Bij Microsoft bladdert de 'soevereine' laklaag van de cloud er snel af

In dit artikel:

Techbedrijven zoals Microsoft, Amazon (AWS) en Google adverteren met een ‘soevereine’ cloud voor Europese klanten: data opgeslagen binnen de EU, Europees beheer, encryptie en opties als confidential computing. In de praktijk blijken die beloften echter weinig zekerheid te bieden tegen Amerikaanse wetgeving met extraterritoriale werking (Cloud Act, FISA §702, presidentieel decreet 12333). Als de Amerikaanse regering om toegang vraagt, kunnen leveranciers gedwongen worden mee te werken, ook als de data fysiek in Europa staat.

Microsoft probeert weerstand te bieden met termen als Sovereign Landing Zones, Azure Key Vault en een contractuele “EU Data Boundary” en benadrukt dat toezicht op Europese datacenters bij een Europese board ligt. Op concrete vragen over wie technisch beheer uitvoert en of medewerkers van buiten Europa systematisch toegang kunnen krijgen, gaf het bedrijf ontwijkende antwoorden: operations zouden via “gecontroleerde, geautomatiseerde processen” verlopen en worden uitgevoerd door “wereldwijde teams”; nadere operationele details deelt Microsoft niet omdat dit per dienst verschilt. Die antwoorden laten volgens de auteur zien dat Microsoft de integriteit en continuïteit van Europese klantdata niet kan garanderen — iets wat het bedrijf ook niet expliciet claimt.

Experts wijzen erop dat confidential computing (waarbij data ook tijdens verwerking versleuteld blijft) in theorie de enige techniek is die de leverancier effectief zou kunnen uitsluiten van inzage. In de praktijk is deze techniek complex en vooral geschikt voor zeer gevoelige toepassingen; daardoor wordt hij vrijwel niet toegepast. De marketingkreet ‘soevereiniteit zonder complexiteit’ is misleidend.

Naast technische beperkingen is er een juridisch/operationeel risico: als het management van een clouddienst sanctiewetgeving moet naleven, kunnen bestuurders strafrechtelijke en civiele consequenties riskeren — recente analyses wijzen op mogelijke gevangenisstraffen tot twintig jaar en zware boetes voor niet-naleving. Een rapport over de European Sovereign Cloud van AWS, in opdracht van het ministerie van Justitie, illustreerde al dat Amerikaanse aanbieders moeilijk te beschermen zijn tegen sancties; een vergelijkbare beoordeling van Microsoft wordt momenteel uitgevoerd en de vooruitzichten zijn volgens de auteur niet gunstig.

Praktische gevolgen: publieke en private organisaties — waaronder banken die onlangs aangaven hun afhankelijkheid van Amerikaanse cloudleveranciers te willen verminderen — moeten rekening houden met beperkte waarborgen voor soevereiniteit en continuïteit. Belangengroepen en leveranciers prijzen vaak lokale opslag en management aan, maar dat blijkt vaak een rookgordijn zolang extraterritoriale wetgeving en internationale operationele praktijken doorslaggevend blijven.