EUROPESE COMMISSIE
MEMO Brussel, 27 september 2012
Het aanboren van het potentieel van cloud computing in Europa – wat houdt dat in en wat betekent het voor mij? Zie ook IP/12/1025
Wat is cloud computing? "Cloud computing" betekent dat gegevens die zich op andere computers bevinden via het internet worden opgeslagen, verwerkt en gebruikt. Veel mensen gebruik de cloud al zonder dat te weten. Webmail en sociale netwerken zijn vaak op cloudtechnologie gebaseerd. Voor professionele IT-gebruikers heeft cloud computing een hoge mate van flexibiliteit te bieden wat betreft de rekenkracht die ze nodig hebben. Als een bepaalde dienst bijvoorbeeld meer wordt gebruikt, kan een bedrijf heel eenvoudig capaciteit toevoegen – het installeren van nieuwe hardware in het eigen datacentrum zou heel wat langer duren.
Hoe werkt cloud computing? De gebruiker brengt via speciale software een verbinding tot stand tussen zijn computer en het cloudplatform. In de cloud zorgen grote datacentra met honderden servers en opslagsystemen voor de nodige rekenkracht; hierop kunnen klanten de meest uiteenlopende software (van gegevensverwerking tot games) laten draaien. Soms zijn deze diensten gratis (bijvoorbeeld webmail), maar meestal betalen klanten naar rato van het gebruik of een bedrag per maand.
Waar worden mijn gegevens opgeslagen wanneer ik de cloud gebruik? In een datacentrum dat ergens ter wereld staat. Als gebruikers de geografische locatie belangrijk vinden, kunnen zij ervoor zorgen dat die deel uitmaakt van het cloud computing-contract dat zij afsluiten. Andermans persoonsgegevens dienen volgens de gegevensbeschermingsrichtlijn te worden opgeslagen in de Europese Economische Ruimte (EER) of in een gebied met gelijkwaardige privacywetgeving.
Wat zijn de gebruikers?
grootste
voordelen
van
cloud
computing
voor
Gebruikers hoeven geen software te kopen en evenmin dure servers en opslagmedia aan te schaffen en te onderhouden. Dat betekent lagere kosten, minder kantoorruimte en minder eigen ondersteunend IT-personeel. Bovendien hebben gebruikers nagenoeg volledige flexibiliteit wat betreft de opslagruimte en de tools die ze gebruiken.
MEMO/12/713
Waarom is er behoefte aan een EU-strategie om het potentieel van cloud computing aan te boren? De economische voordelen zijn veel groter (160 miljard euro per jaar, oftewel ongeveer 300 euro per persoon per jaar) als er in Europees verband actie wordt ondernomen. Bedrijven voelen onzekerheid over hun wettelijke verplichtingen, onder meer door de wirwar aan uiteenlopende voorschriften op lidstaatniveau; hierdoor wordt cloud computing minder snel opgepakt. Uiteraard zijn cloudinitiatieven in de lidstaten (zoals Andromède in Frankrijk, G-Cloud in het Verenigd Koninkrijk en Trusted Cloud in Duitsland) toe te juichen, maar dit is niet voldoende en niet het meest doeltreffende middel om de markt ten bate van iedereen te laten groeien.
Wat zijn de voordelen van een Europese cloudstrategie voor de economie en de werkgelegenheid? Volgens recente ramingen zouden inkomsten uit cloud computing in de EU kunnen stijgen tot bijna 80 miljard euro in 2020 als de beleidsinterventie succesvol is (meer dan een verdubbeling van de groei van de sector). Met deze strategie kan er dus een nieuwe bedrijfstak worden opgebouwd en kan de concurrentie met in het bijzonder de Verenigde Staten beter worden aangegaan. Algemeen gezien verwachten wij een netto jaarlijkse toename van het bbp van de EU van 160 miljard euro in 2020 (of een totale toename van bijna 600 miljard euro tussen 2015 en 2020) als de volledige cloudstrategie van de EU wordt verwezenlijkt. Zonder de strategie zouden de economische voordelen tweederde lager uitvallen. De voordelen worden vooral behaald doordat bedrijven de kosten kunnen drukken en ze toegang krijgen tot technologie waarmee ze productiever kunnen werken. Wat betreft het totale aantal arbeidsplaatsen verwachten we 3,8 miljoen nieuwe banen bij volledige tenuitvoerlegging van de strategie en slechts 1,3 miljoen als de regelgevingsproblemen en andere belemmeringen niet worden aangepakt1.
