De Amerikaanse overheid is niet meer die betrouwbare partner van Europa. Dat plaatst de onvolprezen kwaliteit van Amerikaanse cloudplatformen in een ander perspectief. Die cloud is vaak ook de plek waar CRM- en CCaaS-oplossingen landen – inclusief een hele reeks aan ondersteunende oplossingen om de clouddiensten goed te laten draaien. Wat gebeurt er met de klantenservice als bestaande regelingen rondom gegevensbescherming of zelfs de toegang tot die cloud wegvallen?

 

Migreren naar de cloud: vanuit technologieperspectief een no-brainer en steeds vaker ook onvermijdelijk. Want on prem oplossingen bieden niet alleen te weinig innovatiemogelijkheden, ze worden ook geleidelijk uitgefaseerd – dat geldt ook voor contactcenterplatformen. Daarnaast is schaalbaarheid een van de belangrijkste eigenschappen van cloudinfrastructuur. En dat is weer essentieel bij het gebruik van AI-oplossingen. Kortom: de cloud is de standaard en de toekomst, ook voor klantcontact en CX.

Veilig en betrouwbaar zakendoen met Amerikaanse softwarebedrijven en/of cloudaanbieders werd tot nu toe mogelijk gemaakt door verschillende (transatlantische) verdragen voor gegevensuitwisseling. De afhankelijkheid van de VS werd daarbij niet als problematisch beschouwd. Het resultaat: de top 3 grootste public cloud serviceproviders (Amazon Web Services, Microsoft en Google) binnen IaaS & PaaS hebben gezamenlijk momenteel meer dan 72% van de wereldwijde markt in handen.

Waarom Amerikaanse cloudproviders riskanter worden

Maar sinds kort staat de standaard voor cloud ter discussie, en wel om vier factoren: economische autonomie, geopolitieke omstandigheden, continuïteitsrisico’s en compliance-risico’s.

Na haar herverkiezing tot voorzitter van de Europese Commissie heeft Ursula von der Leyen het onderwerp Europese autonomie en soevereiniteit hoog op de Europese agenda gezet. Dat werd kracht bij gezet door een rapport van Mario Draghi, voormalig president van de Europese Centrale Bank en voormalig premier van Italië. Hoofdconclusie: de EU is op gebieden als economie, defensie en technologie extreem afhankelijk van externe partijen.

Kort daarna heeft het aantreden van Trump de militaire en economische verhoudingen in de wereld overhoopgegooid. De verwachtingen ten aanzien van zijn beleid plaatsen het gebruik van Amerikaanse technologie – waaronder de cloud – in een ander daglicht. Die afhankelijkheid op het vlak van ICT wordt problematisch als bij de VS het draagvlak voor verdragen op het gebied van gegevensuitwisseling afneemt of zelfs wegvalt. De VS hebben al in 2023 aangegeven dat ze niet langer akkoord gaan met opgelegde beperkingen om inlichtingen in te winnen via de datacenters van Amerikaanse bedrijven in Europa. Het nieuwe beleid is zwart op wit gezet in Project 2025, het transformatieprogramma dat de Amerikaanse Conservatieven in 2023 hebben opgesteld.

Uit Project 2025: “De Verenigde Staten hebben zich nooit serieus verzet tegen de EU; nu is de tijd rijp. Een nieuwe president moet vragen om een onmiddellijk onderzoek naar de implementatie van Uitvoeringsbevel 14086 (gericht op het afstemmen van de Amerikaanse praktijken voor het verzamelen van inlichtingen over signalen op de Europese privacyregels) en alle bepalingen die het verzamelen van inlichtingen onnodig belasten opschorten. Tegelijkertijd moeten de Verenigde Staten in onderhandelingen met de Europeanen duidelijk maken dat het blijven delen van inlichtingen met EU-lidstaten afhangt van een succesvolle oplossing van deze kwestie binnen de eerste twee jaar van de ambtstermijn van een president.” (Bron: Project 2025)

Risico’s

Wanneer de VS hun steun aan de huidige verdragen voor gegevensuitwisseling tussen de EU en de VS intrekken, voldoet het gebruik van Amerikaanse cloudoplossingen niet langer aan de GDPR. Het zou betekenen dat een groot deel van de Europese bedrijven risico’s loopt op boetes. Ook wanneer de regering Trump big tech een opdracht geeft om de dienstverlening aan specifieke bedrijven of landen stop te zetten of aanvullende voorwaarden te stellen, lopen Europese bedrijven risico’s.

