Gaia-X: één Europese cloud, maar is het veilig genoeg?

© PXimport

Gaia-X: één Europese cloud, maar is het veilig genoeg?

Geplaatst: 26 oktober 2021 - 05:01

Aangepast: 25 november 2022 - 11:13

Rens Blom

Europese organisaties en overheden werken sinds 2019 aan Gaia-X, een gezamenlijke data-infrastructuur die de gegevens van Europeanen veilig moet houden. Want nu staan die gegevens opgeslagen bij allerlei buitenlandse bedrijven, die er andere normen en waarden op nahouden. Hoewel Gaia-X vordert, vragen critici zich af hoe Europees en veilig het ambitieuze project wordt.

Grote kans dat je gebruikmaakt van software met een cloudomgeving, die jouw foto’s, bestanden en andere data opslaat in een land buiten de Europese Unie (EU). Je hebt dan weinig tot geen zicht op wat er met die gegevens gebeurt en kunt dus niet controleren of het betreffende bedrijf zich aan de wet houdt. De privacywetgeving in landen als de Verenigde Staten en China is sowieso minder streng dan die van de EU. En van sommige nationale inlichtingendiensten is bekend dat ze graag eindeloos in de datastromen neuzen.

De data van Europese burgers is daarom veiliger in handen van Europese partijen die zich aan de Europese wetgeving moeten houden, zo kwam een groep van Franse en Duitse partijen in 2019 overeen. Zij startten het project Gaia-X, dat een gezamenlijke data-infrastructuur moet worden voor Europese burgers, bedrijven en overheden. Na de oprichting van Gaia-X hebben partijen uit veel EU-landen zich bij het project aangesloten. Een van de doelen is de Europese Unie minder afhankelijk te maken van de cloudomgevingen van niet-Europese partijen.

Gaia-X-label

Gaia-X gaat zelf geen hardware of software ontwikkelen, maar wordt een organisatie waar partijen zich – tegen een betaling – aan kunnen verbinden. Als ze voldoen aan de regels van Gaia-X, krijgen ze een label dat ze mogen gebruiken in hun marketinguitingen. Door het label weet jij als consument, zakelijke gebruiker of overheidsinstantie dat de betreffende clouddienst echt veilig is.

Gaia-X maakt op dit moment ook de nodige technische documentatie die deelnemende partners straks kunnen gebruiken om hun clouddiensten compatibel te maken met de Gaia-X-standaarden. Het doel hiervan is dat de clouddiensten op een veilige en privacy-vriendelijke manier kunnen ‘praten’, dus data uitwisselen en opslaan. GAIA AISBL, de organisatie achter Gaia-X, zegt het heel belangrijk te vinden dat jij zelf de regie hebt. Fijn voor jou als consument, maar helemaal belangrijk voor bedrijven en overheden. Gaia-X moet dergelijke organisaties complete zeggenschap geven over het gebruik van de data.

Gaia-X gaat zelf geen hard- of software ontwikkelen, wel standaarden uitbrengen.

© PXimport

Breed gedragen megaproject

De ambities van Gaia-X zijn dus groot. De organisatie is sinds 2019 bezig om het Gaia-X-project van de grond te tillen. De dienst verkeert na twee jaar nog steeds in de organisatorische opstartfase en de meeste overleggen vinden nog achter de schermen plaats. Sommige belangrijke documenten worden wel publiekelijk beschikbaar gemaakt. Jij als Europeaanse inwoner merkt nog niets van Gaia-X. Eind dit jaar moet daar verandering in komen, waarover later meer.

Voor bedrijven, overheden en non-profitorganisaties is Gaia-X nu al relevant. Zij kunnen zich al een tijd aanmelden om partner te worden van Gaia-X. En dat gebeurt massaal. Vrijwel de hele techwereld lijkt zich te realiseren dat Gaia-X een project met verregaande invloed kan worden. Alle relevante techpartijen hebben zich inmiddels bij Gaia-X aangesloten. Ze zien bijvoorbeeld financiële kansen omdat de benodigde Europese infrastructuur opgetuigd moet worden of willen invloed uitoefenen op de totstandkoming van de regels.

Interesse in Gaia-X is begrijpelijk omdat de Europese Unie bijna 450 miljoen inwoners heeft, die bijna allemaal toegang hebben tot internet en gemiddeld 31 duizend euro per jaar verdienen. Oftewel, commercieel voor techbedrijven interessanter zijn dan inwoners uit bijvoorbeeld Afrikaanse landen. Ook non-profitorganisaties en overheden doen aan Gaia-X mee, met name om invloed uit te kunnen oefenen op de besluitvorming en hun (geo)politieke belangen veilig te stellen.

