Het debat rond het EUCS (European Union Cybersecurity Scheme for Cloud Services) houdt nooit op. Al vijf jaar! De kwestie van immuniteit – of hoe de digitale soevereiniteit van Europa te beschermen – blijft het gevoeligst liggen.
EUCS, vijf jaar debat en verharding van standpunten. In navolging van het Franse CIGREF heeft de Belgische vereniging Beltug zich aangesloten bij het “harde” kamp. Ze vraagt om de criteria voor immuniteit opnieuw vast te leggen voor extraterritoriale wetten die al onderzocht zijn in de “High +” categorie van de EUCS. Met “immuniteit” bedoelen we de noodzaak om te beschikken over een certificeringssysteem dat rechtskracht heeft en op uniforme wijze wordt toegepast binnen de Europese Unie, om de vertrouwelijkheid van gevoelige en strategische gegevens, al dan niet van persoonlijke aard, te beschermen en te beschermen tegen legale maar ongewenste toegang die wordt toegestaan door bepaalde niet-Europese wetgeving met extraterritoriale reikwijdte. In de huidige stand van de discussie stelt het ontwerp leveranciers echter niet langer in staat om aan te tonen dat ze opgeslagen gegevens beschermen tegen toegang door een buitenlandse mogendheid… Terwijl het risico dat niet-gevoelige gegevens van bedrijven worden blootgesteld aan extraterritoriale rechten als “beperkt” wordt beschouwd, zouden meer gevoelige gegevens die in de Europese Unie worden gehost niet mogen worden blootgesteld aan het risico van ongeautoriseerde toegang door autoriteiten in derde landen, stellen de “hardliners”. Dit omvat de gezondheidsgegevens van Europese burgers, gegevens met betrekking tot strafbare feiten of minderjarigen, evenals kritieke systemen.
Europees Cloud aanbod verzwakt
Het bewaren van vertrouwelijkheid is niet alleen een kwestie van het bestrijden van illegale en onrechtmatige toegang door cybercriminelen, maar omvat ook het voorkomen van toegang door buitenlandse inlichtingendiensten binnen een kader dat zeker legaal maar geheim is… en maar al te vaak onrechtmatig voor de organisaties die er het slachtoffer van worden. Afgezien van de soevereiniteitsprincipes verzwakt de huidige versie van het EUCS het concurrentievermogen van het Europese cloudaanbod en brengt het het vermogen van publieke en private spelers in gevaar om hun meest kritieke projecten veilig uit te besteden. Tegelijkertijd draagt het bij aan een groeiende afhankelijkheid van Amerikaanse cloud operators (70% van de markt voor clouddiensten in Europa), wat op de lange termijn onhoudbare economische, geopolitieke en juridische risico’s met zich meebrengt.
Angst voor Washington
Deze mening is niet unaniem. Sommige Europese landen, waaronder Duitsland, zijn voorzichtiger. De herinvoering van immuniteitscriteria op het niveau “High+” doet hen vrezen voor reacties uit Washington. De invoering van dit niveau van certificering zou de economische relaties met de Verenigde Staten kunnen schaden en tot handelsvergelding kunnen leiden, stellen zij. Als dit debat nooit eindigt, dan is dat omdat het niet alleen gaat over cyberbeveiliging en de digitale autonomie van Europa, maar ook over de toekomst van Europese leveranciers van clouddiensten. De kwestie van Europa’s “digitale soevereiniteit” wordt een kwestie van “soevereiniteit”… puur en simpel!