Cloud interoperabiliteit kern van Nederlandse oproepen tot wijziging EU Data Act

Het voorstel is tot stand gekomen door de Autoriteit Consument en Markt (ACM) in Nederland na een onderzoek dat het heeft uitgevoerd naar de markt voor clouddiensten (78 pagina’s / 1,1 MB PDF) identificeerde zorgen over ‘lock-in’ van klanten, dat is waar klanten worden geconfronteerd met belemmeringen bij het overstappen tussen serviceproviders.

“Het grootste risico van lock-in is dat het de prikkels om hoogwaardige diensten tegen concurrerende prijzen te leveren vermindert”, zegt de ACM in haar marktonderzoeksrapport. “Een negatief effect van lock-in dat nu al zichtbaar is, is dat gebruikers niet kunnen overstappen als de kosten van het gebruik van de cloud meestal hoger blijken te zijn dan gebruikers vooraf inschatten, wat vaak het geval is.”

In de cloudmarkt bieden sommige cloudproviders wat de ACM heeft aangeduid als “een geïntegreerde service” waar bedrijven toegang hebben tot cloudgebaseerde infrastructuur, software en platformservices. De ACM zei dat er barrières kunnen zijn voor bedrijven om over te stappen op andere diensten – met name software-as-a-service (SaaS) of platform-as-a-service (PaaS)-oplossingen – van een geïntegreerde dienstverlener. Het uitte ook bezorgdheid over de interoperabiliteit tussen verschillende oplossingen van serviceproviders, waarvan het zei dat het gevolgen heeft voor bedrijven die gebruik maken van meer dan één cloudprovider.

De ACM heeft gezegd dat er wijzigingen moeten worden aangebracht in het ontwerp van de EU-Datawet om overstappen en interoperabiliteit met betrekking tot gegevensverwerkingsdiensten te bevorderen, om de vastgestelde problemen aan te pakken.

De bestaande voorstellen voor de Datawet beogen de ontwikkeling van nieuwe Europese normen voor de interoperabiliteit van gegevensverwerkingsdiensten. De ACM heeft gezegd dat de conceptwet Datawet moet worden aangepast (2 pagina’s / 90 KB PDF) om te eisen dat dienstverleners voor gegevensverwerking, bij gebrek aan standaarden voor het soort diensten dat zij aanbieden, worden verplicht om Application Programming Interfaces (API’s) beschikbaar te stellen ter ondersteuning van interoperabiliteit met andere diensten.

Volgens de voorstellen zouden die API’s “waar technisch haalbaar moeten garanderen dat diensten van derden dezelfde functionele gelijkwaardigheid kunnen genieten als diensten van de eerste partij”. De maatregel zou worden onderbouwd door een nieuwe plicht voor exporterende aanbieders van gegevensverwerkingsdiensten om “ervoor te zorgen dat de klant, na over te stappen op een dienst die hetzelfde type dienst omvat als aangeboden door een andere aanbieder van gegevensverwerkingsdiensten, functionele gelijkwaardigheid kan genieten bij het gebruik van de nieuwe dienst”.

In haar marktonderzoeksrapport stelt de ACM dat bedrijven die gebruikmaken van clouddiensten ook hun cloudstrategieën kunnen aanpassen om het risico van ‘lock-in’ aan een leverancier aan te pakken.

Het zei: “Gezien de complexiteit van een volledige overstap, is het des te belangrijker dat gebruikers de vrijheid hebben om de beste of goedkoopste service van de verschillende cloudproviders en derde partijen te kiezen en te combineren. Een cloudgebruiker zou dan ook kunnen kiezen voor een geleidelijke migratie, ook als er koppelingen tussen de verschillende diensten nodig zijn.”

Het onderzoek van de ACM en bijbehorende voorstellen is het laatste in een reeks van recente interventies van de Nederlandse overheid op de cloudmarkt.

Vorige maand heeft de Nederlandse overheid haar cloudbeleid geüpdatet om gevoelige persoonlijke gegevens waarvoor overheidsdiensten verantwoordelijk zijn, te kunnen opslaan door Amerikaanse cloudproviders, op voorwaarde dat de gegevens worden versleuteld en andere waarborgen. Daarnaast heeft het Nationaal Cyber ​​​​Security Centrum (NCSC) in Nederland onlangs een memo gepubliceerd en gepromoot over het extraterritoriale bereik van de US CLOUD Act en de gerelateerde risico’s waarmee EU-entiteiten worden geconfronteerd met betrekking tot de openbaarmaking van gegevens waarvoor zij verantwoordelijk zijn aan de Amerikaanse autoriteiten.