De Europese Unie overweegt nieuwe regelgeving in te voeren om het gebruik van Amerikaanse cloudserviceproviders door de regeringen van de lidstaten bij het verwerken van gevoelige gegevens te beperken, om de afhankelijkheid van digitale infrastructuur van buiten de EU te verminderen en de ontwikkeling van lokale ‘soevereine clouds’ te bevorderen. Meerdere geïnformeerde functionarissen van de Europese Commissie hebben aan de media onthuld dat dit idee naar verwachting zal worden opgenomen in het “Tech Sovereignty Package” van de EU, dat op 27 mei zal worden aangekondigd.
Volgens rapporten bespreekt de Europese Commissie in het komende plan om een “soevereiniteitsdrempel” in te stellen voor de keuze van clouddiensten door de publieke sector, waarbij de nadruk ligt op het verminderen van de blootstelling van gevoelige data uit de publieke sector aan cloudplatforms van buiten de EU. Een niet bij naam genoemde functionaris zei: “Het kernidee is om een aantal belangrijke gebieden te definiëren die moeten worden gehost op Europese cloudmogelijkheden.” Cloudserviceproviders uit derde landen, zoals de Verenigde Staten, kunnen hierdoor worden getroffen.
Volgens de huidige richting van de discussie zullen de relevante voorstellen buitenlandse aanbieders van clouddiensten niet volledig verbieden deel te nemen aan overheidscontracten, maar beperkingen opleggen aan hun gebruik bij de verwerking van gevoelige gegevens in de publieke sector op basis van het gegevensgevoeligheidsniveau. Eén functionaris wees erop dat dit betekent dat “Amerikaanse cloudserviceproviders te maken kunnen krijgen met gebruiksbeperkingen op sommige gevoelige en strategische gebieden van openbare instellingen in de lidstaten.” Momenteel worden financiën, justitie en medische gezondheidszorg beschouwd als gevoelige gegevenstypen die ter discussie staan. In de toekomst zullen ze mogelijk meer moeten vertrouwen op de cloudinfrastructuur met soevereine kenmerken.
Het is vermeldenswaard dat deze ronde van discussies over de soevereiniteit van clouddiensten zich alleen richt op gegevens van de overheid en de publieke sector, en voorlopig niet op particuliere bedrijven. Met andere woorden: het ‘Technologische Soevereiniteitsplan’ zal niet rechtstreeks verplichte eisen opleggen aan particuliere bedrijven bij het kiezen van cloudplatforms.
Achter de bovengenoemde trends schuilt de verscherping van de betrekkingen tussen de EU en de nieuwe Amerikaanse regering onder leiding van president Trump in de afgelopen maanden, en de zorgen over de ‘digitale afhankelijkheid’ binnen Europa zijn snel toegenomen. Momenteel domineren Amerikaanse bedrijven nog steeds de Europese cloud computing-markt: Amazon, Microsoft en Google beheersen gezamenlijk meer dan 70% van het marktaandeel, waarbij Amazon ongeveer 29% voor zijn rekening neemt, Microsoft ongeveer 24% en Google ongeveer 18%. In het kader van de Cloud Act die in 2018 werd afgekondigd, hebben Amerikaanse wetshandhavingsinstanties het recht om gegevens van Amerikaanse bedrijven op te halen, ongeacht waar de gegevens fysiek zijn opgeslagen. Dit heeft de zorgen van Europese landen over de veiligheid van kritieke gegevens verder aangewakkerd.
In deze context versnellen Europese regeringen de zoektocht naar lokale en open source-alternatieven en verhogen ze de budgetten die verband houden met digitale soevereiniteit. In februari van dit jaar verklaarden overheidsfunctionarissen uit veel landen dat ze al bezig waren met het evalueren van zelfontwikkelde of Europese oplossingen ter vervanging van grootschalige Amerikaanse technologieplatforms. De Franse regering maakte in januari van dit jaar bekend dat zij de onder leiding van de overheid ontwikkelde videoconferentietool ‘Visio’ zal lanceren, en is van plan om tegen 2027 geleidelijk Amerikaanse tools als Microsoft Teams en Zoom te vervangen in overheidssystemen.
Het EU-niveau bevordert ook de constructie van een soevereine cloud door middel van daadwerkelijke projecten. In april van dit jaar heeft de Europese Commissie aanbestedingscontracten ter waarde van in totaal 180 miljoen euro gegund aan vier Europese soevereine cloudprojecten om cloudserviceoplossingen te bieden aan EU-agentschappen en -instellingen. Een van de projecten betreft een joint venture tussen het Franse lucht- en ruimtevaart- en defensiebedrijf Thales en Google Cloud, die de nadruk van de EU op soevereiniteit weerspiegelt en tegelijkertijd de veiligheids- en innovatiebehoeften in evenwicht brengt door middel van joint ventures en technische samenwerking.
Het ‘Technology Sovereignty Plan’ zal naar verwachting niet alleen betrekking hebben op cloud computing, maar ook op de Cloud and AI Development Act (CADA) en de ‘Chip Act 2.0’, met als doel de ontwikkeling van meer lokale oplossingen en producten op belangrijke gebieden zoals cloud computing, kunstmatige intelligentie en halfgeleiders aan te moedigen. Zodra het plan formeel door de Europese Commissie is voorgesteld, moet het nog door alle 27 lidstaten worden goedgekeurd voordat het in werking kan treden.
Met betrekking tot externe zorgen over de vraag of het plan transatlantische technologie- en handelsfricties zal veroorzaken, reageerde een woordvoerder van de Europese Commissie niet direct op de details, maar benadrukte dat het plan “gerelateerd is aan Europa’s zelfbewustzijn en het vermogen om te handelen in het digitale tijdperk.” De woordvoerder zei dat het doel van het plan is om de mogelijkheden van “soevereine cloud” uit te breiden door middel van overheidsopdrachten en andere instrumenten en om meer cloud- en kunstmatige-intelligentiedienstverleners met verschillende achtergronden te ondersteunen om de markt te betreden.
Vanuit het perspectief van de publieke opinie binnen Europa is deze discussieronde over de weg naar cloudtoegang voor gevoelige overheidsgegevens niet alleen een concurrentieprobleem op de interne markt, maar wordt het ook gezien als een veelomvattend spel rond geopolitieke concurrentie, datasoevereiniteit en veiligheidsrisico's. Hoe een evenwicht te vinden tussen het waarborgen van de veiligheid van kritieke gegevens, het handhaven van open markten en het bevorderen van technologische innovatie zal voor de EU een langetermijntest worden na de introductie van het "Technologische Soevereiniteitsplan".