De laatste tijd zie ik een toenemende discussie in de media over datasoevereiniteit voor bedrijven en het belang van Gaia-X. En dat is goed, want iedereen heeft het recht om te weten waar zijn data is en hoe deze wordt beheerd. Dat recht wordt onderkend door de EU in de Algemene verordening gegevensbescherming (AVG), maar is in de praktijk internationaal moeilijk af te dwingen.
De AVG bepaalt dat de doorgifte van persoonsgegevens naar een derde land in beginsel alleen kan plaatsvinden als dat land een passend beschermingsniveau waarborgt. Vaak is dit (nog) niet het geval. Dit betekent dat bedrijven extra waarborgen moeten bieden in aanvulling op de modelcontractsbepalingen. Besteed je daar geen aandacht aan, dan riskeer je een significante boete en een rechtszaak. Dat is iets waar veel bedrijven zich in de praktijk nog onvoldoende van bewust zijn.
Het besef dat datasoevereiniteit niet vanzelfsprekend is wordt steeds duidelijker. Dit komt ook naar voren in evenementen als De toekomst van Gaia-X en het belang van datasoevereiniteit in Europa als ook de internationale Gaia-X summit en in de locale community. Maar er is zeker nog geen eenduidige oplossing waardoor bedrijven nogsteeds zoekende zijn naar oplossingen. Gaia-X is er daar zeker een van. Maar inmiddels wordt er ook al verder gedacht. Want als alle data in een soevereine cloud zit is er controle, maar wat gebeurt er als er dat gedeeld gaat worden?
Steeds meer Nederlandse bedrijven vragen zich af hoe het verder moet met privacygevoelige data en het potentiële delen van deze data. Ik merk dat het steeds vaker een gespreksonderwerp is bij bedrijven, er zijn veel publicaties over en ook belangenorganisaties besteden er steeds meer aandacht aan. Ondertussen is de Nederlandse Gaia-X hub onder leiding van TNO en ondersteund door het ECP | Platform voor de InformatieSamenleving opgericht en groeit deze net als de internationale organisatie.
In Europa zijn al meerdere, hoge AVG-gerelateerde boetes uitgedeeld. In Nederland loopt het nog niet zo’n vaart, het is een doemscenario. Er zijn echter al diverse discussies gaande over gebruik en of delen van data, denk bijvoorbeeld aan de toeslagen affaire. Het is dus heel realistisch dat bedrijven hun belangen en hun toekomst willen veiligstellen en niet alleen maar om aan de regeltjes te voldoen. Het is echt van belang dat we dit binnen de EU organiseren om tegenwicht te geven aan de VS en China, waar privacy duidelijk minder belangrijk is dan hier. Gaia-X is niet bedoeld om hyperscalers als AWS, Microsoft Azure en Google Cloud buiten spel te zetten, maar wel om de soevereiniteit over data te behouden voor de EU, zijn overheden, bedrijven en burgers. De hyperscalers spelen hier zelfs een actieve een rol in. Kijk maar naar de recent aangekondigde samenwerking op dit gebied tussen T-Systems en Google Cloud.
Gaia-X is bedoeld om in lijn met de Europese regelgeving normen, technologieën en regels te bepalen rond cloud- en edge-diensten. Open Telekom Cloud van T-Systems is een voorbeeld van een soevereign cloud. Deze op open source gebaseerde publieke cloud wordt volledig beheerd volgens Europese wetgeving. De data blijft gegarandeerd in Europa. De kracht van de hyperscalers moet je vooral blijven gebruiken, alleen moet je heel goed kijken waar het persoonsgebonden informatie betreft en hoe je dat gaat oplossen met betrekking tot de Europese wetgeving. Gaia-X gaat daar een goede leidraad in geven.
Bij veel cloudprojecten wordt vooral gekeken naar de technische en financiële haalbaarheid en naar de mogelijke businesswaarde. Het privacy-aspect en de Europese regelgeving wordt naar mijn mening in Nederland nog wel eens onderschat. De huidige oplossingen van de hyperscalers zijn niet conform onze wetgeving, dus er is een probleem. Iedereen op Microsoft Office 360 heeft stiekem een uitdaging, zeker door Schrems II.
Als het fabricagedata zonder persoonsgebonden data betreft, is het de eigen keuze van bedrijven hoe ze die willen beschermen, en of ze deze op een cloud buiten Europa willen plaatsen. Omdat we zo afhankelijk zijn geworden van Amerikaanse hyperscalers zou in theorie heel veel Europees intellectueel eigendom in buitenlandse handen kunnen vallen. In Duitsland wil de auto-industrie zijn intellectueel eigendom graag beschermen en heeft daarom samen met de toeleveranciers Catena-X opgezet voor veilige en soevereine data uitwisseling in de automobielindustrie. Dit is één van de zogeheten lighthouse projects binnen Gaia-X. Ook in Nederland hebben we er één: Smart Connected Supplier Network (SCSN), specifiek gericht op de maakindustrie.
Duitsland is van oudsher natuurlijk meer dan Nederland een industrieland en daar leeft dit onderwerp dus al meer. De industriesectoren weten er elkaar al beter te vinden. Misschien zijn we hier nog een beetje aan het sluimeren. Landen als Duitsland en Frankrijk zien zichzelf veel meer als mogendheden. Nederland loopt graag aan het lijntje van Amerika. Wij zijn echter wel volwassener en vooruitstrevender in public cloud adoptie, maar we hebben wel wat risico’s genomen met betrekking tot de privacy. Dat past bij een ondernemersland als Nederland, maar zijn we misschien wat te naïef geweest?
Wil je eens verder sparren over dit onderwerp? Maak dan een afspraak voor een online meeting.
