Soevereine clouds als veilige havens

In 2018 werd in de US de ‘Clarifying Lawful Overseas Use of Data’ Act aangenomen, ook wel de Cloud Act genoemd. Deze wet stelt de Amerikaanse overheid in staat in de VS gevestigde technologie-bedrijven – via een dagvaarding – te dwingen de gevraagde gegevens te verstrekken die zijn opgeslagen op servers, ongeacht of de gegevens in de VS of op buitenlands grondgebied zijn opgeslagen. Omdat deze wet deels in strijd is met de AVG voldeden Europese organisaties vaak niet meer aan de door de EU vereiste gegevensbescherming. Zij moesten zorgen dat privacy gevoelige data, niet (meer) bij Amerikaanse bedrijven werd opgeslagen. Dus wat betreft dataverwerking en -opslag, uitwijken naar soevereine clouds, die in eigen land of de EU onder lokaal gezag stonden.   

Achtergrond van de wet

De FBI wilde data van Amerikaanse bedrijven krijgen, die niet op Amerikaanse bodem stond. In 2013 weigerde Microsoft – bij een onderzoek naar drugshandel – om emails van een Amerikaans staatsburger te verstrekken, opgeslagen in een datacenter van Microsoft in Ierland. Terechte privacy-zorgen van de technologiebedrijven zorgde uiteindelijk dat in de wet mechanismen kwamen om verzoeken aan te vechten als zij geloofden dat zo’n verzoek in strijd was met de buitenlandse privacyrechten met betrekking tot die Amerikaanse burgers.

De Europese Toezichthouder voor Gegevensbescherming (EDPS) vond inderdaad de CLOUD Act deels in strijd met de AVG. Het werd vergeleken met  de Chinese Inlichtingenwet. De AVG legt fikse beperkingen op aan de overdracht van persoonsgegevens buiten de Europese Economische Ruimte (EER) om te zorgen dat het AVG beschermingsniveau voor individuen overal hetzelfde blijft. Persoonsgegevens mogen alleen buiten de EER worden overgedragen in overeenstemming met de voorwaarden voor dergelijke overdrachten zoals vastgelegd in de AVG. Of met instemming van het individu om wiens persoonlijke data het gaat. 

Digitale soevereiniteit

Europese organisaties en bedrijven houden zich aan deze strenge Europese privacy- en compliance-regels. Voor de meeste Nederlandse bedrijven is een globale cloud op dit moment nog veilig genoeg. Het is vaak een theoretisch risico, dat de Amerikaanse overheid jouw data inziet. Maar we zien wel de opkomst van soevereine clouds, waar bedrijven lokaal voldoende grip op hun data kunnen houden. En de garantie hebben om juridisch altijd aan alle privacy- en compliance-regels te voldoen. Ook grote Amerikaanse providers hebben nu via lokale partners, soevereine cloud oplossingen ontwikkeld, waar de data op servers en storage van de lokale partners staat. 

Soevereiniteit gaat over meer dan data alleen. In feite wil je voorkomen dat je als klant in een situatie van afhankelijkheid terecht komt. Dus niet alleen de data, maar ook de applicaties en diensten moeten te migreren zijn naar andere IT-infrastructuren. Maar er is geen data-soevereiniteit zonder cloud-soevereiniteit. De geopolitieke situatie in de wereld en het onder druk staan van verschillende data-verdragen met de VS, creëerde afgelopen jaren een grotere bezorgdheid op dit gebied. Zeker bij overheidsorganisaties. We zien afgelopen jaren een groeiende samenwerking van lokale aanbieders die voor interessante innovatie zorgen op het gebied van soevereine clouds. Ook investeerders hebben geld beschikbaar voor de ontwikkeling van deze lokale cloudproviders.  

Wat is een soevereine cloud?
Een soevereine cloud is een cloud waarbij de data 100% eigenhandig wordt gecontroleerd, beheerd en bewaakt op eigen bodem en volledig voldoet aan de Nationale wet- en regelgeving over privacy en dataopslag. Virtuele infrastructuren zorgen ervoor dat niet alleen data, maar ook applicaties makkelijk naar andere IT-infrastructuren kunnen migreren. We zien een groeiend ecosysteem van providers met dezelfde ‘soevereine cloud’ standaarden. Waarmee ze via een framewerk van principes, best practices en technische vereisten kunnen garanderen dat ze voldoen aan alle voorgeschreven eisen voor datasoevereiniteit. Een combinatie van clouddiensten, het gelijktijdig waarborgen van digitale soevereiniteit en geen strikte verdor-lockin creëren. 

