Amazon gaat een aantal bedrijfsonderdelen en processen rond AWS volledig in Europa onderbrengen. Dat meldde Tweakers vorige week. Het is een reactie op de discussie over Europese soevereiniteit, die een impuls kreeg vanwege het afsluiten van een mailbox van de ICC-hoofdaanklager onlangs. Uiteraard blijft de vraag: is dat genoeg tegen de CLOUD Act?
Ik klonk in de titel wellicht een beetje cynisch, maar ik erger me al een tijd aan de vanzelfsprekendheid waarmee mensen aannemen dat bedrijven alles doen omdat een Amerikaanse wet dat zegt. En natuurlijk, bedrijven in Amerika kunnen dat maar beter doen ook. Maar waarom een bedrijf in Europa, enkel omdat men in een Amerikaans concern zit?
Zoals ik in 2020 blogde:
[B]innen de regels voor concerns kán een moeder niet direct bevelen wat een dochterbedrijf moet doen. Aandelen geven wel zeggenschap, maar geen bestuursbevoegdheid. Je moet dus het bestuur overtuigen, en dat kan eigenlijk alleen door te zeggen dat je het bestuur eruit gooit als ze niet doen wat je zegt. Dat zou nogal opvallen, en als in de statuten van die dochter ook nog vervelende dingen staan dan wordt dit helemaal een heilloze route.Ook is er artikel 48 AVG, dat zegt dat bevelen van Amerikaanse rechtbanken inzake afgifte persoonsgegevens zonder rechtskracht zijn. Het moet via een rechtshulpverzoek. Dus een Europese rechtbank zal zo’n bevel niet erkennen, zodat je ook langs die route niet verplicht kunt worden er aan te voldoen.
Natuurlijk kan de VS op allerlei manieren escaleren. Denk aan betalingsproviders (zoals creditcards) verbieden betalingen aan een soeverein Europees cloudbedrijf te accepteren. IP-dataverkeer tegen laten houden. Of het moederbedrijf uitsluiten van overheidsopdrachten. Maar dat valt op bij de Europese politiek.
Ik maak me zelf meer zorgen over de techniek. Hoe weet die Amazon-dochter dat er geen achterdeurtje voor Seattle in zit, zodat de Amerikanen de data gewoon kunnen grijpen als ze dat naar Amerikaans recht moeten geven?
Enerzijds, dat is hetzelfde probleem als met alle cybersecurity: of de inbreker nou bij je bedrijf werkt of niet, maakt niet uit voor de vraag of iemand ongeautoriseerd is. Anderzijds, wie volledige toegang tot alle hardware én software heeft, kan veel geniepiger achterdeuren inbouwen.
Arnoud
Bij dit soort vragen helpt het vaak om wat dingen uit te wisselen en dan de vraag te herevalueren.
Bijvoorbeeld: Stel dat AliBaba Cloud een dochteronderneming heeft met een serverfarm in de EU. Zou je daar dan je klantdata willen opslaan? Is dat antwoord verschillend dan bij AWS? Zo ja, wat is het verschil?
Die uitwisseling is leuk, maar je weet nooit zeker of Ali Baba Cloud Europe ooit overgenomen gaat worden door een (Russisch|Israëlisch|Amerikaans*) bedrijf. Als je met je data (of applicaties) de cloud in gaat moet je een plan hebben om over te kunnen stappen naar je eigen datacenter. (Stel je voor dat jouw bedrijf op een Amerikaanse sanctielijst komt te staan en je door jouw wolkenleverancier in de kou gezet wordt.)
Als we praten over backdoors… Google heeft momenteel een App Builder als onderdeel van hun Gemini AI. Heel erg handig om je eigen AI-bot mee te bouwen. Die kan ik op mijn eigen server gewoon hosten.
Maar ook hier betreft het een Amerikaans bedrijf. En kan het dus mogelijk zijn dat ze in de complete React-code ook even een backdoor inbouwen die meeluistert op mijn server. En de LLM die het gebruikt is natuurlijk van Google zelf, dus daar is ook in mee te luisteren. En al geef ik aan dat de servers in Europa gebruikt moeten worden is er nog steeds de vraag of de Amerikaanse wetgevers kunnen meeluisteren.
Sowieso ook lastif betreffende de cookies, want ik verwerk geen persoonsgegevens in de apps die ik maak, maar moet ik toch een cookie-popup geven omdat de LLM van Google is?