Wat is het tijdschema van de acties? Hoe lang duurt het voordat er concreet iets verandert? De Commissie zal in 2013 werk maken van de voornaamste actiepunten uit de mededeling, met name op het gebied van normalisatie en certificatie voor cloud computing, de ontwikkeling van veilige en billijke contractvoorwaarden en het Europese cloudpartnerschap. Eind 2013 wordt er een voortgangsrapport opgesteld en zal blijken of er verdere beleids- en wetgevingsinitiatieven nodig zijn.
Wie kan er profiteren van cloud computing? Van cloud computing kunnen alle internetgebruikers profiteren; het kan op veel gebieden een revolutie teweegbrengen. Uit enquêtes blijkt dat 80 % van de bedrijven die gebruik maken van de cloud 10 % tot 20 % minder uitgeven aan IT, 20 % van de bedrijven gaf zelfs een kostenbesparing van 30 % of meer aan.
1
Zie: IDC, "Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take-up", februari 2012.
2
Veel consumenten maken al gebruik van een eenvoudige vorm van cloud computing (bijvoorbeeld van webgebaseerde e-mailaccounts). Gratis of goedkope opslagcapaciteit, gemakkelijke toegang waar je ook bent, lagere kosten: dat zijn enkele voordelen die de cloud te bieden heeft. Cloud computing heeft ook voor de publieke sector veel te bieden: overheden kunnen op een voordelige en doeltreffende manier geïntegreerde diensten aanbieden. Cloud computing kan ook een impuls geven aan onderzoek, aangezien onderzoeksinstellingen hun eigen IT-infrastructuur kunnen aanvullen met capaciteit die cloudproviders aanbieden om enorme hoeveelheden gegevens op te slaan en veel sneller te verwerken, en aan innovatie, aangezien het veel gemakkelijker en goedkoper wordt om nieuwe ideeën voor IT-producten of -diensten uit te proberen.
Hoe kan cloud computing helpen bij de bescherming van het milieu? De digitale sector groeit razendsnel en is daardoor, naast de luchtvaartsector, een van de snelst groeiende bronnen van CO2-emissies. Cloud computing kan uitkomst bieden: het is de beste manier om de CO2-uitstoot als gevolg van computergebruik terug te dringen. Als er grote cloudgerelateerde investeringen worden gepland, kan dat gebeuren op basis van zuinige servers en groene energiebronnen. Het is veel moeilijker om honderden miljoenen computergebruikers over te halen om de groene kaart trekken. Bovendien kan het gebruik van hardware worden geoptimaliseerd, waardoor er minder fysieke machines nodig zijn om een bepaalde taak te verrichten. De Europese Commissie financiert een onderzoeksproject (het Eurocloud-serverproject), waarvan de eerste resultaten aangeven dat het energieverbruik in clouddatacentra met 90 % kan worden teruggedrongen, bovenop de efficiëntieverbetering die kan worden bereikt door over te schakelen van desktop- en serveroplossingen op cloudoplossingen.
Welke invloed kan cloud computing hebben op de ICT-sector? Op basis van een steekproef onder 1 000 Europese bedrijven zou het wegnemen van de belemmeringen voor het gebruik van cloud computing de volgende resultaten opleveren: • meer dan 98 % van de Europese bedrijven zou de cloud intensiever gebruiken of er beginnen er gebruik van te maken; • de cloud zou nieuwe gebruikers aantrekken: 96 % van de Europese bedrijven die de cloud niet gebruiken, maar dat wel overwegen, zou beginnen erin te investeren; • de vraag naar IT-vaardigheden zou stijgen, niet alleen voor standaardtaken als het beheer van datacentra, maar bijvoorbeeld ook voor digitale marketing, app-design, sociale netwerken alsmede financiële diensten en soliditeit.
