Beeld: Ziptone/AI
Een groot deel van de Nederlandse contactcenters draait nog op on premise contactcentersoftware. Voor wie nog een cloudmigratie op de planning heeft staan: wat betekent soevereine cloud? En wat is de betekenis van SLA’s voor uptime, als je geen volledige controle hebt over de data en software in je bedrijf?
Twee derde van de Nederlandse bedrijven vreest het contact met klanten te verliezen in geval van een stroomstoring, aldus recent onderzoek van de KVK. Daarom hebben veel bedrijven een noodstroomvoorziening geregeld of een fallback-scenario. Ook al is elektriciteit een commodity, kiezen voor betrouwbare stroomvoorziening is een no-brainer. Dat ligt anders bij cloudvoorzieningen, soms ook aangeduid als een commodity, waar gemak en verzonken investeringen vaak zwaar wegen.
Dat er onrust is over de risico’s van het gebruik van Amerikaanse clouddiensten, voelen de betrokken leveranciers feilloos aan. Sinds begin vorig jaar krijgen hun ‘Europese’ cloudproducten flink wat aandacht. Ook Europese softwarespelers profileren zich nadrukkelijker. En Ziptone kwam met een marktonderzoek waarin tientallen Europese CCaaS-oplossingen naast elkaar werden gezet.
Europese soevereine cloud van AWS
De meest recente marketingactie is afkomstig van AWS, de hyperscaler die naast algemene clouddiensten ook het klantcontactplatform Amazon Connect levert. AWS lanceerde deze maand een soevereine cloud inclusief zogenaamde soevereine local zones in Nederland en België aan toe. Het idee: AWS European Sovereign Cloud moet organisaties in beide landen extra garanties bieden rond dataresidentie, governance en operationele onafhankelijkheid.
Die local zones komen neer op specifieke infrastructuren die in grotere steden worden geplaatst en van waaruit de belangrijkste AWS-diensten, zoals compute, storage en databases, worden aangeboden. De local zones bieden zo niet alleen een lagere latency, maar zorgen ook voor soevereiniteitsgaranties op het gebied van de locatie van de data.
Daarnaast, aldus AWS, vallen de activiteiten van AWS European Sovereign Cloud onder een nieuwe Europese holding (GmbH) die wordt aangestuurd door lokale managing directors.
“Die zijn verplicht om de belangen van de European Sovereign Cloud te verdedigen,” aldus Barbara Baeyens, head of public sector Belux bij AWS, in een artikel in Computable.
Lokale AWS-infra
Ook andere technische zaken zijn lokaal geregeld. De infrastructuur draait volledig op het AWS Nitro System, waarbij zelfs AWS-medewerkers geen toegang hebben tot klantdata. Ook het identity- en accessmanagement, het aparte billing- en meteringsysteem en de opslag van klantmetadata, zoals configuraties, rollen en permissies: allemaal volledig binnen Europa geregeld. Daarmee, zo zegt Baayens tegen Computabe, zijn wettelijke, technische en contractuele onafhankelijkheid geregeld.
Maar over die juridische kant is AWS minder stellig, zo blijkt als AWS Benelux-directeur Daniëlle Gorlick aan het woord komt tijdens een interview met NRC. Aan haar werd gevraagd hoe AWS er zeker van kan zijn dat het bedrijf geen bevelen van de Amerikaanse regering hoeft te volgen op basis van de wet op buitenlandse inlichtingen (FISA, artikel 702) of op basis van de CLOUD Act.
Gorlick verwijst dan naar het versleutelen van data, waarbij AWS klanten zelf de sleutels bewaren. “Daardoor kunnen onze mensen dus nooit bij die data komen.” Ze gaat op dat moment niet in op het juridische gehalte van de gestelde vraag.
“Verkeerd begrepen”
Wel doet AWS in het interview een poging tot gaslighting. Zo wordt de CLOUD Act volgens Gorlick “vaak verkeerd begrepen”. Ze verwijst in het interview naar “strikte eisen over het aannemelijk maken van vermoedens dat data waarschijnlijk voor een misdrijf zijn gebruikt.”
Gorlick gaat daarmee niet alleen voorbij aan het systematische gemorrel van Trump aan de Amerikaanse rechtsstaat, maar ook aan de reële mogelijkheid dat de VS éérst aan knoppen gaan draaien (wat directe impact kan hebben op continuïteit) en dat gedupeerden pas daarná naar de rechter kunnen stappen. Die volgordelijkheid is essentieel: zowel voor het goed inschatten van de impact als voor het erkennen van de afhankelijkheid van Amerikaanse technologie.
Als NRC tijdens het interview de duimschroeven verder aandraait – “kan Amazon in de VS de leiding van de European Sovereign Cloud ontslaan, en bepaalt het hoofdkantoor de hoogte van salarissen en bonussen?” – komt er geen antwoord meer vanuit Gorlick. Ook als NRC doorvraagt naar de mogelijkheid dat Amazon vanuit de VS opdracht kan geven om diensten of producten in Nederland uit te schakelen, komt ze niet verder dan “als zoiets hypothetisch gebeurt, kunnen we continuïteit bieden in onze dienstverlening.”
Soevereiniteit
Analyse van NRC – Klik voor artikel
Met het gebruik van het woord soevereiniteit moeten we dus oppassen. Gebruikers hebben de neiging de betekenis daarvan te bagatelliseren; aanbieders benadrukken graag dat ze allerlei technische, organisatorische en juridische maatregelen hebben genomen die garanties lijken te bieden.
