Het nationale sentiment is negatief over de afhankelijkheid van ‘big tech’. Overheidsdata staat in een Amerikaanse cloud, we hebben geen eigen sociaal netwerk, enzovoort. En vergelijkbare sentimenten spelen bij andere organisaties.
Terecht wordt daarom nu op overheidsniveau een initiatief in gang gezet om wat aan die afhankelijkheid te doen. Dit initiatief staat ook bekend als Cloud Kootwijk. Maar met een motie in de Kamer zijn we er nog niet.
Emoties zijn vaak een goede indicator, maar geen goede inhoudelijke analyse. Ze leiden daarom nog wel eens tot beslissingen die onhandig, of zelfs contraproductief uitpakken. Hier legt de emotie wantrouwen bloot, maar waar die zich op richt moet een analyse uitwijzen.
Mijn zorg is dat we die analyse onvoldoende doen, en onze Cloud Kootwijk daarom te laat, te duur, te groot, en/of onvoldoende volledig wordt gerealiseerd.
Laten we eens kijken welk risico we nu werkelijk lopen met deze afhankelijkheid. We willen voorkomen dat big tech onze nationale autonomie te veel beperkt, bijvoorbeeld doordat het als drukmiddel gebruikt wordt.
Maar wie zet dan die druk? Deze vraag is nog niet zo eenduidig te beantwoorden. Is het big tech zelf? Is het de Amerikaanse overheid, die de meeste macht over big tech heeft? Of heeft big tech macht over de (Amerikaanse) overheid? Dat maakt uit voor de motieven, en mogelijk ook voor de oplossingsrichtingen.
Welke digitale dreigingen zijn er eigenlijk? De gebruikelijke insteek bij informatiebeveiliging is: vertrouwelijkheid, beschikbaarheid en integriteit.
Hoe bedreigt big tech vertrouwelijkheid? De gedachte hier is dat als data op Amerikaanse servers wordt opgeslagen, de Amerikaanse overheid er dus bij kan. Dat zit wat genuanceerder. Cloud providers verzettten zich met woord en daad tegen ongebreideld data harken, en dat drijft de kosten voor de Amerikaanse overheid op. Maar veelal krijgt de Amerikaanse overheid haar zin, ook als de data op Europese servers van een Amerikaans bedrijf staan.
De bulk van de Nederlandse overheidsdata is echter openbaar, en dat is zelfs bij wet geregeld. Als het gaat om politiek en zelfs militair beleid, is er weinig geheim. Kijk maar eens wat bijvoorbeeld het Amerikaanse Departement van Defensie allemaal publiceert. Metadata en gebruikspatronen zijn minder openbaar, en kunnen gevoelig zijn. Tegelijk hebben buitenlandse mogendheden veel andere mogelijkheden om bij gegevens en informatie te komen. Daar hebben ze Office 365 niet voor nodig. Het vertrouwelijkheidsrisico is wel belangrijk, maar zie ik niet als de belangrijkste reden om te investeren in andere oplossingen.
Hoe bedreigt big tech beschikbaarheid? De Amerikaanse overheid kan dreigen met afsluiten, en zeekabels kunnen beschadigd worden. Dat is allemaal al eens gebeurd. En ook Microsoft kan gewoon plat gaan. Niemand is ’too big to fail’. Vanuit het perspectief van ‘business resilience’, bedrijfszekerheid, is deze beschikbaarheid van steeds groter belang, omdat onze afhankelijkheid van digitale infrastructuren steeds groter wordt.
Maar hoe ga je daar mee om? Is het nodig om een complete kopie of kloon van alle capaciteit en functionaliteit te hebben? Ik denk het niet. Resilient -veerkrachtig- zijn omvat ook wat in het engels ‘graceful degradation’ heet. Een schade-event is nooit gratis. Er zijn altijd kosten, en honderd procent continuïteit is veelal te duur. Kun je echter de schade beperken, en tijd kopen om alternatieven op te bouwen? Met 20% van je capaciteit en functionaliteit zou je 80% van je resultaat moeten kunnen halen. In het geval van overheidsdata op Amerikaanse servers en software zie ik daarom meer in het hebben van een noodvoorziening die snel opgeschaald kan worden. De pandemie heeft laten zien dat in korte tijd overgeschakeld kan worden naar andere systemen voor communicatie. Dat geldt voor werkprocessen, maar ook technisch. Zoom kreeg in korte tijd een vertwintigvoudiging van het aantal gebruikers te verwerken, en op wat kleine incidenten na is de dienstverlening overeind gebleven. Met cloudtechnologie en cloudbeheermethoden is dat goed te doen. Voor de Nederlandse situatie betekent dat een noodvoorziening met enkele duizenden gebruikers. Dat moeten dan ook wel echte, dagelijkse, gebruikers zijn. Anders is de kans klein - tot verwaarloosbaar - dat dit in geval van nood gaat werken.
Hoe bedreigt big tech de integriteit van informatie? Daar zijn technische risico’s, maar die zijn niet vanzelf groter dan in alternatieven. Ik zie daarnaast een subtieler, maar minstens zo belangrijk risico. Social media leidt op een aantal manieren tot beïnvloeding van mensen en hun denkbeelden. De natuurlijke neiging van social media is om mensen in een eigen bubbel, een ’echo kamer’, een ‘fabeltjesfuik’ te stoppen.
We zien dat dat tot minder onderling begrip en meer radicalisering leidt. En het maakt vatbaar voor beinvloeding van buitenaf, zeker als die media in handen zijn van mensen met een politieke agenda. Er zijn bijvoorbeeld sterke aanwijzingen dat met hulp van Cambridge Analytica verkiezingen zijn beinvloed in onder meer Trinidad en Tobago, en de uitkomst van het Brexit referendum is gemanipuleerd. En na de tweede verkiezing van President Trump is er een offensief gestart om via sociale media nationalistische partijen in Europa aan de macht te brengen. Deze technologie kan dus denkbeelden van grote groepen mensen veranderen, ook als dat tegen het belang van een soevereine staat ingaat. Dat is een risico. Een nationaal of europees social media platform heeft niet vanzelf minder van deze risico’s.
De meest voor de hand liggende optie hier is regulering – hoe ethisch riskant dat ook is. Tussen het beschermen van groepen in de bevolking en censuur van uitingen die tegen de heersende politieke macht ingaan zit immers een flink schemergebied.
Maar regulering kan wel effectief zijn. Dat blijkt wel uit het feit dat zowel big tech als de Amerikaanse overheid zich met hand en tand verzetten tegen regulering vanuit Europa.
Kortom: onze afhankelijkheid van ‘big tech’ vergt genuanceerde, maar duidelijke actie.