Foto De Beeldunie

Met 92% van de Europese data in Amerikaanse clouds, is het herstel van de digitale soevereiniteit van de Europese Unie (EU) inmiddels een kernambitie van de Europese Commissie voor de komende vijf jaar. "We zijn in Europa te afhankelijk van technologie van China en de Verenigde Staten en moeten in onze eigen behoeften kunnen voorzien" aldus Ursula von der Leyen in haar State of the Union dit jaar. De Europese digitale innovatiestrategie en agenda is inmiddels vol onderweg.

Lokke Moerel, lid van de Cyber Security Raad (CSR) namens de wetenschap: "In Europa is de urgentie echt doorgedrongen en dat zien we ook in de landen om ons heen. Zo is digitale soevereiniteit in Duitsland inmiddels Chefsache. Als we in Europa een gesprekspartner willen zijn, zullen we op nationaal niveau een aantal stappen moeten zetten. Uitgangspunt daarbij dient te zijn: sterk in eigen huis, sterk in Europa, sterk in de rest van de wereld.” Gerrit van der Burg, lid van de CSR namens de publieke sector: “In Nederland staat dit onderwerp nog onvoldoende op de politieke agenda en wordt cybersecurity tot nog toe vooral reactief aangepakt. We reageren in crisismode en vrijwel niet vanuit het bredere perspectief van strategische autonomie. Dat moet echt anders."

Lokke Moerel, Senior Of Counsel Morrison & Foerster LLP, Hoogleraar Universiteit Tilburg en lid van de CSR namens de wetenschap (Foto: Arenda Oomen)

Volgens Moerel en Van der Burg is Nederland een van de meest gedigitaliseerde landen. De coronacrisis heeft dit proces verder versneld. “Er ontstaan daardoor steeds meer nieuwe afhankelijkheden en kwetsbaarheden”, stelt Van der Burg. “De cyberdreigingen nemen toe en we worden steeds afhankelijker van de digitale infrastructuur die in handen is van een beperkt aantal grote buitenlandse marktspelers. Dit kan grote gevolgen hebben voor onze nationale en economische veiligheid en daarmee het verdienvermogen van Nederland.” Moerel: “De hamvraag is hoe behouden we als Nederland ook in de digitale wereld controle over onze essentiële economische ecosystemen en democratische processen. “

“Uitgangspunt voor digitale autonomie dient te zijn: sterk in eigen huis, sterk in Europa, sterk in de rest van de wereld.”

Controle over democratische processen

  • Hier gaat het vooral over het functioneren van en vertrouwen in de rechtsstaat. Wanneer de staat geen controle heeft over het verkiezingsproces, omdat dit is geïnfiltreerd en wordt gemanipuleerd door vreemde mogendheden (fake news), staat onze digitale soevereiniteit onder druk. Tijdens de coronacrisis hebben we gezien dat Rusland en China stelselmatig de COVID-response van de EU en de lidstaten probeerden te ondermijnen met gerichte campagnes met misinformatie.

Controle over essentiële economische ecosystemen

  • Economische spionage: Door systematische diefstal van onze kennis uit de topsectoren en universiteiten komt ons toekomstig verdien-vermogen onder druk te staan
  • Soevereiniteit-respecterende cloud: Voor innovatie met artificiële intelligentie (AI) is enorme rekenkracht vereist (hetgeen cloud computing vergt) en verder grote hoeveelheden geharmoniseerde data. Hiervoor is het nodig dat de data in een bepaalde industriesector wordt gecombineerd. Dat is op dit moment lastig, omdat de data van onze bedrijven in silo’s in de clouds van de grote techbedrijven staat, waardoor deze data niet beschikbaar is voor Nederlandse en Europese innovatie. Toegang tot geharmoniseerde data en de cloud-infrastructuur wordt het fundament voor de Nederlandse en Europese innovatie- en kennisinfrastructuur. Daarover, zeggenschap houden, is een wezenlijk onderdeel van de Nederlandse strategische autonomie.