3
Details van het Europese cloudpartnerschap (ECP) Wat is het Europese cloudpartnerschap en welk doel heeft het? Het Europese cloudpartnerschap (ECP) zal bestaan uit vooraanstaande inkopers van de Europese overheidsinstanties en belangrijke spelers uit de IT- en telecomsector. In het ECP zullen onder leiding van een bestuur inkopers van overheidsdiensten en industriële consortia bij elkaar worden gebracht om precommerciële inkoopacties te verrichten. Hierdoor kunnen zij bepalen welke IT-eisen er in de publieke sector aan cloud computing worden gesteld, specificaties voor IT-inkoopbeleid ontwikkelen en referentietoepassingen inkopen. Dit kan uiteindelijk leiden tot het gemeenschappelijk of zelfs gezamenlijk inkopen van cloud computing-diensten door overheidsinstanties op basis van gemeenschappelijke gebruikersbehoeften. Het is niet de bedoeling dat er in het kader van het ECP fysieke cloud computing-infrastructuur op poten wordt gezet. Wel is het de bedoeling om in overleg met de deelnemende lidstaten en overheidsdiensten vereisten voor aanbestedingen op te stellen die in de hele EU worden gebruikt en er daardoor voor te zorgen dat het commerciële aanbod aan cloud computing in Europa zowel voor de publieke als de private sector is afgestemd op de behoeften.
Hoe werkt het Europese cloudpartnerschap (ECP)? Het bestuur geeft advies over de strategische richting en concentreert zich met name op de toepassing van cloud computing-diensten in de publieke sector op een manier die ervoor zorgt dat de markt zich ontwikkelt ten bate van alle potentiële cloudgebruikers. Daarnaast is in het ECP vooral het uitvoeringsniveau van belang: er is in eerste instantie een bedrag van 10 miljoen euro uitgetrokken voor een precommercieel inkoopproject dat onder de categorie ICT van het kaderprogramma voor onderzoek (7e KP)2 valt. Binnen dit project dienen verschillende actoren uit de publieke sector in een aantal lidstaten nauw samen te werken en hun krachten te bundelen met het oog op de consolidatie van de vereisten voor aanbestedingen in de publieke sector en het gebruik van cloud computingdiensten.
Wat zijn de belangrijkste taken van het bestuur van het Europese cloudpartnerschap (ECP)? De belangrijkste taken van het bestuur zijn: • advies geven over strategische prioriteiten voor het positioneren van cloud computing in Europa als motor voor economische groei, innovatie en kostenefficiënte openbare diensten via het Europese cloudpartnerschap; • aanbevelingen te doen over beleidsontwikkeling voor veilige en interoperabele cloud computing die een bijdrage levert aan de Europese digitale interne markt.
2
Zie doelstelling 11.3 van http://cordis.europa.eu/fp7/ict/docs/ict-wp2013-10-7-2013.pdf
4
Hoe wordt het bestuur van het ECP georganiseerd? De leden en de voorzitter van het bestuur worden benoemd door de Commissaris die verantwoordelijk is voor de Digitale agenda en zullen handelen in hun persoonlijke hoedanigheid. Het bestuur komt twee of drie keer per jaar samen. Het bestuur kan organisaties en deskundigen uit het bedrijfsleven, de universitaire wereld en de overheid raadplegen. De openingsbijeenkomst van het bestuur zal naar verwachting plaatsvinden in het laatste kwartaal van 2012.
Gegevensbescherming, beveiliging, privacy en gebruikersrechten Hoe kan ik mijn rechten als gebruiker van clouddiensten laten gelden met behulp van de strategie? De strategie omvat een aantal maatregelen, waaronder het ontwikkelen van standaard contractvoorwaarden met het oog op zaken die niet onder het gemeenschappelijk Europees kooprecht vallen, zoals: de opslag van gegevens na de beëindiging van het contract, de vrijgave en integriteit van gegevens, de locatie en overdracht van gegevens, de eigendom van de gegevens alsmede directe en indirecte aansprakelijkheid. Door het vaststellen en ontwikkelen van consistente oplossingen op het gebied van contractvoorwaarden kan het vertrouwen bij de consumenten worden verhoogd, waardoor de brede acceptatie van cloud computing-diensten wordt aangemoedigd.