.
Dus ik vraag mij af wat de status van dit soort React-apps is. Al staat de gehele code van de app op mijn host in mijn huiskamer, zoals mijn simpele QR code Suite, maar hoe veilig is dit dan?
Die pagina heeft geeneens een LLM in de achtergrond, maar goed. Het toont wat Google kan bouwen.
Afluisteren versus opvragen: Door de Foreign Intelligence Surveillance Act (FISA) ‘mag’ er worden afgeluisterd (in het buitenland). Door de Stored Communications Act (SCA) mag informatie worden opgevraagd. De USA PATRIOT Act en de Cloud Act (Clarifying Lawful Overseas Use of Data Act) hebben onder andere deze SCA bijgewerkt. Wetten van het ene land kunnen echter conflicteren met wetten van andere landen.
De essentiële overweging is volgens mij; “Wanneer wij als Europa gaan samenwerken om Europese oplossingen te realiseren?”. Dat kan alleen als wij afstand nemen tegenover Amerikaanse -, Russische – en Chinese molochs. Laten wij wel zijn het “Extreem Kapitalisme” existeert evengoed in China, Rusland als in Amerika. In alle 3 de ‘empires’ benutten zij het extreem-nationalistisch en narcistisch denken om hun machtsblokken te vergroten. Voor alle drie zijn wij (Europa) de bijna lege voetbal (wel rijk en innovatief) waar zij tegen schoppen, maar in dit geval om Europa in het eigen doel te krijgen.
Europa moet dringend, achterstallige keuzes maken om los te komen van dat AngloSaxische denken, met kapitalistisch – of communistisch sausje overgoten. In de vorige eeuw hebben wij een wijze keuze gemaakt met de ontwikkeling van ons Rijnlands denken! In de tussentijd moeten wij roeien met de riemen, welke wij hebben en dat houdt dus nog in Amerikaanse of Europees-Amerikaanse producten en/of diensten. Wij realiseren ons daarbij dat onze data meer dan goud waard zijn en wij er verstandig aan doen om Amerikaanse bedrijven te dwingen servers in Europa (en dat is niet Zwitserland) te plaatsen. Afspraken te maken over toegang tot die data waarbij alle data bij wet afgezonderd op exclusieve Europese servers moeten zijn geplaatst. Het is illusoir dat de Amerikaanse overheid Europese data op Amerikaanse servers in Europa met rust zal laten. Met een ‘executive order’ van haar ‘dictator‘ zal zij die data toch inpikken en de toegang afsluiten voor de eigenaren (Europa).
Ik realiseer een negatief beeld te schetsen van de realiteit, zoals ik die schets, maar het is die realiteit die laat zien dat een 79-jarige president elk fatsoen voor zijn eigen en andermans geschiedenis en rechtspraak ontbeert (laat staan die van niet-Amerikanen), die geschiedenis zelfs herschrijft en door nagestreefde annexatie van Canada, Groenland en het Panamakanaal (en wat ziet Trump nog meer als oud of nieuw bezitsrecht) het fysieke grootste land ter wereld wenst te worden. Zijn plaats als de grootste President aller tijden zo niet de grootste leider van de mensheid innemend.
Deze zorg – waarbij narcistische leiders ten eigen faveure en die van de meest nabije vrienden macht, winst & vermogen nastreven – maakt dat ik denka dat wij nog onvoldoende beseffen in welke gevaarlijke tijd wij leven en hoe snel beter nog versnellend wij als Europa onze eigen kracht moeten ontwikkelen en daarmee is ook een Europees bedrijf deel uitmakend van een een Amerikaans concern een latente bedreiging van onze vrijheid.
Arnoud, met mogelijk benodigd excuus dat mijn reactie op jouw blog ook een sterk politiek karakter bezit en daarmee misschien niet helemaal thuis hoort op deze plaats, maar wel beoogd het bewustzijn van een ieder te verhogen. Ik blijf positief dat Europa dankzij haar innovatie en sociaal-menselijk karakter ook deze storm in de geschiedenis zal overleven.
Willen we een voldoende sterke EU-cloud and Saas omgeving behouden dan zullen we moeten voorkomen dat strategische EU-cloud bedrijven opgekocht worden door Amerikaanse bedrijven. We hebben de innovatieve kracht en voldoende geld om EU-clouds op te zetten, moeten ze wel beschermen tegen overnames door grote zakken met dollars.
Je bent India vergeten.