Waar gaat het eigenlijk om bij Cloud-soevereiniteit?

In de gesprekken over Cloud-soevereiniteit kwam steeds één centraal onderwerp naar voren: het beschermen van data in de Cloud en data die vanuit de Cloud wordt bewerkt. We zien dat er rondom data een aantal onderdelen zijn die vanuit de soevereiniteitsbeginselen worden belicht:

Jurisdictie: Cloud is overal en nergens, dus hoe zit het met wetgeving rondom de exploitatie? Welke wet geldt op het moment dat er iets voorvalt bij gebruik van Cloud? Is het dan de origine van de aanbieder die bepaalt welke wetten van toepassing zijn? Of is juist de plek waar data wordt opgeslagen en verwerkt leidend?

Regulering: we kennen inmiddels allemaal de AVG-wetgeving, die ook vanuit Europa is opgelegd ter bescherming van haar burgers. Maar daarnaast gelden er binnen Europa nog meer wetten, zoals de Data Act, maar ook de in de zomer actief geworden AI Act. Deze nieuwe wet beschrijft hoe omgegaan moet worden met data die wordt toegepast in het trainen van AI-modellen.

Architectuur: het gekozen Cloud-platform en de manier waarop data wordt opgeslagen staat hierin centraal en zijn een beginsel als het gaat om soevereiniteit. Zo is het zorgdragen dat data veilig opgeslagen wordt door deze te voorzien van encryptie de standaard vandaag, maar zal er ook al nagedacht worden over een vervolg hierop. Met de komst van quantum computing zal het kunnen kraken van het encryptie mechanisme eenvoudig worden en zullen we moeten kijken naar bijvoorbeeld tokenization van data.

‍

ENISA: regulering en certificering van Cloud-diensten

In Brussel hebben verschillende sprekers stilgestaan bij bovengenoemde soevereiniteitsbeginselen. Zo werd vanuit de ENISA – het orgaan voor het certificeren van markten en standaarden – toegelicht hoe er gekeken wordt naar Cloud-soevereiniteit. Conclusie: een certificering rondom ‘soevereine Cloud’ zal nooit gebeuren, maar wel is men bezig met een werkgroep vanuit Spanje, Portugal en Frankrijk voor het opstellen van een Cloud Scheme. Dit moet de basis gaan vormen voor een nog vast te stellen EU Cloud Act. Men verwacht deze Cloud Scheme in 2025 te kunnen vaststellen, maar is daarbij afhankelijk van goedkeuring van alle lidstaten.

Daarnaast werkt ENISA aan een EUCS: een EU Cybersecurity Certification Scheme die moet zorgdragen voor standaardisering en regulering van cyberweerbaarheid. Deze is begin dit jaar aangenomen en is daarmee een mijlpaal in het kunnen certificeren van de digitale markt binnen de EU.

Als we kijken naar alle certificeringen binnen Europa en de doeldomeinen van Cloud, zien we dat er veel regulering van toepassing is:  

‍

Ontwikkelingen bij Cloud Providers rondom soevereine Cloud

Naast de initiatieven vanuit de EU-commissies, is op deze dag ook de ontwikkeling in de markt besproken. Hoe kijken Cloud Service Providers en Cloud Consultants naar soevereiniteit in hun dienstverlening?

Een aantal providers kwamen aan het woord. Zo is OVHcloud zichzelf gaan positioneren als het soevereine initiatief naast hyperscalers. Zij beredeneren, vergelijkbaar met Fundaments, vanuit een Europees soevereiniteitsbeginsel: ze hebben de wetgeving ingericht met entiteiten die lokaal in ieder Europees land opereren, gecombineerd met opslag in het land waar de klant vandaan komt. Daarnaast worden de hoogste standaarden voor dataopslag gehanteerd. In hun dienstencatalogus kunnen ze 100+ diensten aanbieden in een menukaart vergelijkbaar met de grote hyperscalers.

Andere concullega’s, zoals Orange Sweden, beleggen de definitie van soevereiniteit in het regionale aspect: daar waar data opgeslagen wordt, waarbij EU-soevereiniteit wordt geborgd doordat zij binnen de Europese zones opereren. Hierin zie je dat er door hen vanuit een EU-bril gekeken wordt en daarmee niet nationaal een definitie wordt gehanteerd.

ITQ presenteerde haar ITQ Cloud platform, waarin de beheerde soevereine Cloud gepositioneerd wordt als een optie naast de beheerde private of publieke Cloud en beheerde Software as a Service (SaaS) dienst. De soevereiniteit vertaalt zich naar regulering op data binnen het Cloud-platform.

‍

Soevereiniteit in AI-technologie

Tot slot toonde NVIDIA tijdens het event haar mogelijkheden om binnen een gereguleerde omgeving, in dit geval de Indiase overheid, specifieke data te verwerken met Retrieval Augmented Generation (RAG) AI op juridische dossiers. Met als resultaat: een chatbot die juridische dossiers voor rechters, advocaten en burgers beschikbaar kan stellen, in de verschillende talen die India heeft. Ontzettend interessant. Meer hierover is hier te lezen: https://demoai.nic.in/scrag en https://blogs.nvidia.com/blog/what-is-sovereign-ai/

Concluderend: met alle technische ontwikkelingen is het zaak om de balans goed te houden tussen toepassingen met nieuwe technologie versus het beschermen van data met wetgeving, frameworks en certificeringen. Dit komt allemaal samen in de soevereiniteit van Cloud en dataplatformen. Ik ben erg benieuwd hoe deze balans zich het komende jaar weer zal ontwikkelen. Het reguleren van onze data is zeker goed, omdat het gemak waarop we als gebruikers data delen en genereren vraagt om regulering in het aangeboden platform, zeker als het om bedrijfskritische data gaat.

En over data gesproken: nu de eerste hype voor Artificial Intelligence voorbij is en er verder wordt nagedacht over hoe AI nu echt ingezet kan worden voor de organisatie, ontstaat de discussie over waar data zich bevindt in een organisatie en hoe die beschermd is. Want om AI goed te kunnen inzetten is grip op de data vanuit alle systemen en (Cloud)platformen cruciaal. Dus het juist verzamelen van de data in een datalake voor inzet van statistiek en als volgende stap artificial intellgence en machine learning, is cruciaal en meestal de grootste uitdaging.  

Hier zal ik dieper op ingaan in mijn volgende blogartikel: ‘Het volgende station in de datareis van organisaties: AI’.  

‍