Digitale soevereiniteit en public cloud: kan het samen?

Digitale soevereiniteit

Personen, organisaties of landen hebben digitale soevereiniteit als zij volledig onafhankelijk, zonder externe invloed, controle hebben over hun digitale gegevens, infrastructuur en technologieën. Digitale soevereiniteit heeft verschillende aspecten.

• Controle over het gebruik en de beveiliging van gegevens door de eigenaar ervan.
• Technologische onafhankelijkheid, ofwel de capaciteit om technologiekeuzes te maken zonder afhankelijk te zijn van externe entiteiten.
• Voldoen aan lokale wet- en regelgeving over de verwerking van digitale gegevens.

Om digitaal soeverein te zijn, mag er naast de eigenaar van de gegevens niemand zeggenschap of invloed hebben of krijgen zonder toestemming van de eigenaar. Op landsniveau betekent dit dat de overheid afdwingbare jurisdictie heeft en dat buitenlandse entiteiten geen invloed kunnen uitoefenen (zie het artikel Digitaal autonoom is nog niet soeverein over de strategische verkenning digitale autonomie en de rijksoverheid). De overheid van het land zelf bepaalt dus welke wetten en regels van toepassing zijn: de lokale wetten en regels, niet die van een ander land die direct of via een buitenlands bedrijf worden toegepast.

Digitale soevereiniteit en buitenlandse cloudproviders

Als je als instelling digitale soevereiniteit hebt, dan mag er geen buitenlandse entiteit zijn die zeggenschap of invloed heeft over je digitale gegevens zonder dat je daar zelf toestemming voor hebt gegeven.

Wanneer je diensten gebruikt van Amerikaanse cloudproviders, dan is dat niet het geval. Amerikaanse bedrijven moeten voldoen aan Amerikaanse wetten zoals de CLOUD Act, EO 12333 en FISA sectie 702 & RISAA. Daardoor hebben ze een verplichting om klantgegevens te overhandigen aan Amerikaanse inlichtingen- & opsporingsdiensten, in veel gevallen zonder dat ze de overdracht van gegevens mogen melden aan hun klant.

Daarnaast is er nog het risico dat je cloudprovider je toegang ontzegt tot je eigen gegevens, op last van de autoriteiten in hun land van herkomst. Dit hebben we bijvoorbeeld gezien bij het Internationaal Strafhof, waarvan de hoofdaanklager op last van de Amerikaanse regering toegang werd ontzegd tot zijn mailbox. Er was geen rechter betrokken en verweer tegen het besluit was niet mogelijk. 

De onontkoombare conclusie is dat je niet digitaal soeverein bent wanneer je een Amerikaanse cloud gebruikt.

Helpen soevereine clouds?

De niet-Europese cloudproviders weten dat dit voor hun Europese klanten een risico is. Ze hebben daarom allemaal “soevereine cloud” proposities ontwikkeld. Ze beloven dat gegevens in soevereine clouds veilig zijn en dat er verbeterde transparantie is over wie toegang heeft tot de gegevens.

Een van de maatregelen die de providers nemen, is beloven dat gegevens in soevereine clouds alleen in de EU worden opgeslagen. En ze beloven dat niet-Europese medewerkers niet bij de klantgegevens in soevereine clouds kunnen, behalve eventueel na expliciete toestemming van de klant.

Het blijkt echter dat er wel degelijk scenario’s denkbaar zijn waarbij gegevens van Europese klanten worden overgedragen aan de Amerikaanse overheid. Dit is bijvoorbeeld toegegeven door Microsoft in een hoorzitting in de Franse Senaat in juli van dit jaar (zie https://www.senat.fr/compte-rendu-commissions/20250609/ce_commande_publique.html). Het is onwaarschijnlijk dat de situatie voor andere Amerikaanse cloudproviders anders ligt. Zij moeten immers aan dezelfde Amerikaanse wetten voldoen.

Onlangs was in het nieuws dat het probleem niet uniek is voor Amerikaanse cloudproviders. De Franse cloudprovider OVH is door een Canadese rechtbank bevolen om klantgegevens opgeslagen in Europa te overhandigen aan de Canadese autoriteiten, ook al heeft de Canadese dochteronderneming van OVH technisch geen toegang tot de gegevens (meer informatie hierover in het artikel Canadian court: OVHcloud from France must had over user data op Heise online).

