De Nederlandse Digitaliseringsstrategie moet mikken op meer soevereiniteit. Makkelijk gezegd. Maar hoeveel meer is genoeg? Het National Cyber Security Centre adviseert om geen Amerikanen meer in dienst te hebben. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties wil dat diezelfde experts meepraten over de NDS.
Binnen de Nederlandse Digitaliseringsstrategie (NDS) zijn zes prioriteiten vastgesteld om als overheid onze digitale infrastructuur sneller te versterken. Twee van die zes zijn een gezamenlijke cloudtechnologie en de digitale weerbaarheid en autonomie van de overheid. Kortgeleden is een onafhankelijke adviesraad voor de NDS geselecteerd, die uit veertien ‘vooraanstaande digitaliseringsdeskundigen’ bestaat. De leden zijn academici, ambtenaar of adviseur. Slechts één van die veertien leden vertegenwoordigt de professionele Nederlandse ict-sector: NLdigital. Dat is een brancheorganisatie met meer dan zeshonderd leden, bedoeld om de leden te helpen ‘hun doelen te bereiken.’
Bij die veertien zit uitdrukkelijk niet – en tegen de verwachting in – de Dutch Cloud Community (DCC), de branchevereniging voor de Nederlandse cloud- en internetsector met zo’n honderd leden. De DCC heeft een duidelijk standpunt ingenomen over soevereiniteit: ‘Het systematisch kiezen voor de Amerikaanse publieke cloud is een groot risico voor Nederland. DCC werkt actief samen met de overheden en de politiek om een gebalanceerd cloud beleid tot stand te brengen.’
Hoe soeverein is soeverein?
‘De Amerikaanse wetgeving gaat ver: zolang de provider gecontroleerd is door een Amerikaanse ubo – ultimate benefecial owner – blijft de VS-wetgeving van toepassing,’ waarschuwt de DCC. ‘En als er geen rechtstreekse koppeling is, kan de rechter in Washington het bedrijf opdracht geven om er een aan te leggen. Dit is in het verleden weleens gebeurd. Het National Cyber Security Centre (NCSC) geeft zelfs de aanbeveling dat Europese bedrijven geen Amerikanen in dienst moeten nemen als ze buiten de reikwijdte van de US Cloud Act willen blijven.’ Toch wordt meer dan de helft van het materieel publieke-cloudgebruik bij Microsoft, Amazon en Google ingekocht, volgens de Algemene Rekenkamer. Diezelfde niet-Europese Big Tech-bedrijven en andere grote als Huawei en Meta zijn lid van NLdigital.
Op die manier zit Big Tech dus nu aan tafel met de overheid om te praten over de NDS en meer soevereiniteit. Ondanks de overlap tussen de twee genoemde NDS-prioriteiten over soevereiniteit en de cloud zit de DCC niet aan diezelfde tafel. Gezien de uitspraken van het NCSC en de Algemene Rekenkamer lijkt het vreemd dat Big Tech wel mag meepraten over de Nederlandse digitale soevereiniteit, maar de DCC niet. ‘We kunnen ons goed voorstellen dat de DCC verbolgen is dat zij niet vertegenwoordigd zijn in de werkgroep, vooral als dat van tevoren was aangekondigd,’ vertelt Jeroen Bos aan Computable. Hij is een van de initiatiefnemers van Cloud of the North en navigator bij Bossers & Cnossen.
‘Het is niet of of, ook de DCC moet vertegenwoordigd zijn in de werkgroep. En daarnaast is het belangrijk dat de Amerikaanse Big Tech-bedrijven meepraten, zolang het juridische uitgangspunt maar duidelijk is,’ legt hij uit. ‘Zoals onlangs Anton Carniaux, legal director van Microsoft toegaf dat het bedrijf niet kon garanderen dat Franse data die het hostte, niet aan buitenlandse autoriteiten zou worden overgedragen. Het negeren of buitenspel zetten van Big Tech bedrijven, waar ontzettend veel kennis aanwezig is, lijkt ons niet de juiste manier. Ze bevragen, zoals de Franse overheid dat doet, hoe er met data wordt omgegaan of hoe veilig die is opgeslagen, dat maakt ze juist belangrijk om aan tafel te houden. Ze aanspreken op ‘sovereign-washing’ zeggen dat ze 100 procent digitaal Europees soevereine clouds in Europa bouwen, en vragen hoe die zich verhouden tot Amerikaanse extraterritoriale wetten, dat allemaal is van wezenlijk belang.’
