn daarom per definitie gebouwd op een wankele basis.
lees ook
Waarom de EU en de VS data anders behandelen
“TADPF heeft dezelfde beperkingen als zijn voorlopers. Enkel het taalgebruik is een beetje duidelijker. De Verenigde Staten hebben een volledige nieuwe definitie van het begrip ‘proportionaliteit’ uitgewerkt om uit de verboden zone van de Europese wetgeving te blijven. Als Europees bedrijf zit je gevangen tussen privacy en surveillance”, zegt Schrems. Een Schrems III-rechtszaak lijkt slechts kwestie van tijd.
Nieuwe bazen, nieuwe regels
Donald Trump lijkt daar in ieder geval werk van te willen maken. De Amerikaanse president deinst er niet voor terug om te schoppen tegen schenen die hem niet aanstaan. Al in de eerste dagen van zijn tweede ambtstermijn hield hij schoon schip in het Privacy and Civil Liberties Oversight Board door alle Democratische magistraten buiten te gooien. Dit comité moet ervoor zorgen dat afspraken tussen de Europese Unie en de VS langs Amerikaanse zijde worden nageleefd.
Welke richting het zal uitgaan, is met Trump altijd moeilijk te zeggen. Tot dusver is het TADPF nog steeds van kracht, maar Schrems vreest dat de tanden van het controlerende orgaan eruit gemept zijn. Hierdoor dreigt het akkoord op de lange termijn onwerkbaar te worden en dat kan vergaande gevolgen hebben voor Europese bedrijven. Zonder juridisch akkoord zijn datastromen tussen Europese en Amerikaanse bedrijven onwettelijk en zou het gebruik van Amerikaanse clouddiensten ‘illegaal’ zijn in de EU.
“Alle beslissingen onder Biden kunnen met een simpele handtekening onder een Executive Order ongedaan worden gemaakt door Trump. In het geval van TADPF zou dit de volledige stack treffen: niet alleen cloudinfrastructuur, maar ook SaaS-diensten van bijvoorbeeld Salesforce en Meta. Het lijkt me niet waarschijnlijk dat het onmiddellijk gebeurt, maar het is niet ondenkbaar”, klinkt Schrems onheilspellend.
Europese bedrijven zitten gevangen tussen privacy en surveillance.
Max Schrems, noyb
Niet alleen noyb maakt zich zorgen. Beltug, de Belgische vereniging van CIO’s en leiders in digitale technologie, roept Belgische bedrijven op niet te wachten tot het zo ver komt. “Compliance is de eerste van onze elf ‘eerlijke principes’ voor de cloudindustrie, maar het wordt niet altijd gerespecteerd omdat de wetgeving onvoldoende duidelijk is”, zegt Danielle Jacobs, CEO van Beltug.
“Soevereiniteit is geen nieuw thema, maar het komt nu meer aan de oppervlakte. Data worden steeds waardevoller. Bijna heel de manier van werken van organisaties zit tegenwoordig in de cloud en bedrijven hebben niet altijd on-prem of lokale alternatieven. De opkomst van Trump verhoogt de onzekerheid bij bedrijven of ze nog voldoen aan regelgeving of zelfs angst dat hun data niet meer veilig zijn. Dit gaat veel breder dan de persoonsgegevens: voor bedrijven zijn een groot deel van hun data erg gevoelig.”.
Europese cloud met Amerikaans tintje
De cloudindustrie wordt grotendeels gedomineerd door drie Amerikaanse spelers: Microsoft, Google en AWS. De hyperscalers zijn niet blind voor wat er in de Europese markt gebeurt. Zij zien in de vraag naar digitale soevereiniteit een commerciële opportuniteit. Met lokale datacenters en cloudregio’s worden Europese bedrijven gepaaid met beloftes dat hun data op Europese bodem blijven. Wie nog een stapje verder wil gaan, kan intekenen op soevereine clouddiensten van de providers.