Welke rol spelen de voorstellen van de Commissie inzake gegevensbescherming bij deze strategie? Met de knelpunten voor de aanbieders en gebruikers van cloud computing is terdege rekening gehouden tijdens de voorbereidende werkzaamheden voor de verordening inzake gegevensbescherming die de Commissie in januari 2012 heeft voorgesteld. De voorgestelde verordening is een nuttig fundament voor de toekomstige ontwikkeling van cloud computing. Vraagtekens rond de gegevensbescherming worden beschouwd als een belangrijke hinderpaal die de acceptatie van cloud computing in de weg staat. Het is daarom des te belangrijker dat de Raad van Ministers en het Europees Parlement er vaart achter zetten en de voorgestelde verordening zo vroeg mogelijk in 2013 wordt vastgesteld. Zodra de voorgestelde verordening is vastgesteld, zal de Commissie gebruikmaken van de nieuwe mechanismen om indien nodig aanvullende richtsnoeren te verstrekken voor de toepassing van de Europese wetgeving inzake gegevensbescherming op cloud computingdiensten.
Wat wordt er op mondiaal niveau concreet gedaan om te zorgen voor consistente regelgeving? Cloud computing is een zaak die op mondiaal niveau speelt; de internationale dialoog over veilig en naadloos grensoverschrijdend gebruik ervan dient daarom te worden geïntensiveerd. De Europese Commissie voert op internationaal niveau dialogen over handel, wetshandhaving, veiligheid en cybercriminaliteit om volledig tegemoet te komen aan de nieuwe uitdagingen die worden opgeworpen door cloud computing.
5
Deze dialogen worden gevoerd in multilaterale fora, zoals de Wereldhandelsorganisatie (WTO) en de OESO, om te streven naar gemeenschappelijke doelstellingen voor cloud computing-diensten, en op bilateraal niveau met de Verenigde Staten, Japan en andere landen.
Hoe weet ik of mijn gegevens zijn opgeslagen in Europa of elders? In de contractvoorwaarden dient de locatie te zijn vermeld waarop gegevens worden opgeslagen. Veel cloudproviders hebben maar één standaardcontract, dat deze informatie niet bevat. In de strategie wordt benadrukt hoe belangrijk het is dat er modelcontractvoorwaarden worden ontwikkeld waarin tegemoet wordt gekomen aan zaken die niet onder het gemeenschappelijk Europees kooprecht vallen, bijvoorbeeld de gegevenslocatie.
Wat gebeurt er met mijn gegevens als mijn cloudprovider ermee ophoudt? Normaal gesproken is dat vermeld in de contractvoorwaarden, maar er is behoefte aan betere bescherming van de gebruiker. De Commissie zal daarom modelcontractvoorwaarden ontwikkelen waarin rekening wordt gehouden met zaken die niet onder het gemeenschappelijk Europees kooprecht vallen.
Normen, certificering en contracten Waarom schrijft u de nodige normen niet zelf, waarom doet u hiervoor een beroep op de sector? Normalisatie werkt het best als het initiatief uitgaat van de sector zelf. De sector steekt al veel energie in het creëren van normen die leiden tot meer interoperabiliteit van de cloud. Er bestaat al wel een voorkeur voor bepaalde normen, maar men is het er nog niet over eens welke normen de vereiste interoperabiliteit, gegevensportabiliteit en reversibiliteit kunnen opleveren. De Commissie wil een coherent pakket aan nuttige normen vaststellen op basis waarvan de vraag- en aanbodzijde zichzelf kunnen organiseren.
Wanneer verwacht lanceren?
u
het
certificeringssysteem
te
kunnen
De Commissie zal in overleg met het ENISA en andere relevante organisaties bijdragen tot de ontwikkeling van vrijwillige certificeringssystemen in de hele EU op het gebied van cloud computing (inclusief gegevensbescherming) en zal uiterlijk in 2014 een lijst met dergelijke systemen opstellen.
Als de certificering vrijwillig is, wat doet u dan als bedrijven niet willen deelnemen? Wij zullen de samenwerking met het bedrijfsleven voortzetten om het systeem aantrekkelijker maken. De burgers zelf geven aan dat zij dergelijke informatie willen hebben; bovendien kan certificering niet als straf voor bedrijven worden beschouwd. Bedrijven kunnen certificering gebruiken als instrument om mogelijke klanten te laten zien dat ze kwaliteit leveren en de voorschriften naleven.
