Podcast met Bart Groothuis over digitale soevereiniteit

Wie is er nu eigenlijk in Nederland de baas? En als het gaat om de digitale wereld? Vanaf einde jaren ’90 betoogden digi-enthousiastelingen dat staatsmacht er op het grenzeloze internet niet meer toe zou doen. De staat is nu definitief terug, en dan vooral in EU-verband. Lees bijvoorbeeld de strategie van de Europese Commissie: Een Europa dat klaar is voor het digitale tijdperk. Of luister naar Europarlementariër Bart Groothuis in de tweede aflevering van Digitaal Europa.

Banner met tekst Digitaal Europa
Podcastserie Digitaal Europa

Digitaal Europa - Digitale soevereiniteit met Bart Groothuis

'Wat wordt er bedoeld met digitale soevereiniteit voor Europa?'
'Waarom zouden wij digitale soevereiniteit nog nastreven?'
'Hoe zit het met de Nederlandse digitale soevereiniteit?
Moeten we niet eerst sterker worden in eigen huis?'
Welkom bij Digitaal Europa. Ik ben Robin Rotman en in deze podcast
van de Rijksacademie voor Digitalisering en Informatisering Overheid
bespreek ik met deskundigen de Europese aanpak van digitale dossiers.
'Overal waar geopolitiek misbruikt kan worden, waarbij je afhankelijkheden
de drukpunten van autoritaire regimes in onze samenleving vergroot,
moeten we onze afhankelijkheden verkleinen. Significant, heel snel.'
ROTMAN: Vandaag hebben we het over digitale soevereiniteit.
Te gast is Bart Groothuis, VVD-europarlementariër.
Elke aflevering neem ik vragen mee van een team ambtenaren
die vanuit hun rol interesse hebben in digitale thema's.
Dat zijn Loulou Hanna, Nina Krijnen en Ron Roozendaal.
Leuk dat ik hier mag zijn bij jou thuis, Bart.
Ik heb die vragen voor je meegenomen, maar eerst even digitale soevereiniteit.
Dat gaat over zelfbeschikking en controle over onze data.
Moet ik daaraan denken?
-Ja, ik denk dat dat wel raakt
aan wat we ermee willen zeggen.
Maar vooral laat het ook meteen zien, als het over data gaat, hoe moeilijk dat is,
want je hebt geen volledige zelfbeschikking over die data.
Ten eerste omdat je vaak in andermans cloud en internet zit te werken.
Kijk, op Facebook bevind je je niet op internet, je bevindt je bij Facebook
in hun deeltje van het internet.
Het is heel erg lastig meteen om aan te geven
hoe problematisch dat begrip is, maar het gaat inderdaad
over controle van essentiële data waar je wat over te zeggen wil hebben.
En het heeft ook wel te maken
met een soort bestuurlijk model van het internet.
ROTMAN: Oké, dus je hebt digitale soevereiniteit
op een soort Europees niveau.
We kunnen op een Europees niveau digitaal soeverein zijn,
een Nederlands niveau, maar ook jij en ik als individuen
kunnen een bepaalde soevereiniteit hebben.
Zullen we eerst luisteren naar de vraag van Nina Krijnen?
Zij is als beleidsmedewerker bij de Taskforce Cyber
van het ministerie van Buitenlandse Zaken.
'Wat wordt er bedoeld met digitale soevereiniteit voor Europa?
Alleen een onafhankelijke techindustrie
of ook op het gebied van internetregulering?
Is dit verenigbaar met de visie van een open, vrij, veilig
en interoperabel internet dat Nederland en Europa nastreven?'
Dit zijn een paar vragen achter mekaar. Eerst even die eerste:
Wat wordt er bedoeld met een digitale soevereiniteit in de Europese context?
GROOTHUIS: Wat Nina zegt, klopt.
We hebben... De Europese cloudmarkt bijvoorbeeld,
waar wij onze data opslaan, is goeddeels Amerikaans.
Misschien wel voor 80% in handen van drie grote partijen.
Die hebben zo'n grote voorsprong op alle Europese partijen of anderen
dat ze in wezen ook elk bedrijf in Nederland of Europa
dat iets wil met AI of opslag,
dan ben je afhankelijk van één van die drie partijen.
