Content
Het Forum Standaardisatie heeft een vervolgonderzoek laten uitvoeren naar cloud-portabiliteit. Het onderzoek verdiept de conclusies uit 2024 en benoemt concrete witte vlekken waar open standaarden ontbreken.
De cloud-markt wordt gedomineerd door enkele grote aanbieders buiten de EU, wat leidt tot toenemende afhankelijkheidsrisico’s, mede door geopolitieke ontwikkelingen. Dit vergroot de behoefte aan meer digitale soevereiniteit en een beter functionerende, concurrerende cloud-markt. In Nederland heeft de ontwikkeling van een overheidsbrede soevereine clouddienst daarom hoge prioriteit, evenals de versterking van de Europese cloud-markt. Dit onderstreept het belang van cloudportabiliteit.
Cloud-portabiliteit, het vermogen om data en applicaties te verplaatsen tussen clouddiensten, is een strategische randvoorwaarde voor digitale autonomie en soevereiniteit. Zonder voldoende portabiliteit blijft keuzevrijheid minimaal.
Belangrijkste bevindingen
De portabiliteit van clouddiensten hangt sterk af van marktwerking, standaardisatie en technische verwevenheid. In domeinen met lage marktwerking, zoals databases, identity & access management (IAM) en encryptie & sleutelbeheer, is de lock-in het sterkst. Grote leveranciers passen open standaarden beperkt toe, wat brede adoptie belemmert.
Een kansrijk domein is containerisatie & orchestratie. Standaarden zoals Haven, OCI (Open Container Initiative) en TOSCA bieden mogelijkheden om applicaties overdraagbaar te maken tussen cloudomgevingen. Haven is een VNG-standaard voor platformonafhankelijke cloud hosting die in 2024 is aangemerkt voor de lijst, maar nog niet is aangemeld. Het onderzoek signaleert ook witte vlekken op de lijsten van open standaarden:
- Encryptie & sleutelbeheer: Er ontbreekt een open standaard voor Key Management-interoperabiliteit. OASIS-standaard KMIP biedt een oplossing, maar wordt door dominante cloudleveranciers beperkt ondersteund.
- Identity & Access Management: Bestaande standaarden (OAuth 2.0, OpenID Connect, SAML en SCIM) ondersteunen interoperabiliteit, maar onvoldoende de overdraagbaarheid van identiteiten en toegangsmodellen tussen cloudomgevingen.
- Databaseportabiliteit: SQL (ISO/IEC 9075) is opgenomen als aanbevolen standaard en standaardiseert query's, maar er ontbreken standaarden voor portabiliteit van volledige databaseomgevingen als compleet systeem.
Europese ontwikkelingen
De Europese Data Act vormt een juridisch kader voor cloud-portabiliteit. De Digital Markets Act kan, afhankelijk van lopende onderzoeken naar clouddiensten van Amazon en Microsoft, extra instrumenten opleveren richting dominante aanbieders.
Op standaardisatiegebied werken Europese normalisatie-organisaties (CEN/CENELEC via hun gezamenlijke technische commissie JTC 25) met mandaat van de Europese Commissie aan concrete standaarden voor het Europese standaardenregister.
Aanbevelingen
Het onderzoek doet aanbevelingen om regie te nemen:
- Prioriteer kansrijke standaarden: Onderzoek haalbaarheid van opname van Haven, OCI, TOSCA en KMIP op de 'Pas toe of leg uit'-lijst. Onderzoek of SQL kan opschuiven naar verplichte standaard.
- Veranker portabiliteit in toetsingskader: Breid het criterium 'leveranciersonafhankelijkheid' uit met een beoordeling van de bijdrage aan migratie en exit.
- Sluit aan bij Europese ontwikkelingen: Volg actief het Europese standaardenregister en zorg voor afstemming met nationale sturing.
- Stimuleer adoptie: Stuur op toepassing van portabiliteit-standaarden bij cloudaanbestedingen en architectuurkeuzes.
Deze stappen zijn noodzakelijk om overstapdrempels te verlagen, Europese alternatieven beter te benutten en de digitale autonomie rondom cloud van Nederland te versterken.