Amerikaanse cloudgiganten zijn boos over de voorlopige versie van een Europese certificering voor clouddiensten. Volgens die opzet, waaraan een nieuwe categorie is toegevoegd, kunnen ze namelijk niet voldoen aan de allerhoogste norm omdat die bedrijven een hoofdkantoor buiten de EU hebben. Daardoor voldoen ze niet aan de aangescherpte eisen voor data soevereiniteit.

Dat Europees certificeringsprogramma voor clouddiensten wordt ontwikkeld als onderdeel van de nieuwe Europese Cloud Act. Op dit moment is die certificering niet verplicht, maar met het aanscherpen van Europese ict-beveiligingsregels (NIS2) gaat deze op termijn mogelijk wel verplicht worden voor het leveren van clouddiensten aan bedrijven en organisaties in vitale sectoren.

In die nieuwe versie voor de EU-certificering voor clouddiensten is een nieuwe sub-categorie opgenomen voor het hoogste vertrouwelijkheidsniveau. Er waren al drie niveaus: basis, substantieel en hoog. Daar is in het voorstel hoog-plus bijgekomen. Die categorie stelt de hoogste eisen aan data-soevereiniteit. Leveranciers van clouddiensten met een hoofdkantoor buiten de EU zijn uitgesloten van die certificering.

Het belangrijkste verschil tussen de niveaus hoog en hoog-plus betreft de juridische controle op de leverancier van clouddiensten. Hoog-plus vereist dat de clouddienst alleen wordt beheerd door bedrijven die in de EU zijn gevestigd, waarbij geen enkele entiteit van buiten de EU effectieve controle heeft over clouddienstverlener. Het is in het leven groepen om het risico te verkleinen dat bevoegdheden van buiten de EU de EU-regels -normen en -waarden ondermijnen.

Deze versturen we 3-4x per jaar.