Waarom? Omdat ze de software hebben, de cloud, het ontwikkelingsvermogen,
de innovatiekracht die een ondernemer verder kan helpen.
Dus als je iets met AI wil of je wil echt verder gaan,
dingen doen met je data als bedrijf, en de meeste bedrijven willen dat,
ben je dus op één van die drie bedrijven aangewezen
en dat is op zich geen probleem, vind ik.
Ik vind wel dat je van sommige data moet zeggen:
Die moet je dichter bij huis houden.
Dat gaat over data van defensie, data van de diensten bijvoorbeeld.
Maar dat gaat ook over sommige zorgdata.
Daar moet je goed over nadenken
of je die in een willekeurige cloudomgeving,
een cloud is gewoon andermans computer, wil laten zwerven of niet.
Ik vind het erg belangrijk om daar goed over na te denken.
Daarnaast zegt Nina iets verstandigs: gaat het ook over internet governance?
Nou, dat is van mijn hobby's.
ROTMAN: Een hobby van jou?
-Ja, besteed ik veel tijd aan in Brussel
om dat op het goede pad te houden. Kijk, de basis van het denken:
Waarom hebben we deze podcast? Waarom praten we hierover?
Waarom stellen mensen die vragen? Dat is een soort trend in Brussel,
maar ik denk ook breder,
die voortkomt uit de Franse strategische soevereiniteitsdoctrine.
Dat is een doctrine die komt uit het nucleaire denken.
Ze willen altijd soeverein kunnen beslissen.
Daarom hebben ze afschrikkingswapens,
waardoor niemand Frankrijk vertelt wat ze doet.
Ze willen volledig zelfstandig kunnen opereren op het wereldtoneel.
En dat projecteren zij op diverse beleidsterreinen.
Of het nou gaat om rare earth materials of olie en gas.
Maar het gaat dus ook om data en we zitten steeds meer in de fase
dat de Fransen hun idee van strategische soevereiniteit projecteren op Europa.
Ik denk dat je erg moet oppassen met zo'n ontwikkeling.
Het gaat dan al heel snel in de sfeer van protectionisme.
Het gaat al snel in de sfeer van: we willen alleen maar Franse bedrijven.
We willen Franse controle, of vul daarvoor 'Europese controle' in.
Dus je komt snel in een fuik waar je zegt:
'Die Amerikaanse bedrijven zijn niet meer welkom.'
Of je komt in een fuik waar je zegt: 'die internet governance,
moeten we dichter bij huis organiseren.'
En: 'We hebben bijvoorbeeld een Europese IANA nodig.'
Dat is een Europese administratieve eenheid
die het internet voor ons voor mekaar maken.
'Europese root level-DNS die je zelf wil reguleren.'
Maar van al die dingen ben ik fel tegenstander.
Ik ben heel fel tegenstander van dat Europa denkt
dat wij een deeltje van ons internet kunnen bewerkstelligen.
ROTMAN: Kunnen afbakenen en van de rest van de wereld kunnen afsluiten.
GROOTHUIS: Dat kan niet. Zelfs dat rare Chinese internet dat helemaal
is afgesloten, is afhankelijk van het mondiale internet zoals dat functioneert.
Dus als je echt de Franse ideeën door wil voeren,
waar ik veel over hoor in de wandelgangen in Brussel,
wat ik dan doe is tegengas geven, ook achter de schermen.
Ik spreek veel af, volgende week in Straatsburg ook
met mensen van de Europese Commissie om te zeggen wat ik vind
en hoe onverstandig het is om internet governance te Europees te maken.
Het is een mondiaal systeem en dat moet je zo houden. Vrij verkeer van data.
Een pakketje van A naar B sturen, irrespective of the content,
en de governance die daarmee gepaard gaat, het multistakeholder-model
dat draag ik echt altijd uit.
-Oké, nu hoor ik je zeggen:
Er is een soort Franse blik op soevereiniteit.
Er is tegelijkertijd de signalering dat er een x-aantal
of drie grote partijen zijn waar wij in Europa van afhankelijk zijn
en die partijen zitten niet in Europa.
