OVHcloud en datasoevereiniteit

Datasoevereiniteit in de cloud: een uitdaging voor iedereen in Nederland en Europa

Digitale soevereiniteit kan worden gedefinieerd als het vermogen van een staat om alle digitale hulpbronnen zelf – zonder derden of externe invloeden – te beheersen, zowel vanuit economisch, sociaal en politiek oogpunt. Kortom, een vrije keuze hebben en minder afhankelijk zijn van infrastructuur, platforms of internettoegangspunten van buiten Europa.

Gegevenssoevereiniteit geldt echter ook voor organisaties. Het bepaalt hoezeer ze hun gegevens kunnen beschermen tegen eventuele interferentie, vooral vanuit het buitenland, en zo onafhankelijk kunnen optreden, met name op gebieden die voor hun ontwikkeling van strategisch belang zijn. In het bijzonder is naleving van de Europese regelgeving, die de mogelijkheden tot overdracht van persoonsgegevens buiten de Europese Unie beperkt, een waarborg voor gegevenssoevereiniteit.

A European Cloud OVHcloud

We bevinden ons vandaag de dag in een context van wereldwijde concurrentie en een exponentiële groei van de hoeveelheid gevoelige en strategische gegevens, die in de cloud worden gebruikt. Steeds meer Europese organisaties zijn zich al bewust geworden van het belang van het beheer van hun informatiesystemen en van de gegevens die zij verwerken. Het risico van economische spionage en inmenging van buiten Europa via onbeheerste afhankelijkheden bij sommige van hun cloudproviders wordt nu erkend. Deze vormen een bedreiging voor zowel de gegevensbescherming als het vermogen om grote Nederlandse en Europese spelers te laten ontstaan. Hierdoor is het moeilijker om de internationale concurrentie op het gebied van digitale technologie het hoofd te bieden. Het verdedigen van datasoevereiniteit betekent gegevens beschermen en keuzevrijheid handhaven voor overheden, bedrijven en burgers.

KPMG-livreblanc

Europese Cloud: grote uitdagingen voor Europa en vijf scenario's met grote gevolgen voor 2027-2030

KPMG publiceerde in mei 2021 een witboek dat is opgesteld op basis van gegevens en informatie uit een breed scala aan bronnen, waaronder meer dan 250 interacties met besluitvormers in de Europese publieke en particuliere sector. Hieruit blijkt dat migratie naar de cloud een noodzaak is geworden en dat de beveiliging en soevereiniteit van gegevens een van de belangrijkste zorgen van beleidsmakers is. Bovendien lijkt het huidige paradigma van de Europese cloudmarkt niet duurzaam. Er zijn vijf scenario's geïdentificeerd met verschillende te verwachten voordelen.

Hoe garandeert OVHcloud dat de soevereiniteit van de gegevens van haar klanten gerespecteerd wordt?

 

"Bij OVHcloud geloven we dat het vermogen om onze digitale soevereiniteit uit te oefenen de sleutel is tot het waarborgen van de vrijheid van de gebruikers van onze diensten. En wel om de controle over onze toekomst te behouden, de werkgelegenheid veilig te stellen en onze Europese waarden te behouden. Dit zijn de uitdagingen van een vertrouwde cloud, die garandeert dat de soevereiniteit van strategische gegevens van staten, bedrijven en burgers wordt beschermd. We willen trouw blijven aan de oorspronkelijke belofte van het internet: van digitale technologie een ruimte van vrijheid, autonomie en collectieve innovatie maken".

Four Triangles

Een Franse pure player van de cloud, betrokken bij het Europese digitale ecosysteem

Een soevereine cloud is in de eerste plaats een cloud die wordt geleverd door een serviceprovider die zich verplicht om geen gebruik te maken van de gegevens van zijn klanten. Deze verplichting maakt intrinsiek deel uit van de waardepropositie van OVHcloud als pure player en cloudspecialist, zonder activiteiten op andere gebieden die zouden kunnen concurreren met haar klanten. OVHcloud streeft naar het opbouwen van een betrouwbare cloudoplossing om bij te dragen aan het beschermen van industriële soevereiniteit.

