De Europese Unie wil strengere regels invoeren voor grote digitale contracten van overheden, las ik bij Nu.nl. De aangekondigde Cloud and AI Development Act is het langverwachte antwoord op de hegemonie van US Big Tech, en deel van een breder pakket aan soevereiniteitsbevorderende maatregelen. Uitpakken maar.
De CADA, zoals het 129 pagina’s tellende ding afgekort moet worden, is een voorstel voor een Verordening (Europese wet) die primair adoptie en investeringen in AI moet versnellen en versterken. Het staat dan ook vol opdrachten om te investeren, te bouwen en te doen. En om hindernissen weg te spelen: vergunningen voor datacenters moeten binnen een jaar afgehandeld worden, bijvoorbeeld.
Het grote probleem is en blijft: US Big Tech is goedkoper en qua features ook een fors eind vooruit. Die zal dan ook snel winnen bij aanbestedingen, want je mag niet uitsluiten op vestigingsland. En omdat (op papier) de CLOUD Act geen gevaar is (want de VS is een AVG-adequaat land), is daar verder niets tegen te doen.
Het antwoord is nu een EU-breed assessment framework om de soevereiniteitsrisico’s van een dienst in te schatten. Er zijn vier niveaus, met oplopende eisen aan controle, datalokaliteit en operationele autonomie. Men lijkt inspiratie uit de niveaus 1-4 van het bestaande Cloud Sovereinty Framework te hebben gehaald, maar een aantal zaken is veranderd – zo is het vanaf niveau 2 verboden om klantdata te gebruiken voor training of fine-tuning van AI-systemen.
De soevereiniteitshaak zit in levels 3 en 4. Vanaf hier wordt hard vereist dat de dienstverlener niet onder “control” van een derde land of een in een derde land gevestigde entiteit staat (zoals gedefinieerd in de EDF-verordening 2021/697). Vanaf niveau 2 moet je een onafhankelijke auditverklaring overleggen om mee te mogen doen bij aanbestedingen van Unie-entiteiten of publieke-sectororganen. En bij bepaalde “openbare-orde” diensten is het verplicht dat je niveau 3 of 4 bent.
Naar de letter van de wet kan US Big Tech geen niveau 3 of 4-verklaring krijgen, omdat hun “control” uit een derde land komt. Ook als een in Europa gevestigde dochteronderneming de aanbieding doet. Maar er is een escape in artikel 18: de Commissie mag landen aanwijzen als “niveau 3 adequaat” als aan een aantal voorwaarden is voldaan:
- Het land is als adequaat aangewezen onder de AVG (en dat is de VS dus, totdat het DPF omvalt);
- Er bestaat geen wetgeving die in strijd is met de datatoegangsregels uit de Data Act (artikel 32), en hier zou de CLOUD Act dan tegenaan botsen;
- Er bestaat geen wetgeving, zoals sancties of embargos (OFAC/EAR), waarmee de provider gedwongen kan worden de dienst af te knijpen of te verstoren (wat mij de reden leek om de Solvinity-overname te verbieden);
- Er bestaat geen wetgeving die gebruik van de laatste technologie door de Europese klant te verbieden (herinnering aan de oude Amerikaanse crypto-exportregels waarbij “het buitenland” de zwakke versies kreeg);
- Europese clouddiensten mogen open en vrij in hún markt opereren, inclusief bij aanbestedingen.
Uiteraard is dit “maar een voorstel”, maar ik vind het een goede stap die overheden en grote organisaties zal dwingen tot een fundamentele verandering in hoe ze omgaan met ict-diensten. Cynisch als ik ben denk ik wel gelijk: niemand gaat iets doen tot deze wet er is, dan gaan ze klagen dat het zo moeilijk is, er komt twee jaar overgangsrecht en daarna gaan mensen wéér klagen dat ze meer tijd nodig hebben.
Arnoud