Daar zit iets in van: dat vind ik misschien niet zo handig.
Je bent tegen dat protectionisme.
Waar staat Bart Groothuis dan voor als het gaat over die digitale soevereiniteit?
Waar zit jouw corebusiness dan? Waar manoeuvreer jij dan eigenlijk?
GROOTHUIS: Ik ga tegen de huidige trend in die zegt:
'We moeten gevoelige data in Europa houden,
geopereerd door Europese providers, cloudbedrijven, technologie,
door mensen met een Europees paspoort. Die trend zie je nu,
bijvoorbeeld in de certificering van de Europese cloud.
ROTMAN: Gaia-X-project.
-Nee, dat is een project wat ook loopt.
Dat is 'n soort standaard waarin de Europese cloud moet functioneren,
maar de Fransen hebben daar nog weinig vertrouwen in.
We gaan nu richting certificering van cloud, cybersecurity-certificering.
Komt voort uit de Cyber Security Act van 2017.
Zijn in wezen technocratische discussies, maar die zijn hoog politiek.
Het probleem is dat daar weinig belangstelling voor is van journalisten,
maar het is hoog politiek,
omdat wat Europa, zeker onder de leiding van het Franse voorzitterschap
probeert te doen, is de controle op die gevoelige data,
je hebt drie categorieën data, basis, midden en hoog,
en die hoge categorie, zorgdata, nucleair,
dat je die in Europa houdt door Europese cloudproviders
met mensen met een Europees paspoort die daarbij kunnen. Ik ben daar op tegen.
Ik vind dat dat een Amerikaanse cloudprovider prima diensten kan leveren.
Het gaat erom welke assurance, categorieën en risico's kun je mitigeren?
Hoe doe je dat? Welke controls heb je daarbij?
Ik kom uit die cybersecurity-wereld. Dat is prima te doen.
Ik wantrouw de Amerikanen niet en ik denk dat hier het Franse idee
van digitale strategische soevereiniteit volledig doordraait.
ROTMAN: De manier waarop we naar de ontwikkelingen in 5G kijken:
Daar zijn het de Duitsers of zo die zeggen:
'Het kan ons niet schelen waar het vandaan komt,
we hebben bepaalde maatstaven, normen en waarden. Als een partij,
al komen ze uit China, eraan voldoet en wij vertrouwen dat,
maakt het ons niet zo veel uit waar dat vandaan komt. Dat is de andere kant.
GROOTHUIS: Dat is echt belachelijk. Het is niet zo
dat we Amerika met China gelijk kunnen stellen.
Amerika heeft geen offensief spionageprogramma tegen ons gericht
op het stelen van intellectueel eigendom, beïnvloeden van verkiezingen,
breed positioneren op sabotage et cetera. Het is geen geopolitieke vijand.
Als je naar kijkt naar China
en ik denk ook wel sommige Russische soft- en hardwareproviders,
daar moet je echt naar kijken van:
Wil je die in het zenuwcentrum hebben van je toekomstige samenleving,
een 5G-provider? 5G is anders dan 4G. Als jij een antenne hebt
waar wij straks hier bijvoorbeeld in mijn huis mee gaan bellen
dan prik je die antenne in, die zet je hier fysiek op.
Mijn telefoon maakt connectie en zo kan ik bellen met andere mensen.
Maar in 5G is die hele antennelaag gevirtualiseerd.
Het is nieuwe architectuur.
Dat betekent dat het softwarematig is gedefinieerd hoe die antenne eruitziet
en dat betekent dus dat er één provider is van de antennes.
Waar je bijvoorbeeld op het Binnenhof nu nog kunt zeggen 'we hebben Cisco'
en ergens op platteland doen we Huawei
en dan maken we een differentiatie en we kijken heel goed naar netwerkverkeer,
zodat we cybersecurity-wise het risico mitigeren,
kan dat straks niet meer bij 5G.
Daar heb je dus een gevirtualiseerde laag antennes.
Eén provider en bovendien je voor de uitrol, innovatie,
maar ook voor het onderhoud en ook voor alle nieuwe dataservices
afhankelijk van die partij.