Veilige digitale communicatienetwerken: we zijn in toenemende mate afhankelijk van digitale communicatie voor het welzijn van burgers en voor een sterke economie. Denk aan video-vergaderen, en smart homes, maar ook aan nieuwe veiligheids-kritische diensten zoals smart energy grids, intelligente mobiliteitssystemen en op afstand bedienbare zorgrobots. Doordat de ontwikkeling en het beheer van de onderliggende technische systemen en -netwerken (zoals routers, switches, DNS-servers) steeds vaker worden gedomineerd door buitenlandse partijen, hebben organisaties en individuen slechts een beperkt inzicht in hun afhankelijkheden van deze partijen en hun systemen, laat staan dat ze daar controle over hebben. Dit beperkt onze mogelijkheden om autonoom te beslissen en te handelen over hoe we onze digitale infrastructuur inrichten en aan welke van die partijen we het transport van onze data toe willen vertrouwen.

Nieuwe technologieën zetten onze digitale soevereiniteit onder druk

Gebrek aan controle over kritische technologieën resulteert in nieuwe afhankelijkheden. Zo is de huidige encryptie niet bestand tegen de rekenkracht van de toekomstige kwantumcomputers. Moerel en Van der Burg vinden dat we nu moeten innoveren om onze kritische informatie ook in de toekomst te kunnen beschermen. Dat is niet alleen relevant voor toekomstige informatie, maar ook voor onze huidige informatie. Moerel: “Vergeet niet dat sommige vreemde staten stelselmatig onze versleutelde communicatie onderscheppen in de verwachting die later met kwantumcomputers te kunnen ontsleutelen en te analyseren met behulp van kunstmatige intelligentie, ofwel AI.” Van der Burg: “We zien criminelen op grote schaal automatisch kwetsbaarheden in software opsporen en exploiteren. We zullen echt moeten innoveren om de cybercriminelen een stap voor te blijven.”

Gerrit van der Burg, voorzitter van het College van procureurs-generaal en lid van de CSR namens de publieke sector (Foto: Arenda Oomen)

"We zullen echt moeten innoveren om de cybercriminelen een stap voor te blijven."

“Inmiddels staat nagenoeg alle data van Nederlandse overheden, bedrijven en personen in de cloud van een handjevol buitenlandse aanbieders”, vervolgt Moerel. “Als we onszelf tien jaar geleden hadden gevraagd of dit in principe een goed idee zou zijn, zou je geen voorstanders vinden. Als een van deze bedrijven uitvalt, is het net alsof de elektriciteit uitvalt, dan liggen hele sectoren van onze economie stil. We zouden nooit de switch van ons elektriciteitsnetwerk in handen van een buitenlandse partij geven. Van der Burg: “De situatie op het gebied van opsporing van digitale criminaliteit is net zo fragiel. We zijn voor strafrechtelijk onderzoek deels afhankelijk van de medewerking van enkele buitenlandse spelers. Als deze geen medewerking geven of dit te lang duurt, omdat het hoofdkantoor eerst goedkeuring moet geven, leidt dat ertoe dat wij ons werk niet goed kunnen doen. We zien in de praktijk dat dit ons te afhankelijk kan maken, hetgeen gevolgen heeft voor onze rechtsstaat en de positie van slachtoffers.”