De lokale aanwezigheid wordt in de huidige context extra in de verf gezet. “Onze soevereine cloud wordt volledig gebouwd in en voor Europa”, horen we van Danielle Gorlick, General Manager voor AWS in de Benelux, tijdens een bijeenkomst van de cloudreus in Amsterdam. Microsoft, dat op het punt staat een Belgische cloudregio te openen, hernieuwde recent nog zijn geloften voor de Europese Unie en Google zal graag benadrukken dat het vijftien jaar geleden al zijn eerste datacenters neerpootte op Europese bodem.
lees ook
Microsoft belooft meer data, beveiliging en controle voor Europa
Combell, een Belgische provider van webhosting- en clouddiensten, neemt dergelijke beweringen met een korreltje zout. “Gegevens van Europese klanten kunnen onderhevig zijn aan Amerikaanse wetgeving die conflicteren met de GDPR. De onzekerheid die dat met zich meebrengt, zet Europese bedrijven ertoe aan om kritischer te kijken naar waar hun data zich bevinden en onder welke wetgeving ze vallen. Lokale spelers kunnen naleving van de Europese wetgeving garanderen”, zegt Combell in een statement aan de redactie.
Ook Jacobs kijkt kritisch naar clouddiensten die als ‘soeverein’ gepromoot worden. Volgens haar is het belangrijk om te kijken naar welke rol de lokale partner in het aanbod krijgt. “De term is flou. Het is niet voldoende dat data gewoon in de EU blijven. Ook als je Europees bedrijf bent, kan de Amerikaanse overheid gegevens opvragen als je klant bij een Amerikaanse provider. Wees kritisch en vraag wie de encryptiesleutels bezit, om zeker te zijn dat je data niet opgevraagd kunnen worden”.
Vast in de kooi
De vraag is maar of de Europese IT-industrie wel zonder Amerikaanse technologie verder kan. EuroStack, een initiatief voor meer soevereiniteit in Europa, trekt in een rapport aan de alarmbel. De ‘grote’ drie Microsoft, Google en AWS vertegenwoordigen bijna zeventig procent van de Europese cloudmarkt. Daarachter komen IBM, Oracle en providers uit China.
Dit gevoel wordt ook uitgesproken door Vlaams minister-president Matthias Diependaele (N-VA) tijdens zijn openingswoord op Cybersec: “Europa moet dringend nadenken over de strategische afhankelijkheid van enkele technologische spelers”. Wie hij met die ‘enkele spelers’ bedoelt, kan je wellicht zelf invullen.
De term ‘soevereiniteit’ is flou. Wees kritisch voor je provider en vraag wie de sleutels bezit.
Danielle Jacobs, CEO Beltug
Afhankelijkheid van een provider heeft vaak een versterkend effect. Cloudecosystemen zijn zodanig opgebouwd dat eens je erin zit, je er niet zomaar meer uitgeraakt: in vaktermen ‘vendor lock-in’ genoemd.
“Bij hyperscalers zit alles slim geïntegreerd. Dit maakt je snel heel afhankelijk en de kosten zijn moeilijk te voorspellen omdat prijzen eenzijdig kunnen gewijzigd worden. Maar omdat alles in je IT-omgeving met elkaar moet kunnen spreken, zijn bedrijven niet geneigd snel te veranderen. Alternatieve providers kunnen maar een deel ervan bieden. De overstap vraagt moed omdat je je eieren in meerdere manden legt”, zegt Jacobs.
“Zodra een bedrijf diep integreert met specifieke technologieën of diensten binnen een gesloten ecosysteem, wordt het technisch en financieel complex om te migreren.
Daarom is het essentieel om van bij de start te kiezen voor open, standaardgebaseerde technologieën die flexibiliteit garanderen, zoals Kubernetes. Zo behoud je de mogelijkheid om te schakelen”, zegt Combell.
Data Act: een reddingslijn?
Herken je je in deze situatie, dan is die niet zo uitzichtloos als je zou denken. De Europese Data Act die in september van kracht gaat, is volgens Jacobs een belangrijke stap om vendor lock-in af te bouwen. De wetgeving verplicht aanbieders van clouddiensten om een uitstap binnen de dertig dagen mogelijk te maken zonder daar overmatige kosten voor aan te rekenen. Kan de provider een goede reden geven dat dit niet binnen dertig dagen mogelijk is, dan is er een maximumlimiet van zes maanden.
lees ook
Beltug: ‘Data Act brengt een beetje evenwicht tussen cloudproviders en zakelijke klanten’
“Je data terugkrijgen kan veel geld en tijd kosten. Slechts vijf procent van cloudcontracten bezit vandaag over een ‘exitclausule’. De Data Act maakt een overstap of uitstap goedkoper door kosten die worden aangerekend om data terug te geven, af te schaffen. Bedrijven krijgen zo terug meer controle over hun data. Het is een stap in de goede richting, maar er moeten dan wel alternatieven zijn”, zegt Jacobs. Legt de Data Act de weg naar digitale onafhankelijkheid open?