Overigens, ‘digitale soevereiniteit gaat niet over alles zelf doen, het gaat over weten waar je data staat, wie erbij kan, wie het beheert en hoe je het kan porteren naar een andere omgeving mocht één van de voorgaande punten niet meer aan de juiste wetten of je eigen overtuiging voldoet,’ verduidelijkt Bos.
Individuele cloud-expertise
De overheid zelf ziet geen probleem in de tegenstelling. De adviesraad bestaat namelijk uit individuen, niet uit bedrijven, en is bovendien niet de enige plek waar de NDS advies inroept. ‘Leden zijn op persoonlijke titel gevraagd, vanwege hun kennis van digitalisering en brede ervaring in het bedrijfsleven, de wetenschap of de overheid. Zij fungeren niet als ‘vertegenwoordiger’ van bijvoorbeeld het bedrijfsleven,’ relativeert Marcus Polman in een gesprek met Computable. Hij is woordvoerder Digitalisering, en spreekt namens het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en staatssecretaris Digitalisering Eddie van Marum.
‘Voor het succes van de NDS is het belangrijk dat we gebruik maken van de kennis en kunde van het bedrijfsleven’, aldus Polman. Volgens hem wordt de betrokkenheid van het bedrijfsleven en belangenorganisaties op meerdere manieren ingevuld. Dit gebeurt in hoofdzaak per NDS-prioriteit om op inhoud het juiste gesprek te voeren. ‘Voor de NDS-prioriteit Cloud geldt bijvoorbeeld dat er een aantal weken geleden nog een gesprek heeft plaatsgevonden met de DCC over de NDS-prioriteit Cloud, waaronder de beoogde marktplaats voor cloudvoorzieningen en het onderwerp soevereiniteit. De DCC is in dit gesprek ook uitgenodigd om hier een visie over te ontwikkelen en aan te geven hoe zij hieraan bij kunnen dragen. Aanvullend is de NDS-Raad ingesteld om het Bestuurlijk Overleg Digitalisering van gevraagd en ongevraagd advies te voorzien over de NDS.’
Dit gepraat over meer soevereiniteit is allemaal voor de bühne. Feit is dat de overheid steeds meer workloads bij de grote Amerikaanse cloud-providers onderbrengt nadat een zogenaamd veiligheidsonderzoek is gedaan.
Allemaal adviezen die in een bureaula verdwijnen omdat de ambtenarij gewoon zelf doet waar het zin in heeft. De grote Amerikaanse cloud-providers laten hen een gelikte presentatie zien vol met woorden zoals “soevereiniteit” en “lokale opslag” en ze tekenen bij het kruisje.
Wat betreft de discussie met de kalkoen over het kerstdiner zijn ambtelijke instituties geen geschikte gesprekspartner als soevereiniteit alleen maar om het verschuiven van de controle gaat. Liever controle door Washington dan Brussel want uitdijende overheid heeft geld nodig en Edward Snowden wees op de spionage mogelijkheden die de cloud biedt.
5 van de 6 pijlers van NDS richten zich op de overheid en de pijler die zich richt op burger en
ondernemer heeft het enkel over de dienstverlening die al jaren slecht is door digitalisering van het loket. Opvallend hierin is de identificatieplicht waardoor Big Brother niet in het land van de individuele vrijheid zetelt maar in de ‘heilstaat’ van een Europese unie. De newspeak van soevereiniteit vergeet dat individuele vrijheid om privacy gaat.