Data als wapen: Ook TikTok is een kwestie van nationale veiligheid

Moerel stelt dat het niet alleen gaat over de afhankelijkheden voor de bedrijfsvoering en publieke taken. “Het gaat ook over wat andere staten met de informatie over onze burgers en bedrijven kunnen. Inmiddels beschouwen China en de Verenigde Staten toegang tot elkaars data als een kwestie van nationale veiligheid. Er werd lacherig over gedaan toen voormalig president Trump de TikTok-app had verbannen uit de Amerikaanse app stores, maar inmiddels heeft ook President Biden een Executive Order uitgevaardigd die het mogelijk maakt om doorgifte van gevoelige gegevens van Amerikaanse burgers naar China te voorkomen. China heeft inmiddels ook een export verbod op important data, waaronder ook data valt die het leven, wonen en werken van Chinese burgers in kaart kan brengen. Ook verbood China onlangs de DiDi-app (de Chinese Uber) uit de Chinese app stores toen dit bedrijf een beursnotering in de Verenigde Staten kreeg. We moeten hier echt naar kijken. Onze privacy-wetten beschermen wel de individuele privacy van burgers maar niet onze collectieve data. Ik durf inmiddels de stelling wel aan dat de TikTok-app inderdaad een kwestie van nationale veiligheid is.”

"Digitale autonomie vergt sturing vanaf het hoogste niveau."

De CSR heeft onlangs adviezen uitgebracht over een ‘Integrale aanpak cyberweerbaarheid’ en ‘Nederlandse Digitale Autonomie en Cybersecurity’. Belangrijkste constatering van de raad is dat cybersecurity tot nog toe vooral technisch en reactief wordt aangepakt en vrijwel niet vanuit het bredere perspectief van strategische autonomie. Moerel: “Doordat de soevereiniteitsvraag steeds meer gebieden van economie, maatschappij en democratie raakt, dient aansturing centraal plaats te vinden, maar als raad zien we dat de benodigde integratie van beleid ontbreekt. In een eerder advies constateerden we al dat we als Nederland op dit moment onvoldoende inzicht hebben in onze nieuwe afhankelijkheden en daardoor niet in staat zijn om voldoende proactief gecoördineerd technologiebeleid te kunnen voeren op het gebied van onderzoek, valoratie en industriële capaciteiten. Kortom, het huidige reactief handelen dient te worden gecombineerd met proactief monitoren en anticiperen.  Dit vergt sturing vanaf het hoogste niveau.”

Digitale autonomie chefsache

Volgens Van der Burg en Moerel moet de verantwoordelijkheid voor digitale autonomie dus op het hoogste politieke- en ambtelijke niveau worden belegd. Van der Burg: “Het moet in feite permanent onderwerp van gesprek zijn op het hoogste niveau: in de politiek, bijvoorbeeld de ministerraad, en ook in het bedrijfsleven. We moeten dagelijks bezig zijn om voor Nederland grenzen te trekken en onze onafhankelijkheid te bewaken.” Moerel: “Op dit moment heeft digitale autonomie wel de aandacht van de ministeries van Binnenlandse Zaken en Koninkrijksrelaties, Economische Zaken en Klimaat en Justitie en Veiligheid, maar er wordt te veel in silo’s gewerkt. We moeten een eenduidig beleid hebben, alleen dan kunnen we ook als Nederland een bijdrage leveren in Europa. Als je niks meebrengt aan tafel ben je ook geen volwaardige gesprekspartner.” Op de vraag wat digitale autonomie kost en welk land vooroploopt, antwoordt Van der Burg: “Het is lastig om de situatie in verschillende landen met elkaar te vergelijken. Daarvoor lopen onder meer uitgangsposities te ver uiteen. We zouden wel een voorbeeld kunnen nemen aan het Verenigd Koninkrijk, waar structureel budget wordt gereserveerd voor het bewaken van de digitale autonomie. Een vast percentage van het bruto binnenlands product (bbp) zou ook in Nederland verstandig zijn.”

“We zouden een voorbeeld kunnen nemen aan het Verenigd Koninkrijk, waar structureel budget wordt gereserveerd voor het bewaken van de digitale autonomie.”