Nederlandse kennishub

Nederland doet dat ook. Ons land heeft een uitstekende digitale infrastructuur. Denk aan een groot en groeiend glasvezelnetwerk, het internationaal belangrijke internetknooppunt AMS-IX, hostingprovider Leaseweb en grote datacenters van onder andere Microsoft, Google en Equinix. Geen wonder dat Nederlandse partijen, van de Rijksoverheid en kennisinstanties tot commerciële bedrijven, druk in de weer zijn met Gaia-X. Betrokken partijen hebben zich eind juni verenigd in een Nederlandse kennishub, die gecoördineerd wordt door kennisinstituut TNO. Het ECP – Platform voor de Informatiesamenleving ondersteunt de hub. Onder andere Philips, SURF, de Universiteit van Amsterdam, de Dutch Data Center Association, de Nederlandse AI Coalitie en Dutch Cloud Community zijn verbonden aan de kennishub.

“Met deze ondersteuning vanuit de coalities zijn honderden bedrijven nu aangesloten bij de Nederlandse Gaia-X hub”, vertelt TNO-medewerker Jesse Robbers aan Computer!Totaal. Robbers was verantwoordelijk voor het opzetten van deze hub en zijn collega Peter Verkoulen is nu coördinator van die hub. “De doelstelling is om steeds meer partijen actief aan te laten haken aan de hub”, zeiden Robbers en Verkoulen al eerder. De kennishub inventariseert Gaia-X-projecten in Nederland en wil de Nederlandse standpunten over Gaia-X op een rijtje krijgen en die zo goed mogelijk ‘verkopen’ in Europese overleggen.

Zorgen over niet-Europese bedrijven

Het grootste punt van kritiek op Gaia-X is het toelatingsbeleid van de achterliggende organisatie. Gaia-X gaat documentatie opstellen voor een veilige data-infrastructuur voor Europa. Deelnemende bedrijven kunnen hun diensten hiervoor geschikt maken. Maar Gaia-X heeft tal van Amerikaanse en Aziatische bedrijven als lid, die volgens de organisatie van Gaia-X toegelaten zijn met hun Europese vestiging. Denk aan Google en Alibaba, maar ook Huawei. De toelating van Huawei is opmerkelijk omdat meerdere Europese overheden Huawei openlijk beschuldigen van spionage voor de Chinese overheid. Om die reden is Huawei-apparatuur ook verwijderd uit de cruciale kern van de telecomnetwerken van onder meer Engeland en Nederland.

Volgens Gaia-X is 95 procent van de deelnemende partners Europees. Daar valt over te discussiëren.

© PXimport

Palantir

Ook het Amerikaanse Palantir is betrokken bij de totstandkoming van Gaia-X. Palantir is een bedrijf dat herhaaldelijk negatief in het nieuws is gekomen vanwege schimmige data-analyses en heeft de Amerikaanse inlichtingendienst CIA als investeerder. Europarlementariër Paul Tang (PvdA) zei al in maart tegen de Volkskrant: “Palantir hoort niet bij het rijtje van bedrijven waarmee we in zee zouden moeten willen. Niet op basis van wat we erover weten, maar juist vanwege alles wat we niet weten. Alleen al de nauwe banden met de Amerikaanse veiligheidsdiensten zouden reden moeten zijn nee te verkopen.”

Regels voor iedereen

De organisatie van Gaia-X vindt die kritiek te kort door de bocht en zegt een bedrijf niet in zijn geheel te keuren. De toelating gaat via een label dat alleen geldt voor een specifieke dienst van het bedrijf. “Elke Gaia-X-gecertificeerde dienst moet door gebruikers afgenomen kunnen worden. Dat is nu juist de kracht van een federatieve aanpak, waarbij het makkelijk moet worden om met je data van de ene naar de andere cloudprovider te verhuizen”, zo zegt Verkoulen. De organisatie zegt strenge toelatingseisen te hanteren en verplicht alle deelnemende bedrijven om zich te committeren aan de standaarden van het project. Die standaarden zijn indien mogelijk gebaseerd op bestaande EU-wetgeving, waaronder de AVG-privacywet.

Niet-Europese bedrijven die meedoen aan Gaia-X hebben bovendien geen stemrecht en dus geen invloed op de werkwijze van het project, beklemtoont Gaia-X. Robbers en Verkoulen van TNO vullen aan dat niet-Europese partijen bovendien geen deel kunnen nemen in het bestuur van Gaia-X. “Dit geldt ook voor partijen die een (hoofd)kantoor hebben in de Europese Unie, maar waar de daadwerkelijke moedermaatschappij niet in de EU is gevestigd”, aldus Verkoulen. Zoals Google, dat via zijn kantoor in Ierland meedoet aan Gaia-X maar uiteindelijk in de Verenigde Staten gevestigd is.

Toekomst van Gaia-X

Het moge duidelijk zijn dat Gaia-X een ambitieus project in de maak is. Een project waar nationale overheden, non-profitorganisaties en techbedrijven veel van verwachten en waar veel belangen een rol in spelen. Gaia-X moet Europees en volledig te vertrouwen zijn, maar ook technisch haalbaar zijn. Daar heb je de juiste bedrijven voor nodig, al is er de nodige kritiek op het toelatingsbeleid van Gaia-X. De organisatie stelt nog de vereiste documentatie op en wil in december de eerste diensten met een Gaia-X-label presenteren. Grote kans dat we daarom in 2022 veel meer gaan horen over het Europese cloudproject.

Deel dit artikel
Voeg toe aan favorieten