6
Is het de bedoeling van de strategie inzake cloud computing om een "Europese supercloud" te bouwen? Nee, bij de strategie gaat het niet om het creëren van fysieke infrastructuur. We streven er wel naar dat er clouddiensten aan het publiek worden aangeboden die voldoen aan de Europese normen: de cloud dient aan de regelgeving te voldoen en concurrerend, open en veilig te zijn.
Hoe zit het met de veiligheid in de cloud? De cloud brengt specifieke veiligheidsrisico's op het vlak van multi-tenancy en gedeelde middelen met zich mee: vaak maken meerdere klanten van een cloudprovider gebruik van dezelfde fysieke infrastructuur. In de cloud laat de klant het veiligheidsaspect tot op zekere hoogte over aan de provider, waardoor het van belang is om te kunnen beoordelen of de cloudprovider voldoet aan de veiligheidseisen. Certificeringssystemen kunnen daarbij een belangrijke rol spelen: de providers kunnen toekomstige gebruikers hiermee op een betrouwbare manier laten zien dat ze aan de voorschriften voldoen. Voor klanten die niet deskundig zijn op het gebied van IT-beveiliging, kan het zelfs van voordeel zijn om veiligheidskwesties over te laten aan specialisten die voor de cloudproviders werken; het beveiligingsniveau zou hierdoor verhoogd kunnen worden.
Is de cloud interoperabel? Kan ik gemakkelijk een andere cloudprovider nemen? Op dit moment zijn clouddiensten wat de interoperabiliteit betreft nog niet optimaal. Cloudproviders gebruiken verschillende besturingssystemen of toepassingen met interfaces die niet interoperabel zijn, waardoor software die bij een bepaalde cloudprovider werkt bij andere providers moeilijkheden kan opleveren. Aangezien het moeilijk kan zijn om gegevens van de ene cloud naar de andere te verplaatsen, kunnen klanten afhankelijkheid raken van één provider ("lock-in").
Gaat de strategie inzake cloud computing ook in op veiligheid in een bredere zin? De strategie heeft geen betrekking op veiligheidskwesties rond het internet of de onlinewereld. De Commissie zal in de komende maanden haar strategie voor cyberveiligheid presenteren, waarin wordt ingegaan op algemene uitdagingen op het vlak van cyberveiligheid. Deze strategie is gericht op alle dienstverleners in de informatiemaatschappij, met inbegrip van cloud computing-dienstverleners. Er worden onder meer richtsnoeren gepresenteerd met passende technische en organisatorische maatregelen die dienen te worden genomen om veiligheidsrisico 's te beheren. Bovendien worden er rapportageverplichtingen aan de bevoegde autoriteiten vastgelegd die bij belangrijke incidenten moeten worden nagekomen.
7
Is het de bedoeling van de strategie inzake cloud computing om de activiteiten van internationale cloudproviders in Europa te belemmeren? Nee. De strategie is gericht op het vergemakkelijken van de deelname van Europa aan de wereldwijde groei van cloud computing, door: modelcontractbepalingen die van toepassing zijn op de overdracht van persoonlijke gegevens naar derde landen te toetsen en deze zo nodig aan te passen aan clouddiensten; een beroep te doen op nationale instanties voor gegevensbescherming om bindende bedrijfsvoorschriften voor cloudproviders goed te keuren3. Bovendien zal de Commissie bij haar lopende internationale dialogen met de Verenigde Staten, Japan en andere landen ook het onderwerp cloud computing ter sprake brengen.
3
De desbetreffende adviezen van de werkgroep artikel 29 (zie: WP 195 en WP 153) zullen als basis dienen voor een ontwerp van de Commissie. Bindende bedrijfsvoorschriften zijn één middel om legale internationale gegevensoverdrachten mogelijk te maken: ze regelen op afdwingbare wijze hoe de verschillende delen van een bedrijf, ongeacht hun internationale vestigingsplaats, omgaan met persoonsgegevens.
8