OVHcloud ondersteunt de inspanningen van Europese overheden en beroepsorganisaties die de digitale soevereiniteit in Europa verdedigen. OVHcloud is in het bijzonder een van de oprichters van CISPE (Cloud Infrastructure Services Providers in Europe) en het GAIA-X-project. OVHcloud levert een actieve bijdrage aan deze Europese initiatieven. Het doel hiervan is te zorgen voor de veiligheid, interoperabiliteit, transparantie en het vertrouwen die horen bij een veilig gebruik van gegevens. In 2020 startte OVHcloud het Open Trusted Cloud-programma met als doel een ecosysteem van SaaS- en PaaS-oplossingen te co-creëren in een open, reversibele en betrouwbare cloud met alle digitale spelers. Deze initiatieven zijn erop gericht het beste uit onze Europese ecosystemen te halen en een opwaartse spiraal te stimuleren.

 
Voor bedrijven

Europese klanten beschermd tegen inmenging van buitenlandse autoriteiten

OVHcloud implementeert technische en organisatorische maatregelen om de gegevens, die door haar Europese klanten in de Europese Unie worden gehost, te beschermen tegen inmenging van niet-Europese autoriteiten. Technisch gezien heeft geen enkele OVHcloud-entiteit en geen externe OVHcloud-partner, als deze gelokaliseerd is in een ander land dat niet een overeenkomstig niveau van gegevensbescherming biedt zoals dat binnen de Europese Unie van kracht is, de mogelijkheid om infrastructuren voor het hosten van deze gegevens te exploiteren en dus er toegang tot te krijgen.

Bijvoorbeeld met betrekking tot de Verenigde Staten, die sinds het ongeldig verklaren van Privacy Shield door het zogenaamde Schrems II-arrest van het Europese Hof van Justitie op 16 juli 2020 niet langer als een land met een adequaat beschermingsniveau worden beschouwd, zijn de Amerikaanse entiteiten van OVHcloud niet betrokken bij de dienstverlening aan Europese klanten van OVHcloud en hebben ze geen technische mogelijkheid om toegang te krijgen tot gegevens die door deze klanten worden gehost in de Europese datacenters van OVHcloud. Deze Amerikaanse entiteiten hebben derhalve geen controle over de gegevens die in deze datacenters zijn opgeslagen en kunnen niet ingaan op verzoeken van Amerikaanse autoriteiten om deze gegevens te verstrekken.

Alleen entiteiten die in de Europese Unie zijn gevestigd of in landen zoals Canada, waarvan het beschermingsniveau door de Europese Commissie als adequaat wordt beschouwd, kunnen onder de geldende servicevoorwaarden deelnemen aan de uitvoering van diensten die worden verleend aan Europese OVHcloud-klanten en technisch toegang hebben tot infrastructuren waarop deze laatsten hun gegevens hosten.

Volledige eerbiediging van de Europese regelgeving, vrijheden en grondrechten

Op organisatorisch niveau is de OVHcloud-groep een Europese groep waarin de Europese commerciële entiteiten, evenals entiteiten die toegang kunnen hebben tot de hosting-infrastructuren van OVHcloud binnen de Europese Unie en die door haar Europese klanten worden gebruikt, onder de exclusieve jurisdictie vallen van lidstaten van de Europese Unie of staten die door de Europese Commissie adequaat zijn bevonden. Deze entiteiten staan onder zeggenschap van OVH Groupe SAS, een bedrijf naar Frans recht, zonder enige afhankelijkheid van een entiteit of organisatie die onder de jurisdictie van staten valt die geen adequaat niveau van gegevensbescherming garanderen.

Autoriteiten (overheid, administratie, justitie, enzovoorts) van landen buiten de Europese Unie kunnen verzoeken indienen om gegevens op te vragen die door een Europese OVHcloud-klant worden gehost in een datacenter binnen de Europese Unie. In dit geval kan OVHcloud, in overeenstemming met haar beleid voor het afhandelen van verzoeken van autoriteiten en conform de bepalingen van artikel 48 van de AVG (GDPR), dergelijke verzoeken volledig afwijzen, indien deze niet in overeenstemming met een internationale overeenkomst worden gedaan, zoals een verdrag inzake wederzijdse rechtshulp dat van kracht is tussen het verzoekende land en de betrokken EU-lidstaat of -lidstaten.

Voor klanten die willen dat de gegevens die zij aan OVHcloud toevertrouwen, uitsluitend op het Europese grondgebied worden verwerkt, implementeert OVHcloud bovendien een optie waarbij alleen Europese entiteiten aan de uitvoering van de dienst deelnemen. Alle andere entiteiten, met inbegrip van entiteiten die gevestigd zijn in landen buiten de EU waarvan het beschermingsniveau door de Europese Commissie als adequaat wordt beschouwd, vallen hierbuiten.

HDS Certification OVHcloud

Voldoet aan de strengste beveiligingsstandaarden en soevereine benchmarks

Bij OVHcloud is geen enkele toegang tot klantgegevens toegestaan, tenzij de klant hierom verzoekt of na toestemming van de klant en wanneer dat nodig is, bijvoorbeeld als onderdeel van een interventie van supportteams of een onderhoudsbeurt. De onderneming zorgt voor volledige traceerbaarheid van deze acties, als een van de vele waarborgen voor gegevenssoevereiniteit.

De SecNumCloud-beveiligingscertificaat dat OVHcloud begin 2021 heeft ontvangen, verzekert klanten van gecertificeerde cloud-services dat ze oplossingen kiezen, waarvan het niveau van beveiliging en vertrouwen werd geverifieerd door de ANSSI (het Franse Agentschap voor beveiliging van informatiesystemen). OVHcloud levert haar clouddiensten ook aan overheden in Frankrijk (UGAP), het Verenigd Koninkrijk (G-Cloud), Italië (AgID) en instellingen van de Europese Commissie (DPS 1 MC5). De onderneming is ook betrokken bij de lopende werkzaamheden van het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA) inzake cyberbeveiliging van clouddiensten.

OVHcloud spant zich ook in te voldoen aan de behoeften en eisen betreffende Operators of Vital Importance en Operators of Essential Services: deze dienen in het kader van hun certificeringsprocedures risicoanalyses uit te voeren en talrijke veiligheidsmaatregelen te implementeren. Met de OVHcloud-documentatie, die gebaseerd is op de implementatie van verschillende standaarden en benchmarks (ISO 27001, ISO 27701, SecNumCloud, HDS, SOC, CSA Star, PCI-DSS en andere) kunnen klanten hun risicoanalyse uitvoeren door op transparante wijze toegang te krijgen tot de door OVHcloud geïmplementeerde maatregelen en organisatie, zodat ze de bescherming van hun gegevens kunnen veiligstellen.

Best Value Dedicated Servers

Uitgebreide controle over de toeleveringsketen en technologische afhankelijkheden

Al meer dan 20 jaar heeft OVHcloud een geïntegreerd bedrijfsmodel ontwikkeld waarmee het bedrijf haar waardeketen volledig onder controle kan houden. Het omvat de bouw en het beheer van datacenters, het ontwerp van servers en computing racks in de fabriek in Croix (Hauts-de-France), maar ook de exploitatie van een zwart glasvezelnetwerk, verlicht door OVHcloud. Deze logistieke controle garandeert door het aansturen van de toeleveringsketen een uitgebreide data- en dienstensoevereiniteit. Het beperkt ook de technologische afhankelijkheid van onderaannemers en leveranciers van OVHcloud. Tijdens de pandemie van 2020 is gebleken dat de onderneming in staat was de groei van de activiteiten van haar klanten te ondersteunen. OVHcloud had altijd hardware op voorraad, in tegenstelling tot sommige concurrenten die vaak afhankelijker zijn van hun leveranciers.

Een andere bijzonderheid van OVHcloud is dat het bedrijf open-source, vrij toegankelijke en reversibele technologie, of anders marktstandaarden, in haar producten integreert. Deze platformen respecteren “by design” de soevereiniteit van klantgegevens en worden zonder tussenkomst van externe contractanten van begin tot eind door OVHcloud geëxploiteerd. OVHcloud verzekert zich ervan dat de software-uitgevers, die de technologische bouwstenen van haar oplossingen leveren, soevereiniteitsgaranties bieden.

Onder voorbehoud van bijzondere servicevoorwaarden, verzekert OVHcloud zich ervan dat de partners die betrokken zijn bij het onderhoud van de oplossing, zich verplichten alleen op te treden vanuit Europese staten of landen met een niveau van gegevensbescherming dat gelijkwaardig is aan het niveau dat binnen de Europese Unie van kracht is en de Europese regelgeving in acht neemt. Door de volledige controle en het zeer hoge integratieniveau van externe services die in onze producten zijn geïntegreerd, kan OVHcloud een uitgebreide bescherming van de gegevenssoevereiniteit van haar klanten garanderen. Alles is gericht op een betrouwbare cloud die de soevereiniteit van Nederlandse en Europese data respecteert.

Besoin d’assistance ou d'informations ?

Demandez qu’un conseiller OVHcloud vous rappelle gratuitement