Naast op centrale efficiënte en Big Data en AI gerichte, server-intensieve cloudomgevingen, zien we aan de edge van de infrastructuur weer andere cloud-toepassingen ontstaan. Minder op ‘groot en efficiënt’ maar meer gericht op ‘snel en effectief’. Niet alleen voor het Internet of Things, maar vooral het Internet of People die aan de randen en via lokale nodes veilige toegang en connectiviteit zoeken met lokale verwerkingsmogelijkheden en bijbehorende data opslag. Met de opkomende ‘mechanisering’ van het internet ontstaan ook allerlei, vaak lokale ondersteunende ‘bots’ in het netwerk. Van simpele chat-engines tot  automatische agents die een steeds groter onderdeel van het internetverkeer vormen. Dat hier ook vele fake-bots of zelfs agressieve bots tussen zitten, is helaas deel van de hedendaagse werkelijkheid.

Zerotrust

Zoveel cloud-knooppunten, decentrale nodes en ‘onbemande’ chat-engines maken het lastig goed en kwaad te scheiden. Wat zijn herkenbaar veilige, digitale havens waar je als gebruiker of organisatie met een gerust hart kunt binnenvaren en aanmeren. Zeker weten dat het geen piratennest is, waar je je digitale ‘hebben en houden’ niet zeker bent. Je opgelicht, beroofd of zelfs gekidnapt kan worden. Trustcenters die alleen toegankelijk zijn op basis van juiste gebruik van bedrijfspraktijk en regelgeving. Met richtlijnen op het gebied van minimale beveiliging, privacy, openheid en compliance. Met protocollen die beveiligingsspecialisten waarschuwen voor potentiële kwetsbaarheden. Trustcentra faciliteren op die wijze veilige communicatie en transacties, omdat ze realtime en continu de identiteit van alle partijen authenticeren en verifiëren. 

Deze realtime beveiliging kan in apps worden gebouwd. De combinatie van deze ingebouwde protocollen in zowel de app zelf, maar ook in device of toestel, communicatievorm en lokatie van gebruik verifieert continu de identiteit van de gebruiker. Zerotrust, waarbij continu ‘niets en niemand’ wordt vertrouwd. Realtime privacy- en veiligheidsinstellingen elke seconde geborgd. Geldige, actieve en actuele certificaten om überhaupt communicatie of gebruik van data mogelijk te maken. Je bent als gebruiker als het ware een volledig gecontroleerde, bewezen levende avatar: als digital twin aanwezig in een bewaakte en gecontroleerde, virtuele ruimte. Zodra ook maar iets naar onveiligheid ruikt, ‘verdampt’ de opgebouwde virtuele ruimte met alle functionaliteit en zal deze opnieuw moeten worden opgebouwd. Het moderne veiligheidsconcept van de metaverse en het gebruik van Self Sovereign Identities.   

Soevereine cloud- en trustcenters

ARPA’s Web1 was ooit de eerste opzet van het internet, waarbij we communiceerden met de eindpunten van een netwerk. Wie aan dat eindpunt aanwezig was, was gebaseerd op kennis en vertrouwen. Het aantal fysieke eindpunten groeide en centrale serviceproviders gingen als telefoonmaatschappijen deze knooppunten koppelden aan personen en organisaties. Een ontwikkeling die versnelde toen het mobiele internet zijn intrede kreeg. Vele ‘men-in-the-middel’ die de communicatie regelden, maar ook steeds meer meekeken in die communicatie.

De ontwikkeling van Web3 ontwijkt die logische middle-men en is gebaseerd op zelfstandige zerotrust gebaseerde soevereine cloud- en trustcenters om niet alleen 1:1 communicatie mogelijk te maken, maar deze ook intrinsiek veilig te houden. Door nationale overheden gegarandeerde veiligheid met controleerbare identiteiten, net zoals we ons ooit konden ‘ontdoen’ van struikrovers via publiek bewaakte tolwegen, zoals ik ooit beschreef in de blog ‘You ain’t seen nothing yet . . .’ Het veilig houden van publieke omgevingen en infrastructuur, hetgeen het internet ook is, moeten we uiteindelijk als een publieke verantwoordelijkheid zien. 

Photo: Jaguar XJ40 Sovereign Boot Lid Badge

———————- Translated by ChatGPT    ——————–

The CLOUD Act and Data Sovereignty

Introduction to the CLOUD Act

In 2018, the U.S. passed the ‘Clarifying Lawful Overseas Use of Data’ Act, also known as the CLOUD Act. This law allows the U.S. government to compel technology companies based in the U.S. to provide requested data stored on servers, regardless of whether the data is in the U.S. or on foreign soil. Because this law conflicts with the European Union’s General Data Protection Regulation (GDPR), many organizations could no longer adequately meet required data protection standards and had to ensure their sensitive data was not stored with American companies. For data processing and storage, they had to switch to sovereign clouds located within their own country or the EU under local jurisdiction.

Background of the Law

The FBI faced challenges in obtaining data from American companies when the data was not located on U.S. soil. For instance, in 2013, Microsoft refused to provide emails stored on a server in Ireland during a drug trafficking investigation. Valid privacy concerns from technology companies led to mechanisms in the law that allowed them to reject or challenge requests if they believed such requests violated foreign privacy rights concerning American citizens.