Ook BNR wees kortgeleden op het gebrek aan eenduidigheid als het gaat om het begrip ‘soevereiniteit’. “Het blijft een feit dat een Amerikaans bedrijf controle heeft over de soevereine cloud – hij hoort uiteindelijk gewoon bij AWS. En dat is genoeg volgens Amerikaanse wetgeving om onze data op te kunnen vragen,” aldus BNR. Dat AWS kan worden ‘uitgezet’ kwam overigens niet aan de orde.
Vertrouwen op juridische mechanismen
Michiel Steltman is een van de experts die vertrouwt op een goede werking van juridische mechanismen. Hij zegt dat de risico’s die verbonden zijn aan leveranciers met Amerikaanse aandeelhouders – straks mogelijk het geval bij DigiD – al lang in kaart zijn gebracht en dat die risico’s – bijvoorbeeld rond het uitoefenen van druk – ook bestaan bij volledig Europese leveranciers. “Het gaat er niet om welke risico’s denkbaar zijn, maar hoe sterk bedrijven staan in het weerstaan van daadwerkelijk druk,” aldus Steltman in een reactie op de ophef over DigiD dat in handen zou komen van de Amerikaanse IT-dienstverlener Kyndryl. Ook Steltman gaat daarmee voorbij aan het belang van volledige controle over de technologie en de impact van technische interventies vanuit de VS.
“Kijk niet naar waar het bedrijf vandaan komt”
Branchevereniging NLdigital stelt dat “een keuze voor maximale soevereiniteit zonder passende investeringen kan leiden tot een slechter beveiligingsniveau.” De kernvraag is volgens de brancheorganisatie dan ook niet waar een bedrijf vandaan komt, maar onder welke wetgeving het valt (jurisdictie) en welke technische barrières er zijn opgeworpen. Zelfs als data fysiek in Europa staat, kan wetgeving zoals de Amerikaanse CLOUD Act invloed hebben. NLdigital vindt daarom dat je moet streven naar technische maatregelen zoals versleuteling, waarbij de leverancier de ‘sleutel’ niet heeft, en strikt fysiek beheer door gescreend personeel binnen de EU.
Verder gaat NLdigital bij de risicobeoordeling uit van het zogenaamde CIA-kader: Beschikbaarheid (Availability), Integriteit (Integrity) en Vertrouwelijkheid (Confidentiality). Bij ‘beschikbaarheid’ wordt gekeken naar de mogelijkheid dat een leverancier de toegang kan blokkeren door juridische beperkingen of een faillissement. Hierbij hoort ook het opstellen van exit-plannen om snel over te kunnen stappen. Over die exit voor klantcontactsoftware heeft Ziptone begin vorig jaar uitvoerig geschreven.
“Gelul”
Terug naar de soevereine cloud van AWS. Tech-expert Bert Hubert is wel expliciet over de soevereine cloud van AWS: “gelul”. Daarmee sluit hij aan op de EU-definitie van (cloud)soevereiniteit, waarbij juridische soevereiniteit een van de pijlers is. Hubert werkt overigens – naar aanleiding van het dreigement van Trump om sancties los te laten op Europese landen in verband met het conflict over Groenland – aan een lijstje van organisaties die voor hun mission critical applicaties gebruik maken van Amerikaanse cloudtechnologie. Hamvraag: wat gebeurt er als iemand in de VS op de rode knop drukt?
De vraag naar de afhankelijkheid van de BV Nederland van Amerikaanse cloudtechnologie is ook door anderen pas sinds kort gestructureerd in kaart gebracht.
Ketenafhankelijkheid
Een laatste toevoeging op het concept van soevereine IT is dat bedrijven ook te maken hebben met ketenafhankelijkheid. Ook klanten en leveranciers die afhankelijk zijn van Amerikaanse big tech, kunnen een risico vormen voor je eigen bedrijfscontinuïteit.
Dat andere tech-experts de bal weer terugkaatsen en wijzen op de opbouw van de cloudinfrastructuur waar altijd wel iets van Amerikaanse spelers in zit (servers van Amerikaanse komaf bijvoorbeeld) doet niets af aan het belangrijkste gegeven: bij dreigende conflicten hebben Europese gebruikers van de AWS-cloud geen uiteindelijke zeggenschap, laat staan controle, over de werking.
Vergelijk het met de speculaties over het bestaan van een ‘kill switch’ in de Joint Strike Fighter (JSF). Zo lang je geen zekerheid hebt over het bestaan daarvan, heb je geen volledige controle over de werking. Laat staan dat je bij een conflict niet zeker weet of je tijdig en vrij kunt beschikken over reserveonderdelen die uit de VS moeten komen. Wie dit soort onzekerheden accepteert in het IT-landschap, moet uptime-garanties ook durven loslaten.
(Ziptone/Erik Bouwer)
Ook interessant
-
Amazon Web Services (AWS) zet verdere stappen richting Europese digitale autonomie met de uitbouw van de AWS European Sovereign Cloud.
-
Met een nieuw publiek cloudplatform speelt mijn.host in op de groeiende vraag naar Nederlandse oplossingen voor datasoevereiniteit.
-
IT-dienstverleners krijgen meer verzoeken om mee te denken over exitstrategieën of het opstellen van een ‘plan B’.