EU zwakt soevereiniteitsregels voor Amerikaanse cloudaanbieders af

EU zwakt soevereiniteitsregels voor Amerikaanse cloudaanbieders af

Aanbieders van clouddiensten die contracten willen afsluiten binnen de EU zullen te maken krijgen met minder strenge soevereiniteitsregels dan eerder voorzien. Europa lijkt een belangrijke vereiste te schrappen dat aanbieders onafhankelijk moeten zijn van wet- en regelgeving buiten de EU.

Grote cloudaanbieders als AWS, Microsoft en Google zouden hierdoor mogelijk gemakkelijker cloudcontracten kunnen afsluiten. Een voorgestelde vereiste waarbij zij moeten kunnen aantonen dat ze niet onder wet- en regelgeving buiten de EU vallen, wordt geschrapt. Dit schrijft Reuters op basis van inzicht in een relevant document.

In plaats van zeer vergaande maatregelen moeten cloudaanbieders, volgens de nieuwe versie van 22 maart, alleen informatie verstrekken over de locatie waar de data van hun klanten wordt opgeslagen en verwerkt. Daarnaast moeten zij aangeven welke (EU) wetgeving van toepassing is op deze data.

EU-securitymaatregelen voor cloudaanbieders

De EU werkt al geruime tijd aan het cybersecurity certification scheme (EUCS) om de soevereiniteit van clouddiensten binnen de EU vast te stellen. Deze regelgeving moet overheden en bedrijven in de afzonderlijke lidstaten helpen bij het selecteren van een veilige en betrouwbare leverancier van clouddiensten.

Met deze soevereiniteitsregelgeving voor clouddiensten wil de EU voorkomen dat landen eenvoudig kunnen spioneren. Bovendien vrezen sommige niet nader genoemde lidstaten dat de dominantie van voornamelijk Amerikaanse cloudaanbieders de opkomst van Europese alternatieven kan belemmeren.

In een conceptversie van de nieuwe wet- en regelgeving zou daarom zijn voorgesteld dat Amerikaanse cloudaanbieders voor het leveren van diensten aan EU-overheden en -bedrijven een joint venture moesten aangaan met een Europese leverancier. Ook zou de opslag en verwerking van data binnen de EU moeten plaatsvinden om het soevereiniteitslabel te verkrijgen.

Kritiek Europese bedrijven

De voorgestelde soevereiniteitsvereisten kregen veel kritiek van Europese bedrijven, met name uit de bank- en verzekeringssector en techstartups. Volgens deze bedrijven is het belangrijker dat technische maatregelen de beveiliging van clouddiensten reguleren, in plaats van politieke en soevereiniteitsmaatregelen. Deze kritiek lijkt nu dus effect te hebben gehad.

Lees ook: EU wil luchtvaart en banken verplichten veiliger om te gaan met clouddiensten