The European Data Protection Supervisor (EDPS) indeed found the CLOUD Act partially incompatible with the GDPR, comparing it to the Chinese Intelligence Law. The GDPR imposes strict limitations on the transfer of personal data outside the European Economic Area (EEA) to ensure that the level of protection for individuals remains the same everywhere. Personal data may only be transferred outside the EEA in accordance with the conditions for such transfers as outlined in the GDPR, or with the individual’s consent regarding their personal data.

Digital Sovereignty

European organizations and companies adhere to strict Dutch and/or European privacy and compliance rules. For most Dutch companies, a global cloud is still safe enough. It is often still a theoretical risk that the U.S. government will access your data. However, we also see the rise of sovereign clouds, where companies can maintain sufficient control over their data locally. And they are guaranteed to always comply with all privacy and compliance regulations. Major American providers have also developed sovereign cloud solutions through local partners, where the data is stored on the partners’ servers and storage.

Sovereignty goes beyond just data. In fact, you want to avoid becoming dependent on a single provider as a customer. So not only data, but also applications and services must be migratable to other IT infrastructures. But there is no data sovereignty without cloud sovereignty. The geopolitical situation in the world and the pressure on various data treaties with the U.S. has created greater concern in this area in recent years, especially among government organizations. We see growing cooperation among local providers who drive innovation in the area of sovereign clouds. Investors also have money available for the development of these local cloud providers.

What is a Sovereign Cloud?

A sovereign cloud is a cloud where the data is 100% controlled, managed, and monitored on Dutch soil and fully complies with Dutch privacy and data storage laws. Virtual infrastructures ensure that not only data but also applications can easily migrate to other IT infrastructures. We see a growing ecosystem of providers with the same ‘sovereign cloud’ standards. Through a framework of principles, best practices, and technical requirements, they can guarantee compliance with all prescribed requirements for data sovereignty. A combination of cloud services and the simultaneous safeguarding of digital sovereignty.

In addition to centrally efficient and Big Data and AI-focused, server-intensive cloud environments, we see other cloud applications emerging at the edge of the infrastructure. Less focused on ‘large and efficient,’ but more on ‘fast and effective.’ Not only for the Internet of Things but mainly for the Internet of People, who seek secure access and connectivity with local processing capabilities and associated data storage at the edges and through local nodes. With the emerging ‘mechanization’ of the internet, various local supporting ‘bots’ are emerging in the network. From simple chat engines to automatic agents that form an increasingly large part of internet traffic. Unfortunately, many fake bots or even aggressive bots are also part of today’s reality.

Zerotrust

So many cloud nodes, decentralized nodes, and ‘unmanned’ chat engines make it difficult to separate good from bad. What are recognizable safe digital harbors where you, as a user or organization, can enter and dock with peace of mind? Knowing for sure that it is not a pirate’s nest, where your digital ‘belongings’ are not safe. You can be scammed, robbed, or even kidnapped. Trust centers are only accessible based on proper use of business practices, regulations, and guidelines in the field of established security, privacy, openness, and compliance. With protocols that alert security specialists to vulnerabilities. Trust centers facilitate secure communication and transactions because they continuously and in real-time authenticate and verify the identity of all parties.

This real-time security can be built into apps. The combination of these built-in protocols in both the app itself and the device or equipment, communication method, and location of use continuously verifies the user’s identity. Zerotrust, where ‘nothing and no one’ is continuously trusted. Real-time privacy and security settings are guaranteed every second. Valid, active, and up-to-date certificates are necessary for any communication or use of data. As a user, you are essentially a fully controlled digital avatar: digitally present in a monitored and controlled virtual space. As soon as something seems unsafe, the built-up virtual space ‘evaporates’ with all functionality and will need to be rebuilt. The security concept of the metaverse.

Sovereign Cloud and Trust Centers

ARPA’s Web1 was once the first setup of the internet, where we communicated with the endpoints of a network. Who was present at that endpoint was based on knowledge and trust. The number of physical endpoints grew, and central service providers, like telephone companies, began linking these nodes to people and organizations. This development accelerated with the advent of mobile internet. Many middle-men regulated communication but also increasingly eavesdropped on that communication.

The development of Web3 bypasses those old, once logical middle-men and is based on independent zerotrust-based sovereign cloud and trust centers to not only enable 1:1 communication but also keep it intrinsically secure. National governments guarantee security with verifiable identities, just as we once eliminated highwaymen via publicly guarded toll roads, as I once mentioned in the blog ‘You ain’t seen nothing yet…’.

Conclusion

Sovereign cloud and trust centers represent the evolution of the internet towards Web3, focusing on intrinsic security and avoiding middlemen. Guaranteed by national governments, these infrastructures enable secure communication and maintain data sovereignty, ensuring users’ digital presence remains safeguarded.