Als het dan een partij is, een Chinese staatspartij,
die een offensief spionageprogramma heeft tegen jouw land,
dan moet je heel goed nadenken over wat je wil doen.
Wat ik wil is dat Europa nadenkt over hoe je met deze partijen omgaat.
Er is een 5G Toolbox gemaakt,
een korte klap om te zeggen:
We willen geen risky vendors in onze IT-infrastructuur als het gaat om 5G.
Waar je naartoe moet, is dat we voor de bredere samenleving
harde wetgeving gaan maken en daar is Brussel hopelijk mee bezig.
Ik roep in ieder geval de commissie daartoe op,
om te zeggen: we hebben heldere wetgeving nodig
voor elk bedrijf in Europa die zegt: wanneer plaats je op welk moment
in welk onderdeel van je architectuur welke gevaarlijke vendoren?
Welke dozen soft- en hardware wil je wel of niet kwijt
in het zenuwcentrum van je maatschappij?
Daar draait de discussie in Brussel nu om
en daar hou ik me heel erg mee bezig.
ROTMAN: In die discussie kun je dus ook kwijt
of de uitkomst zou kunnen zijn: hierin vertegenwoordig je
de waarden en normen van Europa. Wat denken wij? Wat willen wij?
Wat vinden wij belangrijk? Hoe kijken we naar privacy?
Wat voor eisen stellen wij aan security?
Kan je al die dingen daarin coveren?
-Ik denk dat je kijkt naar twee dingen:
naar technische factoren, zit de soft- en hardware goed in elkaar
en zitten er backdoors in. Maar dat is niet de echte discussie,
want een backdoor kun je elk gewenst moment injecteren
als je een software-update doet.
En bovendien is de code heel moeilijk te controleren.
Een gemiddelde routerdoos heeft 300 miljoen regels code
voor je die gereviewd hebt. Ik vind dat allemaal...
Je kijkt niet alleen naar technische, maar ook niet-technische factoren.
Dan noem ik bijvoorbeeld: in 2017 zijn er wetten in China aangenomen,
in 2021 ook nog,
die erop toezien dat elk Chinees bedrijf moet voldoen aan dataverzoeken
vanuit de staat, van de inlichtingengemeenschap bijvoorbeeld.
Betekent dus dat als jij opereert onder de vlag van Huawei of ZTE
die hier in de kern van je zenuwcentrum, je samenleving
diensten aanbieden en de Chinese staat zou vragen
dat ze daaraan moeten voldoen. Zelfs zegt Huawei dat dat niet klopt
en dat het geen extraterritoriale interpretatie is.
Ik koop daar niks voor, ik geloof het ook niet
en bovendien is niet eens het grootste risico,
afgezien van een grote overlap tussen personeel wat bij het leger heeft gewerkt
en nu bij Huawei en ZTE werkt. Dat is uitgebreid gedocumenteerd.
Dan gaat het niet alleen om witting,
dat je weet dat sprake is van spionage of medewerking van de Chinese staat,
maar ook unwitting, dat er mensen zijn die vroeger nog bij die dienst werkten
en nu zonder medeweten van de CEO
data afstaan of andere zaken doen die het daglicht niet kunnen verdragen.
Ik vind het een te groot risico. Ik wil daar harde wetgeving voor.
ROTMAN: Je benoemt nu wat risico's als het gaat om de Chinese kant,
je benoemt de Franse aanpak die jij ook niet oké vindt,
want dat neigt weer een beetje naar protectionisme.
Als het dan gaat over een waarborging van een Europese digitale soevereiniteit,
in welke hoek zoek jij dan oplossingen?
Is dat alleen de wetgeving?
-Ik denk dat we te maken hebben
met een trend waarin we meer gaan samenwerken met likeminded landen
die belangrijke infrastructuur
en belangrijke soft- en hardware gaan voorzien in onze maatschappij.
Ik denk dat dat belangrijk is, omdat je ook gaat zien dat autocratische landen
steeds vaker de technologie zullen gebruiken om hun doelen te bereiken.
