AWS certificeringen maken weinig uit

In dit artikel:

AWS publiceert binnen twee maanden na de lancering van zijn “Europese soevereine cloud” een stapel certificaten en auditrapporten om vertrouwen te winnen. Op de lijst staan SOC2 type 1, het Duitse BSI‑C5 en meerdere ISO‑normen (onder andere ISO/IEC 27001:2022, 27017, 27018, 27701, 22301, 20000‑1 en ISO 9001). Deze documenten betreffen naar verluidt zo’n zestig services van de cloudaanbieder.

Dat snelle overzicht oogt indrukwekkend, maar zegt niet alles: de reikwijdte van certificeringen verschilt per organisatie en dienst, waardoor vergelijkingen tussen bedrijven misleidend kunnen zijn. Belangrijke vragen blijven liggen: welke onderdelen vielen buiten de audit en welke juridische risico’s zijn wel of niet beoordeeld? Vooral Amerikaanse wetgeving zoals de Cloud Act en uitvoerende bevelen wordt waarschijnlijk niet behandeld in deze rapporten, terwijl die juist cruciaal zijn voor soevereiniteitszorgen.

Technische kwaliteit en uptime van de diensten zijn doorgaans meetbaar en lijken in orde, maar het bredere probleem is vertrouwen in een bedrijf dat onder Amerikaans recht valt. Duits onderzoek toont dat een groot deel van ondernemers vermoedt dat Amerikaanse hyperscalers door Washington te beïnvloeden zijn. Kortom: certificaten versterken de technische geloofwaardigheid, maar lossen politieke en juridische twijfels over datatoegang en soevereiniteit niet op.