Sommige cloudproviders hebben soevereine cloudproposities ontwikkeld waarin lokale, Europese bedrijven de infrastructuur en het beheer daarvan in handen hebben. Daarmee heeft de Amerikaanse provider geen toegang meer tot de klantgegevens. Alleen de lokale Europese partner heeft die toegang. De gedachte is dat met deze aanpak de Amerikaanse overheid buitenspel wordt gezet.

Microsoft heeft in dit partnermodel een soevereine cloud in Duitsland opgezet, Delos Cloud. De Duitse deelstaat Baden-Württemberg concludeert dat de infrastructuur soeverein is (zie https://www.landtag-bw.de/resource/blob/584956/7b9fcaf1f4775f0b2f4658dc01232e61/17_9179_D.pdf). Tegelijk concluderen ze dat er een restrisico is doordat de software in de Delos cloud wordt gemaakt en onderhouden door Microsoft. De software is niet open source, dus het is niet mogelijk om te controleren of er achterdeuren zijn ingebouwd waarmee er toch toegang mogelijk is tot klantgegevens zonder dat de klant dat ziet.

Een partnercloud lijkt voordelen te bieden waar het gaat over digitale soevereiniteit. Maar de cloudproviders die het meest worden gebruikt via SURFcumulus, hebben geen partnerclouds met Nederlandse partners, alleen met Duitse en Franse. Daardoor is er voor SURFcumulus gebruikers nog een restrisico dat Duitse of Franse overheden toegang eisen tot klantgegevens. De Europese privacy wetgeving is sterker dan de Amerikaanse, dus het risico is kleiner. Maar ook in de Europese wetgeving zijn uitzonderingen voor nationale veiligheid, dus er is nog steeds een risico.

Advies

Wij adviseren onze instellingen om te beginnen met een gegevensclassificatie en per gegevensklasse te beschrijven of ze bij een Amerikaanse cloudprovider mogen worden opgeslagen en verwerkt. Voor gegevensklassen die gevoeliger zijn, is een Europese partnercloud, or een Europese cloudprovider misschien wel mogelijk, omdat de risico’s kleiner zijn. SURF maakt het mogelijk om dit te gaan doen: SURFcumulus biedt toegang tot 9 Europese cloudproviders.

Wanneer je kiest voor de diensten van een Amerikaanse cloudprovider, bedenk dan welke diensten. Niet alle clouddiensten zijn gelijk waar het gaat om de risico’s op toegang tot je gegevens. Sommige diensten vragen om ruimere toegang door de provider door de aard van de dienst. Bij een managed database dienst, zal de provider toegang hebben tot de VMs waarop de database software wordt uitgevoerd en ook admin/dba rechten hebben in het RDBMS. Daardoor is het risico groter dan wanneer je VMs afneemt en zelf de database software installeert en beheert. De experts van SURFcumulus kunnen helpen met een detailanalyse en advies over de diensten van de Amerikaanse cloudproviders.

Om te zorgen dat je toegang houdt tot je eigen gegevens, adviseren we dat je van belangrijke gegevens backups maakt buiten de Amerikaanse cloud waarmee je werkt.

Ten slotte adviseren we om alle gegevens in de cloud te versleutelen met sleutels in eigen beheer (ook in Europese clouds!). De Amerikaanse hyperscalers hebben hun diensten voor sleutelbeheer zo opgezet dat ze zelf geen of heel beperkt toegang hebben tot klantsleutels. Hierover hebben we eerder geschreven (zie de blog Rapport Encryptie in de cloud van Microsoft Azure en Amazon Web Services). Bovendien is de CLOUD Act encryptie-neutraal. Dat wil zeggen dat er in de CLOUD Act geen verplichting is voor de cloudprovider om de klantgegevens te ontsleutelen vóór overdracht (zie p. 3 van het CLOUD Act memo van het Nationaal Cyber Security Centrum). Voor hulp bij het inrichten van versleuteling met met controle over de sleutels, neem dan contact op met ons.