De bescherming van gevoelige gegevens heeft in Europa de hoogste prioriteit en is daarom stevig verankerd in wet- en regelgeving. Niet alleen bij banken, verzekeringen of in de gezondheidszorg, maar ook de publieke sector staat voor stevige organisatorische uitdagingen als het gebruik van de cloud moet voldoen aan de nieuwste wettelijke voorschriften.
Europese ondernemingen staan daarmee voor een dilemma. Ze weten namelijk dat ze de cloud en andere innovatieve technologieën nodig hebben voor de ontwikkeling van hun onderneming en in de internationale concurrentiestrijd. Tegelijkertijd is de complexiteit om dit alles te managen groot, waardoor dynamiek en eenvoud van de cloud verloren gaan. Europese clouds of het project GAIA-X moeten dit dilemma oplossen – ook voor bedrijven in minder gereguleerde bedrijfstakken.
Om te beginnen betekent soevereiniteit: volledige controle op diverse vlakken. Hieronder bespreken we ze kort.
De eigenaar van de data moet de zekerheid hebben dat zijn data in de cloud niet door onbevoegden (hiertoe behoort ook de cloudaanbieder) kunnen worden gemanipuleerd, verwijderd of ingezien. Soevereiniteit van data betekent bovendien dat versleuteling van informatie buiten het cloudplatform plaatsvindt of dat de encryptie sleutels worden beheerd met behulp van extern keymanagement.
Klanten moeten erop kunnen vertrouwen dat de aanbieder van public clouddiensten de techniek van de cloud zodanig verder ontwikkelt dat aanpassingen aan het platform het soevereiniteitsprincipe niet ondergraven. Dat wil zeggen: de toekomstbestendigheid van het platform moeten worden zeker gesteld. Tegelijkertijd moet ook de toegang van onbevoegde personen tot de originele functies van het platform worden voorkomen.
Een belangrijk principe van de soevereine cloud is het voorkomen dat klanten in een situatie van afhankelijkheid terecht komen. Applicaties en diensten moeten daarom altijd eenvoudig op een willekeurige andere IT-infrastructuur (bijvoorbeeld ook inhouse) te migreren zijn. Dat is een van de eisen die de toezichthouder voor financiële markten stelt voor de exitstrategie van een financiële dienstverlener.
Een soevereine cloud biedt clouddiensten zonder afhankelijkheid van één leverancier (vendor lock-in). Deze diensten zijn als “open source” beschikbaar, of er bestaat een equivalent dat niet van een leverancier afhankelijk is, zodat elke functionaliteit op elk moment kan worden gebruikt, ongeacht de leverancier. Deze voldoet aan de eisen van de in dit rechtsgebied geldende voorschriften/wetgeving. Gegevens en hun bruikbaarheid blijven te allen tijde in handen van de gebruiker – ook administratieve toegang van buitenaf is niet mogelijk.
Voor het bereiken van digitale soevereiniteit zijn verschillende aanpakken mogelijk.
Naast de klassieke aanpak in eigen beheer of de private cloud worden op dit moment ook public clouds, zoals Google Cloud, Azure en AWS met add-on services uitgerust om de compliance te kunnen waarborgen. Een belangrijke rol spelen onder andere de vorm van de contracten en het betrekken van betrouwbare en ervaren managed servicepartners, die kennis hebben van internationale wetgeving, zoals de AVG, maar ook van branchespecifieke compliancevereisten.
GAIA-X, het Europese initiatief voor een soevereine dataruimte waar T-Systems een leidende rol in speelt, werkt aan een grondige oplossing. Het project GAIA-X maakt nieuwe Europese standaarden voor de realisatie van soevereiniteit, door eerst fundamenteel te definiëren onder welke voorwaarden cloudoplossingen soeverein zijn. Een van de hoofdvoorwaarden: De cloud staat onder Europese controle, bijvoorbeeld omdat hij in Europa wordt gebouwd en beheerd. Een voorbeeld hiervan is de Open Telekom Cloud.
Het resultaat van GAIA-X zal geen (nieuwe) cloud zijn. GAIA-X werkt aan een federatieve en veilige gegevensinfrastructuur en wil daarmee ook digitale soevereiniteit genereren die innovatie bevordert. Het doel van dit initiatief is om een ecosysteem met meerdere leveranciers van clouddiensten tot stand te brengen, waarmee betrouwbare gegevensuitwisseling mogelijk wordt. In dit ecosysteem hebben gebruikers de volledige controle over hun gegevens. Dit vormt de basis voor de toekomstige Europese data-economie.
Het gezamenlijke initiatief van T-Systems en Google Cloud volgt een andere aanpak. Met de T-Systems Sovereign Cloud powered by Google Cloud implementeren de partners soevereiniteit als deel van een bestaand hyperscaler platform. Europese ondernemingen die een soevereine cloud willen gebruiken ontvangen hier een totaalpakket dat niet alleen het digitale ecosysteem en de complete bandbreedte van (soeverein afbeeldbare) Google clouddiensten omvat, maar ook een cloud die voldoet aan de Europese complianceregelgeving. T-Systems zorgt ervoor dat het platform voldoet aan de vastgelegde soevereiniteitsvoorwaarden. Bedrijven uit gereguleerde bedrijfstakken kunnen daarmee – zonder beperkingen – gebruik maken van het volle potentieel van de public cloud.
De soevereine cloud wordt zo een succesfactor voor de digitalisering van Europa. Deze neemt wet- en regeltechnische hindernissen voor het gebruik van de cloud weg en geeft Europese ondernemingen de veiligheid van een “to-go”-cloud. De beschikbaarheid van soevereine clouds zal de realisatie van talrijke digitale initiatieven aanzienlijk stimuleren, omdat deze bestaande compliancehindernissen uit de weg ruimt. Deze beschikbaarheid combineert technische verwachtingen met betrekking tot de cloud met innovatiekracht en een gerust geweten – “all inclusive”.
De soevereine cloud lost het dilemma tussen innovatievermogen en compliance op. Dit biedt organisaties de kans om de mogelijkheden van de public cloud snel en volledig te benutten en digitaliseringsprojecten te realiseren. Datasoevereiniteit en de cloud zijn niet langer een contradictio in terminis. Het voldoen aan compliance-vereisten vergt zo geen extra inspanning. De soevereine cloud wordt daarmee een essentieel onderdeel van het multi-cloudlandschap van cloudgebruikers.
