Autoriteit Persoonsgegevens uit zorgen over afhankelijkheid Amerikaanse cloud
De Autoriteit Persoonsgegevens (AP) zegt zich grote zorgen te maken over de afhankelijkheid van vitale processen in Nederland van Amerikaanse cloud- en techbedrijven. Dat laat de AP in een brief aan demissionair minister Karremans van Economische Zaken weten (pdf). Volgens de privacytoezichthouder zijn Nederlandse vitale processen over de hele linie veel te kwetsbaar om grootschalige en langdurig niet-beschikbaarheid te voorkomen. "Nederland zou in zo’n situatie tot stilstand kunnen komen, met onoverzienbare, en mogelijk onherstelbare, maatschappelijke, economische en vooral persoonlijke schade als gevolg."
De AP vindt dat het kabinet dan ook zo snel mogelijk moet investeren in digitale soevereiniteit en ervoor zorgen dat de risico's van uitval van vitale processen worden ondervangen. Hiervoor zouden onder andere de aanbestedingsrichtlijnen moeten worden aangepast. De toezichthouder ziet op dit moment vier deelrisico's. Zo is er een grote afhankelijkheid van een beperkt aantal Amerikaans cloud- en it-leveranciers. Tevens zijn afwegingskaders ontoereikend, waardoor er te weinig oog is voor risicobeheersing.
Verder stelt de AP dat wetgeving waarmee digitale soevereiniteit voor vitale processen formeel kan worden afgedwongen ontoereikend is en ontbreken exit-strategieën bij overnames door Amerikaanse bedrijven. De toezichthouder voegt toe dat er op basis van deze vier deelrisico's nog onvoldoende sprake is van adequate risicobeheersing.
De AP roept het huidige en toekomstige kabinet op om zo snel mogelijk aanvullende maatregelen te nemen om risico’s voor de continuïteit van vitale processen en strategische afhankelijkheid te mitigeren. Zo moet er onder andere worden geïnvesteerd in schaalbare Europese alternatieven, moet er een uniforme aanpak rond het verbeteren van de digitale soevereiniteit komen en moeten exit-maatregelen in it-overeenkomsten worden opgenomen. Ook wordt gepleit voor het gebruik van een door de Europese Commissie vastgesteld framework dat een soevereiniteitsscore toekent aan cloudleveranciers.
En nu Solvinity's overname dit bekende probleem aan het licht brengt schud iedereen ineens wakker.
Dit is zeer typisch politici gedrag, pas reageren als het al fout gaat nadat je alle waarschuwingen hebt genegeerd...
Ik wil een onderzoek over waarom er niet eerder was gehandeld, met straffen voor degene die dit verzaakt hebben.
Ook al was die hele praktijk van "gooi alles maar over de schutting!" strijdig met de Europese databeschermingswetgeving (cf. Schrems I, Schrems II)? Die autoriteit die muisstil bleef toen DOGE zelfs het slappe excuus achter de Transatlantic Data Privacy Framework, de Privacy and Civil Liberties Oversight Board, eruit bonjourde?
De maaltijd kwam voor de mosterd. Het water is al onder de brug. Het kalf is al verdronken, en de put nog ongedempt.
Groei een paar, Autoriteit.
En nu Solvinity's overname dit bekende probleem aan het licht brengt schud iedereen ineens wakker.
Dit is zeer typisch politici gedrag, pas reageren als het al fout gaat nadat je alle waarschuwingen hebt genegeerd...
Ik wil een onderzoek over waarom er niet eerder was gehandeld, met straffen voor degene die dit verzaakt hebben.
Dit heet politiek agenderen, daar worden burgers zijdelings ook bij geinformeerd. Zullen we dat maar in het vervolg "het Bert-effect" noemen? Cybersecuritywet moet door de Kamer gejast worden dit voorjaar. Dan gaat pas echt los. Op het moment dat er nog nagedacht kon worden over de oorzaken en aanleidingen, toen nam niemand de telefoon op....
