Interview | Joost Smit, Benelux-directeur Google Cloud
Tijdens het Google Cloud Benelux-evenement, dat 14 en 15 mei plaatsvond in Zaandam, was data-soevereiniteit een belangrijk thema. Klanten maken zich zorgen over de Amerikaanse Cloud Act. Computable sprak daarover met Joost Smit, Benelux-directeur van Google Cloud. ‘Er zijn technische maatregelen om te voorkomen dat data van Europese klanten in handen komen van de Amerikaanse overheid.’
Smit, sinds begin dit jaar Benelux-directeur van Google Cloud en ruim vijf jaar aan boord bij Google, werkte eerder voor Capgemini en Accenture. Hij spreekt steeds vaker met klanten die zich zorgen maken over de soevereiniteit van hun data. Dat heeft te maken de nieuwe Amerikaanse regering onder leiding van president Trump. Bij veel klanten overheerst het beeld dat Trump bij decreet data kan vorderen van klanten van Amerikaanse techbedrijven, ook buiten de VS, en dat hij bedrijven kan dwingen om digitale diensten te staken.
‘Het is niet zo zwart-wit als het nu vaak wordt voorgesteld’, antwoordt Smit op de vraag wat op dit moment volgens hem de hardnekkigste misverstanden zijn die leven rondom soevereiniteit en de Amerikaanse Cloud Act. ‘Het is niet zo dat de Amerikaanse regering ons vraagt: ‘Geef ons die data?’ en dat dat dan kan.’ Hij vervolgt: ‘Allereerst hebben we geen toegang tot de data van onze klanten. Bovendien zijn er omstandigheden waardoor de Amerikaanse Cloud Act niet van toepassing is op de data van een Europees of Nederlands bedrijf of overheid.’ Hij noemt een voorbeeld: ‘Als een Nederlands bedrijf dat gebruikmaakt van Google-diensten zijn data versleuteld met encryptie van een Nederlandse leverancier. Dan ligt het gewoon vast in Nederland. Dus dan kan de Amerikaanse overheid ons wel vragen naar die data, maar dan kunnen ze er nooit bij omdat het versleuteld is.’
Volgens Smit kan een Nederlandse bedrijf bij een verzoek uit de VS bovendien zeggen dat het niks te maken heeft met de Amerikaanse overheid, want ‘ik zit in Nederland, dus hoef niks te delen.’ Heel veel complexer is het niet. Smit voegt er wel aan toe dat er allerlei nuances rondom het begrip soevereiniteit zijn. Ook wijst hij op het misverstand dat data bij een Amerikaanse leverancier niet soeverein zou zijn op te slaan.
Financiële sector
Het effect van de zorgen over soevereiniteit en de voorzichtigheid is dat bedrijven en overheden beter nadenken over de keuzes die ze maken, ziet Smit. Hij juicht die ontwikkeling toe en ziet dat de tijd waarin bedrijven zomaar al hun data in de cloud zetten voorbij is.
Smit legt uit dat partijen in de financiële sector vaak nog wat stappen verdergaan en door aangescherpte wet- en regelgeving er soms voor kiezen om helemaal uit de Google Cloud te stappen. Ze gebruiken dan nog wel de hardware en diensten van Google maar daar wordt een eigen datacenter voor ingericht en er is geen directe netwerkverbinding met de cloudomgeving van Google Cloud. Die bedrijven moeten dus ook zelf het beheer en de beveiliging regelen en draaien niet automatisch mee in de updates die normaal via de gekoppelde cloudinfrastructuur worden geleverd. Daardoor zijn de kosten van een dergelijke omgeving, die door Google ‘cloud air gapped’ wordt genoemd, ook veel hoger en is die vorm lang niet voor alle bedrijven geschikt.
Overheid
Smit ziet in het buitenland ook meer samenwerking tussen de overheden en bedrijven. Als voorbeeld noemt hij de joint venture Clarence, een samenwerking van Proximus en Luxconnect waarvan het eigenaarschap verdeelt is over zowel de Luxemburgse als Belgische overheid. Het biedt een door Google gedistribueerde cloudomgeving aan die los staat van de Google Cloud. Daarnaast zijn er niveaus waar op basis van encryptie soevereiniteit wordt gewaarborgd. Waar de Nederlandse overheid terughoudender is, ziet hij dat in Luxemburg de overheid nadrukkelijker de samenwerking zoekt met hyperscalers als Google. Toch ziet Smit dat ook in Nederland binnen de overheid kansen liggen voor Google. Daarover vinden ook gesprekken plaats, maar hij wil de inhoud daarvan niet delen.
Opkomst ai
Google presenteerde onlangs een studie over de bijdrage van ai aan de publieke sector en stelt daarin dat ai fors impact zal hebben op de publieke sector in Nederland. Samen met Implement Consulting Group becijferde het bedrijf dat de efficiëntie van publieke bestedingen door ai met tien procent stijgt. Ook heeft ai impact op 67 procent van de banen in de publieke sector en kan er jaarlijks twee tot drie miljard bespaard worden op administratieve lasten.
Google Cloud hoopt een rol te spelen in het faciliteren van clouddiensten rondom die inzet van ai-toepassingen, want buiten de inzet van Google Workspace in het onderwijs, is het gebruik van Google Cloud-diensten binnen de Nederlandse overheid nu nog mager, vindt Smit.
Terwijl de discussie over data-soevereiniteit voortduurt, benadrukt Smit dat technologische oplossingen en strategische samenwerking cruciaal zijn om controle en veiligheid te waarborgen. Google Cloud zet zich volgens hem juist in om klanten te ondersteunen bij het navigeren door die complexe uitdagingen waarbij encryptie, regelgeving en innovatie hand in hand gaan.
Allemaal lege woorden.
Zijn er ook technische maatregelen om ervoor te zorgen dat de Amerikaanse regering jullie verbiedt om zaken te doen met specifieke klanten? Nee, natuurlijk niet. Jullie zijn verplicht om hen dan te toegang tot jullie platform te ontnemen en hen af te sluiten van hun data of programmatuur.
Realiseer je dat als je als bedrijf niet meer bij je data of bedrijfskritische programmatuur kan dat het gewoon het einde is van je bedrijf!!!
Inzage verzoeken die onder de Foreign Intelligence Surveillance Act (FISA) of National Security Letters (NSL) vallen worden vaak vergezeld van een zwijgbevel. Joost kan zich dus beroepen op onwetendheid omdat er geen transparantie is. Dit geldt ook voor het idee van versleuteling wat Amerikaanse hyperscalers moedwillig complex hebben gemaakt. En als het complex is dan wordt het duur en daarom zullen de meesten kiezen voor Google managed keys. Oplossing van eigen sleutels ligt nu eenmaal niet binnen de reikwijdte van meeste MKB bedrijven in de BeNeLux. En de grote jongens kiezen vaak voor het compliance vinkje met het idee van CMEK waardoor Google nog altijd zonder enige notificatie bij de data kan door een gebrek aan technische isolatie.
Natuurlijk kun je als organisatie of persoon zeggen dat je geen rekenschap geeft aan Amerikaanse verzoeken maar de OFAC SDN-lijst is een politiek instrument dat zonder formeel proces of beroepsmogelijkheid organisaties wereldwijd uit het systeem kan verwijderen. Dus alleen als je een betalingssysteem met spiegeltjes en kraaltjes hebt dan kun je het risico nemen om verzoeken te negeren.