Europese tech

Hoewel de afhankelijkheden van buitenlandse aanbieders op dit moment groot zijn, ziet de CSR geen reden tot fatalisme. Moerel: “Techinnovaties gaan altijd in golven en er is altijd weer een nieuwe golf. Er is veel mogelijk als we goed investeren. Het besef groeit dat we alternatieven nodig hebben. Laten we vooral gericht innoveren en samenwerken on dit te bereiken, waardoor tevens een gericht beroep kan worden gedaan op Europese cofinanciering.” Van der Burg: “Daarmee samenhangend moeten we ook zorgen dat we voldoende zicht hebben op wat er allemaal in onze eigen techscene gebeurt. Het mag eigenlijk niet gebeuren dat we min of meer verrast worden door de verkoop van bijvoorbeeld een kritisch internetbeveiligingsbedrijf. Kroonjuwelen moet je zien te behouden voor Nederland. Ook moeten we de ontwikkeling van startups goed monitoren en ervoor waken dat nieuwe technologieën worden misbruikt door criminelen.”

GAIA-X

In het CSR-advies ‘Nederlandse Digitale Autonomie en Cybersecurity’ wordt onder andere gesproken over het GAIA-X-project, dat is geïnitieerd door Duitsland en Frankrijk. Moerel: ik zie dat vaak wordt gedacht dat de bedoeling van GAIA-X is om onze eigen Europese cloudspeler op te zetten. Dit is echter niet het doel van GAIA-X. Het doel is tot schaalbaarheid van de cloudinfrastructuur in Europa te komen door interoperabiliteit tussen de verschillende clouddiensten te realiseren. Dit wordt bereikt door het stellen van gemeenschappelijke technische standaarden en juridische kaders voor de digitale infrastructuur. Deze vorm van interoperabiliteit gaat dus verder dan portabiliteit van data en applicaties van de ene naar de andere leverancier ter voorkoming van vendor lock-in; het betreft echt het creëren van open API’s, interoperabiliteit van sleutel beheer bij encryptie, eenduidig identity & access management, etc. Na aanvankelijke aarzeling, zien we dat inmiddels een Nederlandse coalitie actief aan dit project bijdraagt. Ik ben zelf betrokken bij een interessante Europese use case op het gebied van energie. Het begint echt te komen in Europa.” Van der Burg: “Ik zie GAIA-X ook wel als voorbeeld voor betere interoperabiliteit van andere producten en processen. Ook op het gebied van opsporingsmogelijkheden en technieken. Nederland is al behoorlijk goed op het gebied van hightech opsporing, maar het helpt natuurlijk als we heel Europa meekrijgen. We moeten meer Europese slagkracht ontwikkelen en komen tot uniforme aanpakken.”

"We moeten meer Europese slagkracht ontwikkelen en komen tot uniforme aanpakken."

Digitale autonomie blijft op agenda CSR

Van der Burg: “Digitale autonomie blijft nog wel even op de agenda van de CSR. De technische en geopolitieke ontwikkelingen gaan zo snel dat we hier de vinger aan de pols houden. Digitale autonomie dient ook – evenals cybercrimebestrijding -  een aparte plek te krijgen in het jaarlijks gepubliceerde Cybersecuritybeeld Nederland.” Moerel vult aan: “De raad verdiept zich de komende tijd in het vraagstuk hoe onze collectieve data door vreemde mogendheden kan worden ingezet als wapen en hoe we ons daar beter tegen kunnen beschermen. Ander onderwerp op de agenda is hoe we burgers meer controle over hun data kunnen geven door een betrouwbare universele Nederlandse digitale identiteit. Op een aantal onderdelen van ons advies inzake digitale autonomie zijn inmiddels de eerste stappen gezet, zoals het verhogen van de bewustwording van strategische autonomie in cybersecurity en het verbeteren van het Nederlandse valorisatie en innovatieklimaat. Onderdeel van het advies van de CSR was een handreiking 'Toetsingskader digitale autonomie en cybersecurity', dat inmiddels door het ministerie van Economische Zaken en Klimaat wordt geoperationaliseerd.”

Wat moet er gebeuren?