Het gaat om EU richtlijn 2022/2555.
Met wie zat u koffie te drinken, op 14 december 2022?
Je vraagt je wat het AP eindelijk eens wakker maakt.
Ik wil een onderzoek over waarom er niet eerder was gehandeld, met straffen voor degene die dit verzaakt hebben.
Dan moet je een onderzoek starten of een krant oid zover krijgen.
Vanuit het rijk zelf zal er niemand aangewezen worden als veroorzaker laat staan gestraft worden.
Voor andere sprookjes, de efteling.
Echt waar, dat is vele malen beter hoor.
Ik wil een onderzoek over waarom er niet eerder was gehandeld, met straffen voor degene die dit verzaakt hebben.
Dan moet je een onderzoek starten of een krant oid zover krijgen.
Vanuit het rijk zelf zal er niemand aangewezen worden als veroorzaker laat staan gestraft worden.
Voor andere sprookjes, de efteling.
Straf kun je pas krijgen op het moment dat in de wet staat dat je straf kunt krijgen. Niet eerder. Mooi, dat roepen om straffen, maar we hebben ook nog wet- en regelgeving waar we ons aan moeten houden. We zijn geen land waar mensen zonder grondslag het gevang in worden gegooid. Gelukkig maar.
Ik onderschrijf je verhaal echter wel. Nu Solvinity in het nieuws is gekomen roept iedereen "digitale soevereiniteit!!". Alsof dat een probleem is van 2025. Maar ja, vakkennis, risicobeheersing en politiek Den Haag, het was weinig, is weinig en zal ook weinig worden, gegeven de neiging tot "sensibiliseren", de verstikkende fractiediscipline, zeer beperkte IT-kennis (uitzonderingen zoals Kathmann daargelaten) en 101 andere factoren.
Voor burgers blijft de vraag: is het beter om door de kat te worden gebeten, dan door de hond?
Want die burgers zitten aan beide kanten van het hek diep in de massasurveillance-stront.
M.J.
En nu Solvinity's overname dit bekende probleem aan het licht brengt schud iedereen ineens wakker.
Dit is zeer typisch politici gedrag, pas reageren als het al fout gaat nadat je alle waarschuwingen hebt genegeerd...
Ik wil een onderzoek over waarom er niet eerder was gehandeld, met straffen voor degene die dit verzaakt hebben.
Het grote probleem dat ik zie is dat Amerikaanse reuzen wereldwijd bedrijven opkopen die in een groeimarkt zitten. (En merken als Nokia, Skype en WhatsApp verpesten.)
Ik wil een onderzoek over waarom er niet eerder was gehandeld, met straffen voor degene die dit verzaakt hebben.
Dat wil niet zeggen dat iedereen die zo'n positie bereikt even goed is. Dat varieert van mensen die consciëntieus hun werk werkelijk goed proberen te doen, en ook relatief veel in huis hebben, tot bluffers die alleen die invloedrijke positie ambiëren en voornamelijk doen alsof ze het aankunnen, en die juist daar buitengewoon goed in zijn (en die weten helaas stemmen te trekken).
Moet je raden wat er gebeurt als je mensen gaat straffen voor niet aankunnen wat eigenlijk geen mens aankan. Degenen die je ondanks de beperkingen nog het beste op die posities kan hebben haken af omdat het persoonlijke risico te groot wordt; degenen die het doen voor de persoonlijke macht durven het nog aan omdat ze gewend zijn zich overal wel doorheen te bluffen, tot ze genoeg macht hebben om niet meer gegrepen te kunnen worden. Je houdt precies de types over die je kan missen als kiespijn en je bereikt het omgekeerde van wat je beoogt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
(Senior) Informatie Beveiligingsadviseur - CISO Office
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Wil jij je op strategisch niveau bezighouden met de beveiliging van informatie waar niets mee fout mag gaan? Wij geven jou volop gelegenheid om samen met deskundige collega’s te werken aan beleid, procedures, advies, risicomanagement, metrics en projecten rond informatiebeveiliging.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?