Kortom, de afhankelijkheid is een risico voor compliance en bedrijfscontinuïteit. Die risicogebieden zijn overigens niet nieuw. Cloudproviders kunnen failliet gaan en of worden overgenomen; cloudproviders kunnen er ook voor kiezen om producten, diensten of de ondersteuning daarvan te beëindigen of te verregaand te beperken. Een voorbeeld hiervan is de recente aankondiging van Avaya om op korte termijn te stoppen met de dienstverlening aan contactcenters met minder dan 200 seats.

‘Europese’ clouds: echte veiligheid of schijnoplossing?

De drie hyperscalers AWS, Google en Microsoft voelen, net als andere Amerikaanse techbedrijven, de zorgen aan en spelen al een tijdje handig in op de toenemende zorgen van Europese landen. Zo bieden ze een ‘Europese cloud’ aan, met extra zekerheden als belofte: klanten kunnen hun gegevens binnen Europa opslaan en verwerken. Voorbeelden zijn Microsoft Cloud for Sovereignty, gericht op klanten in de publieke sector en overheidsinstanties, de Europese cloud van AWS, of de soevereine cloud van Google voor de Duitse markt. Ook OpenAI kwam onlangs met een GDPR-vriendelijk (marketing)aanbod. Maar hoe veilig zijn deze Europese varianten van Amerikaanse cloudproviders écht?

Wie is de baas over de aan/uit-knop?

Hoewel Amerikaanse providers technisch gezien kunnen beloven dat data binnen Europa blijft, biedt de CLOUD-Act de VS altijd juridische gronden om data toch te vorderen, ongeacht waar deze fysiek wordt opgeslagen. Dat staat uiteraard haaks op de Europese GDPR. Een vergelijkbare omstandigheid hebben we in eigen land: de Nederlandse AVG geldt conform de Wet op de inlichtingen- en veiligheidsdiensten 2017 niet voor de Nederlandse AIVD. En hoewel voor de Amerikaanse overheid een rechterlijk bevel nodig is (dat alleen gehonoreerd wordt als de rechter kan uitgaan van ‘redelijke verdenking’) is het de vraag of dit in het tijdperk Trump wezenlijk verschil maakt. Naast juridische argumenten om toegang tot data te verkrijgen zijn er zoals gezegd voldoende andere beïnvloedingsmechanismen om die toegang af te dwingen – denk aan politieke druk of economische sancties.

Overstappen: ja, nee of gedeeltelijk?

De vraag is hoe bedrijven en overheden kunnen en willen reageren op deze ontwikkelingen, die ook relevant zijn voor de koers en keuzes van (lokale) system integrators en implementatiepartners.

De vraag begint natuurlijk bij een goede analyse van de situatie, die voor iedere sector en organisatie – en tevens voor allerlei verschillende onderdelen van het IT-landschap – anders zal uitpakken. In hoeverre is afhankelijkheid een probleem? Geldt het probleem voor alle facetten van de IT of kan je je e-commerce-website prima in een Azure-cloud laten draaien? Welke risico’s zijn er en wat is hun rol – van boetes van toezichthouders tot en met continuïteitsproblemen?