Vooruitlopend op nationale strategie- en beleidsvorming dient volgens de CSR een vijftal concrete zaken in gang te worden gezet: 

  1. Borgen van drie basisvoorzieningen (soevereiniteit-respecterende cloud voor veilige opslag van data en data-analyse, veilige digitale communicatienetwerken en post-kwantumcryptografie);
  2. Implementatie van een toetsingskader digitale autonomie cybersecurity;
  3. Verhogen van bewustwording van het belang van strategische autonomie in cybersecurity;
  4. Verbeteren van het Nederlandse valorisatie- en innovatieklimaat;
  5. Een actieve inzet op aansluiting bij EU-beleid dat een relatie met digitale autonomie heeft en waarbij Nederland ook gebruikmaakt van de beschikbare EU-financiering hiervoor.

Deze acties zijn noodzakelijk om op korte termijn onze positie te versterken zodat de digitale autonomie voor cyberweerbaarheid ook in de toekomst kan worden gegarandeerd, cybercrime kan worden bestreden en de Nederlandse samenleving kan blijven vertrouwen op de veiligheid en continuïteit van onze digitale maatschappij.

Ik ben Lokke Moerel,
ik ben hoogleraar Global ICT Law in Tilburg.
Ik ben advocaat bij het internationale kantoor
Morrison & Foerster.
En ik ben lid van de Cyber Security Raad
vanuit de wetenschap.
Ik ben Gerrit van der Burg,
voorzitter van het College van procureurs-generaal
van het Openbaar Ministerie.
Ik ben lid van de Cyber Security Raad
vanuit de publieke sector.
Nederland is een van de meest gedigitaliseerde
landen. Dat zag je heel goed in de coronacrisis
binnen no time werkten we allemaal vanuit huis
en ik denk eigenlijk dat iedereen ook wel aanvoelt
dat daardoor nieuwe afhankelijkheden
en kwetsbaarheden ontstaan.
En de kern van het advies van de CSR is
dat wij zien dat onze digitale afhankelijkheden
inmiddels zo groot zijn
dat de digitale soevereiniteit van Nederland
onder druk staat.
Maar de hamvraag is wat ons betreft:
Hoe behouden we als Nederland
ook in de digitale wereld
controle over essentiële economische ecosystemen
en democratische processen.
Nou, u moet zich voorstellen
digitale infrastructuur is heel erg belangrijk
voor onze economie, voor ons als burger,
maar zelfs ook voor de democratische rechtsorde.
Daarom moet die digitale infrastructuur
beschermd worden.
We moeten daar zeggenschap over houden.
Autonomie hebben over de veiligheid
van onze digitale infrastructuur.
Een aantal voorbeelden:
Als we niet blijven innoveren op kritische technologieën
kan onze soevereiniteit verder in gevaar komen.
Kijken naar artificial intelligence.
AI vergemakkelijkt cyberaanvallen.
Criminelen kunnen met AI automatisch
die kwetsbaarheden online ontdekken en ook uitbuiten.
Maar AI stelt ons ook in staat om kwetsbaarheden
automatisch op te sporen en te herstellen.
Een voorbeeld van de democratische processen
is bijvoorbeeld het verkiezingsproces.
Als onze staat geen controle daarover heeft
omdat het verkiezingsproces is geïnfiltreerd
en wordt gemanipuleerd door vreemde mogendheden,
dan staat onze digitale soevereiniteit onder druk.
In het vak, in het ambt van officier van justitie
is autonomie heel erg belangrijk.
Het treedt namelijk onafhankelijk op in zaken.
Dat betekent dat als het gaat om afhankelijkheden
en ontstaan afhankelijkheden van organisaties
van bedrijven, dat is riskant voor de professionaliteit
van ons vak.
Bescherming is nodig.
Datzelfde vraagstuk doet zich voor
als het gaat om de zeggenschap dat landen
kunnen hebben en moeten hebben
