Nog voor de discussie over de macht van Big Tech volop de kop opstak, stelde de Vlaamse Toezichtcommissie (VTC) het gebruik van cloudproviders als AWS in vraag. ‘We willen overleggen met andere Vlaamse instanties, vooral op strategisch niveau.’
Een aantal maanden geleden gaf de Vlaamse Toezichtcommissie (VTC) in een rapport een advies om geen gegevens van Vlaamse studenten op te slaan op de servers van Amazon AWS. Of toch zeker niet langdurig en op grote schaal.
Drie maanden en veel ophef later, ook van AWS zelf, reageert Hans Graux van de VTC voor het eerst, in een gesprek met Computable. (Dit is het tweede deel van het interview, vorige week verscheen deel één.)
De reactie van AWS was redelijk scherp: ‘Het VTC-rapport bevat een algemeen gebrek aan begrip hoe AWS klantgegevens beveiligt en datasoevereiniteit mogelijk maakt’, stond er. Kan u zich vinden in het antwoord?
‘We begrijpen dat AWS zijn eigen belangen moet verdedigen, maar ons standpunt komt absoluut niet voort uit een gebrek aan begrip, dus daar kunnen we ons zeker niet in vinden. Overigens zou ik willen herhalen en beklemtonen dat ons advies niet AWS viseert, maar betrekking heeft op elk cloudgebruik door Vlaamse instanties, met speciale aandacht voor Amerikaanse bedrijven.
‘Dat AWS zich door een dergelijk standpunt zwaarder getroffen voelt, vloeit vooral voort uit de situatie die we eerder reeds aanhaalden, namelijk het gegeven dat AWS ook bij Vlaamse instanties steeds vaker als de standaardoplossing werd gepositioneerd. Overigens zal het wel bekend zijn dat de VTC niet de enige of grootste uitdaging is voor Amerikaanse cloudbedrijven.’
Want die situeert zich Europees?
‘Het Schrems II-arrest van het Europese Hof van Justitie erkende ook opnieuw hoe problematisch het is dat Europese data structureel wordt blootgesteld aan Amerikaanse providers. En ook de nieuw voorgestelde Europese regelgeving verzet zich steeds meer en steeds uitdrukkelijker tegen het gebrek aan Europese datasoevereiniteit. De Vlaamse overheid is daar maar een klein aspect van.’
Volgens jullie geven Amerikaanse cloudpartijen onvoldoende antwoorden op die vraag naar datasoevereiniteit?
‘We begrijpen en respecteren dat AWS te goeder trouw probeert om daar antwoorden op te bieden, maar het gegeven dat Amazon werkelijk elk element van de keten controleert, van dataopslag over data-analyse, en van logging tot encryptie, maakt dat de blootstelling en de afhankelijkheid des te groter wordt. Ook in zijn Amerikaanse thuismarkt heeft AWS overigens last van de neveneffecten van zijn dominantie, met lopende discussies rond het opbreken van het bedrijf.
‘Het is niet verrassend dat er, zelfs wars van enige privacyproblematiek, steeds vaker de vraag wordt gesteld of de leidende ict-dienstverleners niet gewoon te onmisbaar zijn geworden in gevallen waar hun misbaarheid strategisch belangrijk is.’
Is uw advies niet redelijk laat? Nu het gebruik van de cloud redelijk is ingeburgerd, ook bij overheden. Indertijd is bijvoorbeeld Office365 van Microsoft voor overheden niet echt iets in de weg gelegd.
‘Dat zou ik toch willen weerleggen. De VTC is in het verleden vaker gecontacteerd geweest rond clouddiensten – vooral rond Amazon en Microsoft, inderdaad – en heeft daar steeds constructieve adviezen voorgelegd, die werden opgesteld na grondige studie van de specifieke situaties, en waarbij er dan gepaste maatregelen en beperkingen werden opgelegd. Een probleem daarbij was vooral dat die adviezen soms te breed werden uitgelegd: ‘Als A kan, dan kan B ook, en C wellicht ook, zonder verdere bijkomende maatregelen, want de VTC heeft het goedgekeurd’. Dat is nooit de bedoeling geweest.’
Uw advies is in de praktijk toch vooral gericht tegen een niet-Europese cloud?
‘We willen herhalen dat de VTC zich niet verzet tegen de cloud als dusdanig, en zelfs niet tegen niet-Europese clouddiensten. We stellen enkel dat er, in de huidige stand van de technologie, geen standaardclouddienst bestaat waarbij zomaar alle data zijn onder te brengen, ongeacht schaal en gevoeligheid van de data. Een geval-tot-geval-afweging is steeds nodig.’
Waar ligt dan de gevoeligheid?
‘Het deel van ons advies dat voor beroering zorgt, is het gedeelte waarin we stellen dat sommige data en sommige diensten niet zijn onder te brengen bij niet-Europese clouddiensten. Dat is volledig in lijn met de standpunten van andere Europese gegevensbeschermingsautoriteiten, die – net als wij – aangeven dat dat standpunt zeker kan veranderen wanneer de technologie of het dienstenmodel evolueert op een manier die niet resulteert in een afhankelijkheid van één cloudprovider.’
Hoe zal de situatie verder gaan? Krijgt dit op de een of andere manier nog een vervolg?
‘Er komt zeker nog een vervolg. We kiezen bewust voor een dialoogstrategie: onze bedoeling is niet om meteen alle stekkers uit alle lopende projecten te trekken. Wat niet wegneemt dat we nog steeds kunnen interveniëren wanneer we merken dat onze waarschuwing gewoon wordt genegeerd.’
Hoe wil u dit voor de toekomst opgelost zien raken?
‘We willen overleggen met andere Vlaamse instanties, vooral op strategisch niveau, over een gepast cloudbeleid, en hebben daarvoor ook de nodige contacten gelegd. De bedoeling en hoop is om te komen tot een aanpak waarvoor een breed draagvlak bestaat bij alle instanties. Op die manier hoeven Vlaamse instanties ons niet te zien als een boeman die projecten alleen maar moeilijker maakt, en kunnen we ervoor zorgen dat Vlaamse burgers kunnen rekenen op een gepast beschermingsniveau, ook wanneer hun data in de cloud worden geplaatst.’