Bart Veldhuis, cloud architect bij Rapid Circle

Hoe kom je tot besluitvorming? – De huidige discussie over digitale soevereiniteit is gebaat bij nuance, vindt Bart Veldhuis (cloud architect bij Rapid Circle). Hij wijst erop dat bij gebruik van cloud een risico-gebaseerde aanpak altijd essentieel is. Bepaalde risico’s zijn doorlopend relevant. Veldhuis noemt als voorbeelden geopolitieke spanningen (‘van alle tijden’) en de wijzigingen in regelgeving rondom gegevensuitwisseling met de VS (denk aan de eerdergenoemde CLOUD-Act en voorganger Patriot Act).

Veldhuis ziet wel dat Amerikaanse hyperscalers veel in het werk stellen om zo goed mogelijk op de behoeften van de Europese markt aan te sluiten. Maar helemaal ontkoppelen van de VS, dat is “zo goed als onmogelijk”, waarmee de mogelijkheid van ongewenste inmenging bijna niet te voorkomen is. Naast de risicobepaling die je moet doen (‘kans maal impact’) zijn er allerlei risico-mitigerende maatregelen denkbaar. Denk aan encryptie en sleutelbeheer; een andere maatregel is om kritieke data niet naar de cloud te brengen.

Veldhuis benadrukt: de grote Amerikaanse providers hebben enorme commerciële belangen bij de Europese markt. Zij zullen alles in het werk stellen om hun dienstverlening veilig te houden voor EU-gebruikers. Desgevraagd geeft Veldhuis aan dat het – gezien de ontwikkelingen – zeker niet te vroeg is voor extra mitigerende maatregelen: “die moet je nú nemen”. Hij denkt dan vooral aan maatregelen als lokale data-backups, en het voorbereiden en inrichten van alternatieve applicatiecapaciteit, bijvoorbeeld om een recovery te kunnen doen.

Zijn er Europese datacenters en SaaS-oplossingen?

Voor bedrijven die een overstap overwegen, zowel voor de cloudinfrastructuur als voor het applicatielandschap, is er keuze genoeg. Er zijn veel Europese datacenters die Europees eigendom zijn. Computable noemt onder meer OVHcloud, T-Systems, Outscale, Scaleway, Data4 Group, NorthC Datacenters en TaigaCloud. Zij bieden colocatie-, hosting- en clouddiensten aan in tal van Europese en andere landen. Daarnaast worden Sovereign Cloud Stack (SCS) en EuroStack genoemd als voorbeelden van blauwdrukken voor een Europese cloudinfrastructuur.

Ook somt Computable verschillende kernapplicaties op voor de werkplek die kunnen evenaren met Microsoft 365 of Google Workspace, zoals Nextcloud, Proton Mail en zelfs een Europese webbrowser (Vivaldi). De vraag is wel of kleinere cloudaanbieders voldoende schaalgrootte hebben om competenties, capaciteit en voorzieningen op het vlak van security op peil te houden.

Naast de cloudinfrastructuur zijn er op het gebied van CCaaS-oplossingen tientallen Europese aanbieders van contactcenterplatformen. De investering in tijd en geld die nodig is voor het wisselen van CCaaS-platform hangt uiteraard wel af van de complexiteit van het contactcenter en de beschikbaarheid van API’s met andere SaaS-oplossingen zoals CRM of ERP, WFM, AI-toepassingen, Quality Monitoring, Social media et cetera.

Overstappen in de cloud: deze hindernissen kom je tegen

Maar met het kiezen voor een Europees datacenter en een Europese CCaaS-aanbieder ben je nog niet van je afhankelijkheid van Amerikaanse technologie af. Die is ook nadrukkelijk aanwezig in andere lagen van de cloudstack ofwel het IT-landschap waarin je CCaaS-oplossing draait. Andere keuzes maken heeft dan ook ingrijpende technische, financiële en bedrijfseconomische implicaties. Juist daarom is het nadenken over mogelijke scenario’s inclusief mogelijke oplossingen een aanrader. Meer over die uitdagingen in deel 2 van deze serie: Overstappen naar ‘CCaaS made in EU’: geen appeltje eitje.

(Ziptone/Erik Bouwer)