Wat is soevereiniteit?
Soevereiniteit verwijst in de context van digitale diensten naar de mate waarin een land of organisatie controle heeft over zijn eigen data en infrastructuur. Bij het gebruik van public cloud, zoals diensten van hyper-scalers, is deze controle niet zonder meer vanzelfsprekend. Hoewel al deze bedrijven hun diensten vanuit Europese datacenters aanbieden, valt de juridische controle vaak onder Amerikaanse wetgeving, zoals de controversiële Cloud Act. Hierdoor ontstaat het potentieel dat de Amerikaanse overheid toegang kan krijgen tot privacygevoelige gegevens, zelfs als die fysiek in Europa zijn opgeslagen. En dat willen we natuurlijk niet.
Dit roept vragen op over wie daadwerkelijk toegang heeft tot data, hoe die data wordt beschermd en wat de gevolgen zijn voor de autonomie van overheidsinstellingen die dergelijke diensten gebruiken. Het gebruik van de public cloud brengt dus specifieke risico's met zich mee ten aanzien van de soevereiniteit. Voor overheidsinstanties en organisaties die gevoelige gegevens verwerken, zoals gezondheidsinformatie of basisregistraties, kunnen deze risico's aanzienlijk zijn.
Het verschil tussen private cloud en public cloud is hier van belang. Bij een public cloud wordt de infrastructuur gedeeld door meerdere klanten. Dit betekent dat de controle over data en processen vaak in handen ligt van de cloudprovider. Bij een private cloud wordt de infrastructuur exclusief door één organisatie gebruikt. Dit leidt tot meer directe controle en minder soevereiniteitsrisico's. Soevereiniteitskwesties spelen vooral bij het gebruik van de public cloud, waar de juridische en operationele controle vaak ingewikkelder is.
Overheidsstandpunten
In Nederland heeft de overheid dit probleem erkend en in het Rijksbrede Cloudbeleid 2022 richtlijnen opgesteld om de risico's van cloudgebruik te beheersen. Dit beleid stelt vast dat er voor bepaalde typen overheidsdata speciale regels gelden. Hieronder een overzicht: