DOC - Europa EU

advertisement
EUROPESE COMMISSIE
MEMO
Brussel, 27 september 2012
Het aanboren van het potentieel van cloud computing in
Europa – wat houdt dat in en wat betekent het voor mij?
Zie ook IP/12/1025
Wat is cloud computing?
"Cloud computing" betekent dat gegevens die zich op andere computers bevinden via het
internet worden opgeslagen, verwerkt en gebruikt.
Veel mensen gebruik de cloud al zonder dat te weten. Webmail en sociale netwerken zijn
vaak op cloudtechnologie gebaseerd.
Voor professionele IT-gebruikers heeft cloud computing een hoge mate van flexibiliteit te
bieden wat betreft de rekenkracht die ze nodig hebben. Als een bepaalde dienst
bijvoorbeeld meer wordt gebruikt, kan een bedrijf heel eenvoudig capaciteit toevoegen –
het installeren van nieuwe hardware in het eigen datacentrum zou heel wat langer duren.
Hoe werkt cloud computing?
De gebruiker brengt via speciale software een verbinding tot stand tussen zijn computer
en het cloudplatform. In de cloud zorgen grote datacentra met honderden servers en
opslagsystemen voor de nodige rekenkracht; hierop kunnen klanten de meest
uiteenlopende software (van gegevensverwerking tot games) laten draaien. Soms zijn
deze diensten gratis (bijvoorbeeld webmail), maar meestal betalen klanten naar rato van
het gebruik of een bedrag per maand.
Waar worden mijn gegevens opgeslagen wanneer ik de cloud
gebruik?
In een datacentrum dat ergens ter wereld staat. Als gebruikers de geografische locatie
belangrijk vinden, kunnen zij ervoor zorgen dat die deel uitmaakt van het cloud
computing-contract dat zij afsluiten. Andermans persoonsgegevens dienen volgens de
gegevensbeschermingsrichtlijn te worden opgeslagen in de Europese Economische Ruimte
(EER) of in een gebied met gelijkwaardige privacywetgeving.
Wat zijn de
gebruikers?
grootste
voordelen
van
cloud
computing
voor
Gebruikers hoeven geen software te kopen en evenmin dure servers en opslagmedia aan
te schaffen en te onderhouden. Dat betekent lagere kosten, minder kantoorruimte en
minder eigen ondersteunend IT-personeel. Bovendien hebben gebruikers nagenoeg
volledige flexibiliteit wat betreft de opslagruimte en de tools die ze gebruiken.
MEMO/12/713
Waarom is er behoefte aan een EU-strategie om het potentieel van
cloud computing aan te boren?
De economische voordelen zijn veel groter (160 miljard euro per jaar, oftewel ongeveer
300 euro per persoon per jaar) als er in Europees verband actie wordt ondernomen.
Bedrijven voelen onzekerheid over hun wettelijke verplichtingen, onder meer door de
wirwar aan uiteenlopende voorschriften op lidstaatniveau; hierdoor wordt cloud computing
minder snel opgepakt. Uiteraard zijn cloudinitiatieven in de lidstaten (zoals Andromède in
Frankrijk, G-Cloud in het Verenigd Koninkrijk en Trusted Cloud in Duitsland) toe te
juichen, maar dit is niet voldoende en niet het meest doeltreffende middel om de markt
ten bate van iedereen te laten groeien.
Wat zijn de voordelen van een Europese cloudstrategie voor de
economie en de werkgelegenheid?
Volgens recente ramingen zouden inkomsten uit cloud computing in de EU kunnen stijgen
tot bijna 80 miljard euro in 2020 als de beleidsinterventie succesvol is (meer dan een
verdubbeling van de groei van de sector). Met deze strategie kan er dus een nieuwe
bedrijfstak worden opgebouwd en kan de concurrentie met in het bijzonder de Verenigde
Staten beter worden aangegaan.
Algemeen gezien verwachten wij een netto jaarlijkse toename van het bbp van de EU van
160 miljard euro in 2020 (of een totale toename van bijna 600 miljard euro tussen 2015
en 2020) als de volledige cloudstrategie van de EU wordt verwezenlijkt. Zonder de
strategie zouden de economische voordelen tweederde lager uitvallen.
De voordelen worden vooral behaald doordat bedrijven de kosten kunnen drukken en ze
toegang krijgen tot technologie waarmee ze productiever kunnen werken.
Wat betreft het totale aantal arbeidsplaatsen verwachten we 3,8 miljoen nieuwe banen bij
volledige tenuitvoerlegging van de strategie en slechts 1,3 miljoen als de
regelgevingsproblemen en andere belemmeringen niet worden aangepakt1.
Wat is het tijdschema van de acties? Hoe lang duurt het voordat er
concreet iets verandert?
De Commissie zal in 2013 werk maken van de voornaamste actiepunten uit de
mededeling, met name op het gebied van normalisatie en certificatie voor cloud
computing, de ontwikkeling van veilige en billijke contractvoorwaarden en het Europese
cloudpartnerschap. Eind 2013 wordt er een voortgangsrapport opgesteld en zal blijken of
er verdere beleids- en wetgevingsinitiatieven nodig zijn.
Wie kan er profiteren van cloud computing?
Van cloud computing kunnen alle internetgebruikers profiteren; het kan op veel gebieden
een revolutie teweegbrengen.
Uit enquêtes blijkt dat 80 % van de bedrijven die gebruik maken van de cloud 10 % tot
20 % minder uitgeven aan IT, 20 % van de bedrijven gaf zelfs een kostenbesparing van
30 % of meer aan.
1
Zie: IDC, "Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely
Barriers to Take-up", februari 2012.
2
Veel consumenten maken al gebruik van een eenvoudige vorm van cloud computing
(bijvoorbeeld van webgebaseerde e-mailaccounts). Gratis of goedkope opslagcapaciteit,
gemakkelijke toegang waar je ook bent, lagere kosten: dat zijn enkele voordelen die de
cloud te bieden heeft.
Cloud computing heeft ook voor de publieke sector veel te bieden: overheden kunnen op
een voordelige en doeltreffende manier geïntegreerde diensten aanbieden.
Cloud computing kan ook een impuls geven aan onderzoek, aangezien
onderzoeksinstellingen hun eigen IT-infrastructuur kunnen aanvullen met capaciteit die
cloudproviders aanbieden om enorme hoeveelheden gegevens op te slaan en veel sneller
te verwerken, en aan innovatie, aangezien het veel gemakkelijker en goedkoper wordt
om nieuwe ideeën voor IT-producten of -diensten uit te proberen.
Hoe kan cloud computing helpen bij de bescherming van het
milieu?
De digitale sector groeit razendsnel en is daardoor, naast de luchtvaartsector, een van de
snelst groeiende bronnen van CO2-emissies. Cloud computing kan uitkomst bieden: het is
de beste manier om de CO2-uitstoot als gevolg van computergebruik terug te dringen. Als
er grote cloudgerelateerde investeringen worden gepland, kan dat gebeuren op basis van
zuinige servers en groene energiebronnen. Het is veel moeilijker om honderden miljoenen
computergebruikers over te halen om de groene kaart trekken. Bovendien kan het gebruik
van hardware worden geoptimaliseerd, waardoor er minder fysieke machines nodig zijn
om een bepaalde taak te verrichten.
De Europese Commissie financiert een onderzoeksproject (het Eurocloud-serverproject),
waarvan de eerste resultaten aangeven dat het energieverbruik in clouddatacentra met
90 % kan worden teruggedrongen, bovenop de efficiëntieverbetering die kan worden
bereikt door over te schakelen van desktop- en serveroplossingen op cloudoplossingen.
Welke invloed kan cloud computing hebben op de ICT-sector?
Op basis van een steekproef onder 1 000 Europese bedrijven zou het wegnemen van de
belemmeringen voor het gebruik van cloud computing de volgende resultaten opleveren:
 meer dan 98 % van de Europese bedrijven zou de cloud intensiever gebruiken of er
beginnen er gebruik van te maken;
 de cloud zou nieuwe gebruikers aantrekken: 96 % van de Europese bedrijven die de
cloud niet gebruiken, maar dat wel overwegen, zou beginnen erin te investeren;
 de vraag naar IT-vaardigheden zou stijgen, niet alleen voor standaardtaken als het
beheer van datacentra, maar bijvoorbeeld ook voor digitale marketing, app-design,
sociale netwerken alsmede financiële diensten en soliditeit.
3
Details van het Europese cloudpartnerschap (ECP)
Wat is het Europese cloudpartnerschap en welk doel heeft het?
Het Europese cloudpartnerschap (ECP) zal bestaan uit vooraanstaande inkopers van de
Europese overheidsinstanties en belangrijke spelers uit de IT- en telecomsector. In het
ECP zullen onder leiding van een bestuur inkopers van overheidsdiensten en industriële
consortia bij elkaar worden gebracht om precommerciële inkoopacties te verrichten.
Hierdoor kunnen zij bepalen welke IT-eisen er in de publieke sector aan cloud computing
worden gesteld, specificaties voor IT-inkoopbeleid ontwikkelen en referentietoepassingen
inkopen. Dit kan uiteindelijk leiden tot het gemeenschappelijk of zelfs gezamenlijk inkopen
van cloud computing-diensten door overheidsinstanties op basis van gemeenschappelijke
gebruikersbehoeften. Het is niet de bedoeling dat er in het kader van het ECP fysieke
cloud computing-infrastructuur op poten wordt gezet. Wel is het de bedoeling om in
overleg met de deelnemende lidstaten en overheidsdiensten vereisten voor
aanbestedingen op te stellen die in de hele EU worden gebruikt en er daardoor voor te
zorgen dat het commerciële aanbod aan cloud computing in Europa zowel voor de
publieke als de private sector is afgestemd op de behoeften.
Hoe werkt het Europese cloudpartnerschap (ECP)?
Het bestuur geeft advies over de strategische richting en concentreert zich met name op
de toepassing van cloud computing-diensten in de publieke sector op een manier die
ervoor zorgt dat de markt zich ontwikkelt ten bate van alle potentiële cloudgebruikers.
Daarnaast is in het ECP vooral het uitvoeringsniveau van belang: er is in eerste instantie
een bedrag van 10 miljoen euro uitgetrokken voor een precommercieel inkoopproject dat
onder de categorie ICT van het kaderprogramma voor onderzoek (7e KP)2 valt. Binnen dit
project dienen verschillende actoren uit de publieke sector in een aantal lidstaten nauw
samen te werken en hun krachten te bundelen met het oog op de consolidatie van de
vereisten voor aanbestedingen in de publieke sector en het gebruik van cloud computingdiensten.
Wat zijn de belangrijkste taken van het bestuur van het
Europese cloudpartnerschap (ECP)?
De belangrijkste taken van het bestuur zijn:
 advies geven over strategische prioriteiten voor het positioneren van cloud
computing in Europa als motor voor economische groei, innovatie en kostenefficiënte
openbare diensten via het Europese cloudpartnerschap;
 aanbevelingen te doen over beleidsontwikkeling voor veilige en interoperabele cloud
computing die een bijdrage levert aan de Europese digitale interne markt.
2
Zie doelstelling 11.3 van http://cordis.europa.eu/fp7/ict/docs/ict-wp2013-10-7-2013.pdf
4
Hoe wordt het bestuur van het ECP georganiseerd?
De leden en de voorzitter van het bestuur worden benoemd door de Commissaris die
verantwoordelijk is voor de Digitale agenda en zullen handelen in hun persoonlijke
hoedanigheid. Het bestuur komt twee of drie keer per jaar samen. Het bestuur kan
organisaties en deskundigen uit het bedrijfsleven, de universitaire wereld en de overheid
raadplegen.
De openingsbijeenkomst van het bestuur zal naar verwachting plaatsvinden in het laatste
kwartaal van 2012.
Gegevensbescherming, beveiliging, privacy en gebruikersrechten
Hoe kan ik mijn rechten als gebruiker van clouddiensten laten
gelden met behulp van de strategie?
De strategie omvat een aantal maatregelen, waaronder het ontwikkelen van standaard
contractvoorwaarden met het oog op zaken die niet onder het gemeenschappelijk
Europees kooprecht vallen, zoals: de opslag van gegevens na de beëindiging van het
contract, de vrijgave en integriteit van gegevens, de locatie en overdracht van gegevens,
de eigendom van de gegevens alsmede directe en indirecte aansprakelijkheid. Door het
vaststellen en ontwikkelen van consistente oplossingen op het gebied van
contractvoorwaarden kan het vertrouwen bij de consumenten worden verhoogd, waardoor
de brede acceptatie van cloud computing-diensten wordt aangemoedigd.
Welke rol spelen de voorstellen van de Commissie inzake
gegevensbescherming bij deze strategie?
Met de knelpunten voor de aanbieders en gebruikers van cloud computing is terdege
rekening gehouden tijdens de voorbereidende werkzaamheden voor de verordening inzake
gegevensbescherming die de Commissie in januari 2012 heeft voorgesteld.
De voorgestelde verordening is een nuttig fundament voor de toekomstige ontwikkeling
van cloud computing.
Vraagtekens rond de gegevensbescherming worden beschouwd als een belangrijke
hinderpaal die de acceptatie van cloud computing in de weg staat. Het is daarom des te
belangrijker dat de Raad van Ministers en het Europees Parlement er vaart achter zetten
en de voorgestelde verordening zo vroeg mogelijk in 2013 wordt vastgesteld.
Zodra de voorgestelde verordening is vastgesteld, zal de Commissie gebruikmaken van de
nieuwe mechanismen om indien nodig aanvullende richtsnoeren te verstrekken voor de
toepassing van de Europese wetgeving inzake gegevensbescherming op cloud computingdiensten.
Wat wordt er op mondiaal niveau concreet gedaan om te zorgen
voor consistente regelgeving?
Cloud computing is een zaak die op mondiaal niveau speelt; de internationale dialoog over
veilig en naadloos grensoverschrijdend gebruik ervan dient daarom te worden
geïntensiveerd.
De Europese Commissie voert op internationaal niveau dialogen over handel,
wetshandhaving, veiligheid en cybercriminaliteit om volledig tegemoet te komen aan de
nieuwe uitdagingen die worden opgeworpen door cloud computing.
5
Deze dialogen worden gevoerd in multilaterale fora, zoals de Wereldhandelsorganisatie
(WTO) en de OESO, om te streven naar gemeenschappelijke doelstellingen voor cloud
computing-diensten, en op bilateraal niveau met de Verenigde Staten, Japan en andere
landen.
Hoe weet ik of mijn gegevens zijn opgeslagen in Europa of
elders?
In de contractvoorwaarden dient de locatie te zijn vermeld waarop gegevens worden
opgeslagen. Veel cloudproviders hebben maar één standaardcontract, dat deze informatie
niet bevat. In de strategie wordt benadrukt hoe belangrijk het is dat er
modelcontractvoorwaarden worden ontwikkeld waarin tegemoet wordt gekomen aan
zaken die niet onder het gemeenschappelijk Europees kooprecht vallen, bijvoorbeeld de
gegevenslocatie.
Wat gebeurt er met mijn gegevens als mijn cloudprovider ermee
ophoudt?
Normaal gesproken is dat vermeld in de contractvoorwaarden, maar er is behoefte aan
betere
bescherming
van
de
gebruiker.
De
Commissie
zal
daarom
modelcontractvoorwaarden ontwikkelen waarin rekening wordt gehouden met zaken die
niet onder het gemeenschappelijk Europees kooprecht vallen.
Normen, certificering en contracten
Waarom schrijft u de nodige normen niet zelf, waarom doet u
hiervoor een beroep op de sector?
Normalisatie werkt het best als het initiatief uitgaat van de sector zelf. De sector steekt al
veel energie in het creëren van normen die leiden tot meer interoperabiliteit van de cloud.
Er bestaat al wel een voorkeur voor bepaalde normen, maar men is het er nog niet over
eens welke normen de vereiste interoperabiliteit, gegevensportabiliteit en reversibiliteit
kunnen opleveren. De Commissie wil een coherent pakket aan nuttige normen vaststellen
op basis waarvan de vraag- en aanbodzijde zichzelf kunnen organiseren.
Wanneer verwacht
lanceren?
u
het
certificeringssysteem
te
kunnen
De Commissie zal in overleg met het ENISA en andere relevante organisaties bijdragen tot
de ontwikkeling van vrijwillige certificeringssystemen in de hele EU op het gebied van
cloud computing (inclusief gegevensbescherming) en zal uiterlijk in 2014 een lijst met
dergelijke systemen opstellen.
Als de certificering vrijwillig is, wat doet u dan als bedrijven niet
willen deelnemen?
Wij zullen de samenwerking met het bedrijfsleven voortzetten om het systeem
aantrekkelijker maken. De burgers zelf geven aan dat zij dergelijke informatie willen
hebben; bovendien kan certificering niet als straf voor bedrijven worden beschouwd.
Bedrijven kunnen certificering gebruiken als instrument om mogelijke klanten te laten zien
dat ze kwaliteit leveren en de voorschriften naleven.
6
Is het de bedoeling van de strategie inzake cloud computing om
een "Europese supercloud" te bouwen?
Nee, bij de strategie gaat het niet om het creëren van fysieke infrastructuur. We streven
er wel naar dat er clouddiensten aan het publiek worden aangeboden die voldoen aan de
Europese normen: de cloud dient aan de regelgeving te voldoen en concurrerend, open en
veilig te zijn.
Hoe zit het met de veiligheid in de cloud?
De cloud brengt specifieke veiligheidsrisico's op het vlak van multi-tenancy en gedeelde
middelen met zich mee: vaak maken meerdere klanten van een cloudprovider gebruik van
dezelfde fysieke infrastructuur. In de cloud laat de klant het veiligheidsaspect tot op
zekere hoogte over aan de provider, waardoor het van belang is om te kunnen beoordelen
of de cloudprovider voldoet aan de veiligheidseisen. Certificeringssystemen kunnen daarbij
een belangrijke rol spelen: de providers kunnen toekomstige gebruikers hiermee op een
betrouwbare manier laten zien dat ze aan de voorschriften voldoen. Voor klanten die niet
deskundig zijn op het gebied van IT-beveiliging, kan het zelfs van voordeel zijn om
veiligheidskwesties over te laten aan specialisten die voor de cloudproviders werken; het
beveiligingsniveau zou hierdoor verhoogd kunnen worden.
Is de cloud interoperabel? Kan ik gemakkelijk een andere
cloudprovider nemen?
Op dit moment zijn clouddiensten wat de interoperabiliteit betreft nog niet optimaal.
Cloudproviders gebruiken verschillende besturingssystemen of toepassingen met
interfaces die niet interoperabel zijn, waardoor software die bij een bepaalde cloudprovider
werkt bij andere providers moeilijkheden kan opleveren. Aangezien het moeilijk kan zijn
om gegevens van de ene cloud naar de andere te verplaatsen, kunnen klanten
afhankelijkheid raken van één provider ("lock-in").
Gaat de strategie inzake cloud computing ook in op veiligheid in
een bredere zin?
De strategie heeft geen betrekking op veiligheidskwesties rond het internet of de onlinewereld. De Commissie zal in de komende maanden haar strategie voor cyberveiligheid
presenteren, waarin wordt ingegaan op algemene uitdagingen op het vlak van
cyberveiligheid.
Deze strategie is
gericht
op
alle dienstverleners
in
de
informatiemaatschappij, met inbegrip van cloud computing-dienstverleners. Er worden
onder meer richtsnoeren gepresenteerd met passende technische en organisatorische
maatregelen die dienen te worden genomen om veiligheidsrisico 's te beheren. Bovendien
worden er rapportageverplichtingen aan de bevoegde autoriteiten vastgelegd die bij
belangrijke incidenten moeten worden nagekomen.
7
Is het de bedoeling van de strategie inzake cloud computing om
de activiteiten van internationale cloudproviders in Europa te
belemmeren?
Nee. De strategie is gericht op het vergemakkelijken van de deelname van Europa aan de
wereldwijde groei van cloud computing, door: modelcontractbepalingen die van toepassing
zijn op de overdracht van persoonlijke gegevens naar derde landen te toetsen en deze zo
nodig aan te passen aan clouddiensten; een beroep te doen op nationale instanties voor
gegevensbescherming om bindende bedrijfsvoorschriften voor cloudproviders goed te
keuren3. Bovendien zal de Commissie bij haar lopende internationale dialogen met de
Verenigde Staten, Japan en andere landen ook het onderwerp cloud computing ter sprake
brengen.
3
De desbetreffende adviezen van de werkgroep artikel 29 (zie: WP 195 en WP 153) zullen als basis
dienen voor een ontwerp van de Commissie. Bindende bedrijfsvoorschriften zijn één middel om
legale internationale gegevensoverdrachten mogelijk te maken: ze regelen op afdwingbare wijze
hoe de verschillende delen van een bedrijf, ongeacht hun internationale vestigingsplaats, omgaan
met persoonsgegevens.
8
Download