als het gaat om de zeggenschap over de digitale
infrastructuur.
Dus het is heel erg goed te vergelijken.
En de officier van justitie maakt dat eigenlijk
dagelijks mee.
Zeker in criminele activiteiten die via de computers
worden gepleegd.
Een specifiek voorbeeld uit mijn praktijk is dat
overheidsinstanties wanneer ze naar de cloud gaan
zich heel erg zorgen maken over compliants
met doorgifte regels onder de AVG.
Maar wij zien dat de issues veel breder zijn
dan toegang tot gegevens.
Het gaat echt om ons hele economische ecosysteem
Voorbeeld is dat voor data-analyse met behulp van AI
je enorme rekenkracht nodig hebt.
Daar heb je dan de cloud voor nodig.
De cloud infrastructuur is dus essentieel
voor innovatie en ons toekomstig verdienvermogen
daar over zeggenschap hebben is een wezenlijk
onderdeel van onze digitale autonomie.
De aanleiding voor dit advies is
dat wij constateren dat digitale soevereiniteit
op dit moment nog onvoldoende op de politieke
agenda staat in Nederland.
We benaderen cyber security vooral vanuit een
technisch en reactief perspectief.
En niet vanuit het perspectief van strategische autonomie.
We zien dat Europa daar echt het voortouw neemt.
Europa voelt heel erg de dreiging van wat we een
tech kolonialisme noemen.
En inmiddels is het herstel van onze digitale soevereiniteit
een kern ambitie in Europa.
De Raad wil met het advies bereiken dat het
chefsache wordt.
Veiligheid van onze digitale infrastructuur
moet in de bestuurskamer.
Moet eigenlijk de eerste vraag zijn bij
innovaties ontwikkelingen.
En moet eigenlijk gaan om de wetgever
die normen kan stellen als het gaat om de afhankelijkheid
van partijen bijvoorbeeld.
Moet gaan over bescherming van onze cloud.
Moet dus kortom gaan:
Bescherming van onze vitale onderdelen.
Een beter besef dat cyberveiligheid
niet alleen is de beveiliging van IT-systemen,
maar dat je cyberveiligheid ook vanuit een
breder perspectief moet bekijken,
digitale soevereiniteit.
En dat betekent niet dat we alles zelf moeten gaan doen.
Dat kunnen we als Nederland niet.
En dat moeten we ook zeker niet willen.
Dus daarvoor moet je als Nederland weten:
Wat zijn dan die huidige en toekomstige
kritische technologieën.
Wat is de infrastructuur die we daarvoor nodig hebben.
En wat zijn dan onze eenzijdige afhankelijkheden.
En op welke elementen gaan wij ons dan concentreren.
Die aansluiten bij waar we goed bij zijn.
Die passen in onze topsectoren.
En vooral...
...welke passen in de Europese innovatie agenda.
Waar ook we kunnen profiteren van EU in financiering.
Dus onze bedoeling is de overheid echt aan te zetten
tot een proactieve nationale strategie
voor digitale autonomie.
De Raad heeft een aantal prioriteiten voorgesteld.
Op de eerste plaats de cloud.
De cloud moet veilig zijn.
Daar hebben we zeggenschap op nodig.
Dus daar moeten normen voor komen
om die zeggenschap en die veiligheid
ook daadwerkelijk te bewaren.
Een tweede belangrijk speerpunt
is onze digitale communicatie.
Ook daar moet een bescherming steeds optimaal zijn.
En als derde het vraagstuk van cryptografie.
In de toekomst hoe gaan we versleuteling toepassen.
Hoe blijven we veilig kunnen versleutelen
zonder dat anderen erbij komen.
Dat zijn belangrijke speerpunten.
En er is een normenkader ontwikkeld.
Ook door de Cyber Security Raad
om gedragsrepertoire te ontwikkelen
om besturen, leiders de gelegenheid te geven
om te toetsen of innovatie en ontwikkelingen
wel voldoen en kunnen blijven voldoen
aan veiligheid maatstaven.