Kijk, veel autocratische landen hoeven niet in conflict te zijn
om de militaire middelen te stationeren. Rusland hoeft geen raketten
af te schieten voordat ze in conflict zijn met een land.
In de ogen van Rusland en China zijn we al lang in conflict.
Een conflict over hoe we de wereld ordenen en wie de baas is over wie.
En de ambities van de Chinezen liegen er niet om.
Ik denk dat je moet nadenken over welke drukpunten
die autoritaire regimes hebben in ons land.
En op welke manier hebben ze dat ook in technologie?
Technologie is geopolitiek geworden. Waar vroeger geografie dat was,
zat China heel ver van ons af. Met technologie kom je in de huiskamer,
in het zenuwcentrum van de samenleving
en je moet goed nadenken wat dat betekent voor de toekomst van ons land.
Ik probeer dat te doen door te zeggen: we hebben wetten nodig.
ROTMAN: Dat is ook een soort... Eurocommissaris Breton zegt toch ook:
'De degene die de technologie mastert, mastert ook de geopolitiek.'
GROOTHUIS: Zo is dat. En dat heeft ie gestolen en ik ook
van Robert Kaplan, prachtig boek, 'Moesson'.
Maar dat gaat erom... India en China bijvoorbeeld
zijn twee verschillende samenlevingen, maatschappij en cultuur.
India is op land gericht, China op de zee. Het zijn verschillende beschavingen
en dat heeft te maken met geografie,
maar nu komen ze in elkaars vaarwater, letterlijk en figuurlijk
en dat heeft te maken met technologie.
Technologie is het nieuwe geopolitiek.
-Het middel, het front
waarover je mekaar vindt en conflict hebt.
-Daar besteed ik in Brussel
80% van mijn tijd aan.
-Ik heb een vraag van Ron Roozendaal.
Hij is kwartiermaker, generaal digitalisering bij Binnenlandse Zaken.
Hij gaat even terug naar je eerste opmerking over de techreuzen.
'Waarom zouden wij digitale soevereiniteit nog nastreven?
Heeft dat nog zin nu al onze gegevens
toch al in de cloud zitten bij Facebook, Google of China?'
GROOTHUIS: Een goeie vraag van Ron. Op dit moment wordt er gedebatteerd
achter de schermen over de 'European cloud certification scheme',
een cyber certification scheme voor cloud, waar het net over ging.
Dan is de vraag: moet je zaken strikt in Europa willen houden,
niet eens in Nederland, maar in Europa willen houden?
Geoperationaliseerd door Europese bedrijven.
Dat betekent dat Amerikaanse bedrijven als Microsoft, IBM, Google en AWS
dan hun technologie zullen moeten licensen,
zoals we dat noemen, met een licensemodel aan Europese bedrijven.
Die gaan vervolgens in Europese datacentra
de data opslaan voor een bepaalde categorie gevoelige data.
In die datacentra werken dan Europeanen met een Europees paspoort.
Ik vind dat veel te ver gaan. In Frankrijk doen ze dit al.
We moeten met de Amerikanen kunnen samenwerken.
We hebben te maken met de ontwikkeling van een nieuw privacyshield,
waarbij de Amerikanen zeggen: 'De GDPR,
de algemene verordening gegevensbescherming,
gaan wij ook respecteren. Wij komen jullie vergaand tegemoet.'
Daar moeten we op inzetten,
maar niet op een volledige europeanisering van alles.
Ik denk dat we prima kunnen werken met Amerikaanse cloudbedrijven
en ik vind het onzinnig om te zeggen:
'We gaan met regels proberen dat protectionistisch te maken
zodat onze bedrijven meer kans krijgen.'
Ik vind dat echt een vorm van protectionisme waarbij de kosten
voor ondernemers toenemen,
waarbij het innovatievermogen niet per se gediend is.
De Amerikanen hebben ons afgetroefd en dat is prima.
Ze bieden superieure diensten aan. Laten we daar vooral gebruik van blijven maken
en ik vind het een beetje te veel doorslaan op dit moment.
ROTMAN: Je noemt nu de GDRP, volgens mij is dat een voorbeeld
van waarin Europa zelf het heft in hand neemt.
Een soort normen en waarden over hoe er met privacy omgegaan moet worden.
