Onderzoek van de NOS onthult een zorgwekkende afhankelijkheid van Amerikaanse clouddiensten onder Nederlandse overheden. Van de 1.722 onderzochte websites is alleen Hardinxveld-Giessendam volledig vrij van Amerikaanse cloudafhankelijkheid. De Amerikaanse overheid zou met één druk op de knop honderden Nederlandse overheidssites kunnen blokkeren.
De omvang van de afhankelijkheid is groter dan eerder gedacht. Bijna alle provincies en alle ministeries maken gebruik van Amerikaanse clouddiensten, met slechts zes uitzonderingen. Microsoft Teams, mailservers en websites draaien voor een groot deel op infrastructuur van de Amerikaanse hyperscalers Microsoft, Amazon en Google.
Het risico beperkt zich niet tot meelezen van gegevens. De Amerikaanse overheid zou potentieel ruim 650 Nederlandse sites van overheden en kritieke bedrijven kunnen blokkeren of manipuleren. Hiertoe behoren websites van De Nederlandsche Bank, de politie en Crisis.nl, waar burgers bij rampen naartoe worden verwezen, meldt het NOS.
Juridische onzekerheid
Het grootste probleem van deze afhankelijkheid is het gebrek aan controle, waarbij de juridische gevolgen enorm kunnen zijn. De Amerikaanse CLOUD Act verplicht Amerikaanse bedrijven namelijk om data met de overheid te delen, ook als deze buiten de VS wordt opgeslagen. Microsoft erkent deze risico’s openlijk. Vicevoorzitter Brad Smith bevestigt dat gerechtelijke bevelen in Amerika kunnen gelden voor informatie buiten de VS. Onlangs opende hij een charmeoffensief in Brussel om Microsoft Azure alsnog een aantrekkelijke optie te maken voor soevereiniteitsensitieve organisaties.
Hoewel Microsoft belooft naar de rechter te gaan bij dergelijke verzoeken, toont de geschiedenis aan dat dit geen garantie biedt. Een eerdere overwinning van Microsoft in de rechtszaal was juist aanleiding voor het Amerikaanse parlement om de wet aan te nemen die expliciet regelt dat het opvragen van informatie buiten de VS mag.
De situatie wordt gecompliceerd door wisselende Europese regelgeving. Safe Harbor en Privacy Shield werden beide nietig verklaard, wat de juridische onzekerheid vergroot.
Praktische problemen
Overstappen blijkt complex. De Vereniging Nederlandse Gemeenten noemt het risico op meelezen “beperkt” en wijst op de betrouwbare diensten van bedrijven als Microsoft. De koepel van provinciebesturen stelt dat uit de Amerikaanse cloud stappen “enorme praktische implicaties” zou hebben.
Regels voor openbare aanbestedingen maken het moeilijk om niet-Europese partijen uit te sluiten. Desondanks denken provincies na over het vergroten van digitale autonomie. Ook de Autoriteit Financiële Markten volgt ontwikkelingen “nauwgezet”, maar benadrukt dat overstappen niet snel geregeld is.
De ontwikkeling van Europese alternatieven zoals NeoNephos duurt nog jaren, terwijl de afhankelijkheid van Amerikaanse diensten alleen maar groeit.