Het gebruik van de publieke cloud is tegenwoordig een standaardingrediënt bij de digitale transformatie. Wie de cloud als commodity beschouwt, moet zich opnieuw buigen over de risico’s en afhankelijkheden die zich afspelen op het vlak van intellectueel eigendom, bedrijfscontinuïteit en control. Cloudsoevereiniteit krijgt geleidelijk steeds meer aandacht in de boardroom.

De publieke cloud wordt gedomineerd door de drie hyperscalers Amazon Web Services, Microsoft Azure en Google Cloud. Het zijn alle drie Amerikaanse bedrijven, waardoor voor Europese afnemers verordeningen zoals de General Data Protection Regulation (GDPR) gelden voor de verwerking van persoonsgegevens. De GDPR appelleert aan de meest bekende datavraagstukken: waar is data opgeslagen, hoe lopen datastromen, wie hebben toegang tot data en wie heeft controle? Maar minder bekende vraag stukken rondom cloud gebruik zijn vragen als: hoe zijn data opgebouwd, in hoeverre is data-portabiliteit gewaarborgd en wat is het risico van een data lock-in? Deze laatste vragen hebben betrekking op wat je zou kunnen betitelen als cloud­soevereiniteit.

Het gebruik van clouddiensten raakt ook technische en operationele waarborgen. Wie clouddiensten afneemt, moet rekening houden met eenzijdige SLA’s – denk aan de inzet van Google Business Messages dat maar een minuscuul voorbeeld is in de enorme markt van clouddiensten. Wie Google Business Messages gebruikt, heeft géén zeggenschap over de functionaliteit, continuïteit of beschikbaarheid, maar wordt wel geacht binnen 24 uur te reageren op inkomende berichten van klanten die gebruikmaken van het contactkanaal. Doe je dat niet, dan kan Google de functio­naliteit stopzetten. Cloudsoevereiniteit – eenvoudig gezegd ​‘baas in eigen cloud’ – gaat om privacy, security, bedrijfscontinuï­teit en concurrentievermogen.

Knellende en eenzijdige regels 

Niet zozeer de opslag maar het gebruik van data – ontsluiting en uitwisselbaarheid – vormt de echte uitdaging. Om de data­stromen in de cloud soepel te laten verlopen, heb je opslag, connectiviteit en duidelijke spelregels nodig. Daarbij zijn het vooral de spelregels rondom de cloud­diensten die steeds meer gaan knellen. Want terwijl de economische betekenis van data toeneemt, hebben Europese organisaties nog geen volledige controle over de opslag en verwerking van data als ze gebruik maken van niet-­Europese infra­structuren. Evenmin zijn Europese bedrij­ven in staat om onafhankelijk te bepalen wie toegang mag hebben tot die data. 

Deze scheefgroei was voor de Franse en Duitse overheid samen de aanleiding om Gaia­X te lanceren, primair een Europees model voor cloud governance. Gaia­X is dus geen nieuwe ​‘Europese cloud’ – zoals soms wel wordt gedacht – maar een set afspraken die cloudaanbieders wereldwijd kaders moet bieden voor hoe Europese klanten graag klant zouden willen blijven: afspraken en voorzieningen die de uitwis­selbaarheid van data faciliteren (zoals ​‘federated containers’). Gaia‑X kan worden gezien als een eerste brede poging om te streven naar cloudsoevereiniteit, dat wat Giarte betreft over drie facetten van cloud gaat: data, technologie en economische waarde. We lichten ze hier kort toe. 

1. Soevereiniteit van data. 

Dit is in juridische zin de controle over de toegang, verwerking en bescherming van privacygevoelige en/​of (missiekritische) data. We leven in een data­economie waar­van grote delen stilvallen wanneer we niet meer kunnen beschikken over toegang tot data of te maken krijgen met verlies van data. Dat kan technische of juridische oorzaken hebben, maar het effect kan vergelijkbaar zijn. Herstel kost tijd en geld. De recovery point objective (RPO) en de recovery time objective (RTO) – termen uit de disaster recovery business – verwijzen naar de maximaal toelaatbare hoeveelheid dataverlies na een computercrash. De kunst is om vooraf het omzetverlies van een crash te kunnen kwantificeren als onderdeel van je risicobeheersingsbeleid. Hetzelfde geldt voor datadiefstal of het verlies van toegang tot data door een juridisch geschil.

Technische defecten zijn van een andere orde dan cybercriminaliteit of juridische conflicten waarbij data worden gelekt, door crimineel of juridisch handelen ontoegan­kelijk worden gemaakt of worden vernie­tigd, maar het moge duidelijk zijn dat data tegenwoordig zuurstof is voor organisaties: naarmate je langer zonder moet, nemen de problemen in een steeds hoger tempo en in omvang toe. 

2. Technische soevereiniteit. 

Dit gaat over de mogelijkheden voor het ontwikkelen, toepassen, afschermen, verplaatsen en beheren van kritische workloads zonder beperkingen op het vlak van portabiliteit of lock­-in. Ook het intellectueel eigendom van software, data of algoritmes kan hier een rol spelen. Technische soeve­reiniteit gaat ook over het architectuur­vraagstuk, waarbij altijd een balans moet worden gevonden tussen het kiezen voor nieuwe mogelijkheden enerzijds en de beperkingen daarvan anderzijds. Een voorbeeld: kunstmatige intelligentie in combinatie met de cloud kan onge­kende waardecreatie opleveren. In dit soort situaties moeten je digitale assets – kern applicaties, datacollecties en algoritmes – goed beschermd worden tegen cybercriminelen, maar je wilt ook in staat blijven de assets te kunnen verplaatsen zonder dat de dagelijkse operatie of de bedrijfscontinuïteit in gevaar komen. 

3. Economische soevereiniteit. 

Dit gaat over de kosten en opbrengsten van publieke en private cloudomgevingen en is in feite de optelsom van data­ en tech­nische soevereiniteit. Cloudtechnologie levert, als motor van steeds meer proces­sen, directe waarde in onze economie. Het is daarnaast een enabler van innovatie, ofwel een basis voor de toekomstige economische ontwikkeling en het toe­komstig verdienvermogen van Nederland. De afhankelijkheid van drie Amerikaanse hyperscalers heeft tot gevolg dat de prijs en de voorwaarden van de cloud als ​‘grondstof’ grotendeels uit handen is gegeven. Het verschil met gas, water en elektriciteit is dat deze commodities vanuit een nuts­functie zijn geprivatiseerd, waardoor allerlei waarborgen zijn opgetuigd zoals wet- en regelgeving, standaarden en toezichthouders. De drie marktleiders alias hyperscalers hebben dit verleden niet. 

Los van de vraag of Europese bedrijven eigen standaarden en waarborgen zouden moeten optuigen, wordt de cloud steeds meer onderdeel van de economische waar­dering van een bedrijf, de winst­ en verlies­rekening en de immateriële waarde op de balans – en daarmee onderdeel van de eco­nomische soevereiniteit. Hoe belangrijk eigenschappen kunnen zijn, blijkt uit het feit dat veel oudere ondernemingen en publieke organisaties vandaag de dag nog steeds worstelen met de erfenis van IT-­legacy uit de jaren zeventig van de vorige eeuw. Iets om over na te denken: hoe vrij ben je nu én straks om te ondernemen met de cloud?