Dat leggen we op aan alle grote bedrijven
en je merkt dat dat wereldwijd, ook in Amerika, ineens de norm is.
Zou je zeggen, daar mogen we zelfvertrouwen uit putten?
We kunnen ook op andere terreinen de norm gaan stellen,
want er wordt daadwerkelijk geluisterd. Dan zeg jij: de Fransen moeten meedoen.
GROOTHUIS: Maar zo is het. Dat is precies wat er gebeurt op het moment
en dat is ook de kracht van Brussel, de regelzettende kracht.
Laat ik de Digital Services Act als eerste noemen,
het reguleren van de platforms, en de Digital Markets Act.
Aan het eind van Obama's tenure gaf hij een goed interview bij 60 Minutes.
'Wat is het grootste falen wat u heeft gehad in uw acht jaar
als president van Amerika?'
Hij zegt: 'Dat ik die techplatforms niet heb gereguleerd.
Ik dacht dat het voorspoed zou brengen.
Vrijheid van meningsuiting, economische voorspoed et cetera,
maar het ondermijnt in wezen onze democratische rechtsorde,
onze instituties en het vervuilt alles: de amplificatie, de gigantische schaal
op basis waarvan mensen misbruik kunnen maken van deze techplatforms
heb ik verkeerd ingeschat.' Zijn opvolger Trump wilde niet reguleren.
Biden verliest de meerderheid in de aankomende midterms in november,
dus die gaat het niet doen. Het moet vanuit Europa komen en we doen het nu.
Ik denk dat de Amerikanen het zullen overnemen.
We zien het ook bij de aanpassing van koolstofheffing, de energietransitie.
Wij gaan het doen, de Amerikanen komen ook met een koolstofheffing aan de grens
en gaan ook een soort dat ETS-emissierechten doen,
waardoor we de hele aarde meekrijgen met de energietransitie.
Ik denk de NIS2, waar ik rapporteur op was,
de cybersecurity-wetgeving voor entiteiten,
waarbij we vitale instellingen aanwijzen
en de manier hoe we dat doen en dat hele ecosysteem inrichten,
de Amerikanen volgen nauwgezet hoe we dat doen.
De Chinezen en Brazilianen et cetera ook.
We zien al veel contact met andere continenten die vragen:
Hoe hebben jullie dat gedaan? Kunnen we dat overnemen?
Dat is een soort extraterritoriale werking die vanuit Brussel komt,
omdat goed wordt nagedacht met goede mensen,
goede ambtenaren ook, die heel nauwkeurig
en langdurig nadenken over wetgeving. Het duurt mensen vaak te lang,
maar als de neuzen dezelfde kant uit staan
dan gáát Brussel.
-Voilà.
Oké, als ik jou zo hoor over die digitale soevereiniteit,
zeg je: 'We hoeven geen Europese Facebook te bouwen,
niet zelf het wiel uit te vinden.
Alle technologieën die er zijn, we gebruiken wat er is.
Het gaat over het definiëren van onze normen en waarden
en daar gaan we... We gaan dat inpakken
en mensen moeten daaraan voldoen, anders gebruiken we het niet.
Is dat dan die digitale soevereiniteit?
-Ik zou best wel
een beperkt bedrag in begrotingen willen vrijmaken om te zeggen:
'We gaan een eigen Geugel, in plaats van Google, maken.
ROTMAN: Dat dan weer wel.
-Of we doen bijvoorbeeld,
dat was geen goed voorbeeld, maar een goed voorbeeld is een eigen browser.
Alle grote browsers raken steeds meer onder controle van big tech
en ze doen steeds meer om dat als opstijgpunt voor internet te krijgen.
Alle grote bedrijven doen dat en waarom?
Omdat het verdienvermogen zit in: Bied jij 't opstijgpunt voor internet aan,
bied je ook alle zaken daarna aan.
Dat gaat om: wie controleert de data?
Wie controleert hier de data van de gebruiker?
Daar dat maak ik me veel zorgen om, dus ik zou zeggen:
Als je 100 miljoen vrijmaakt, moet je toch een eigen browser kunnen maken
op basis van open source die je in Europa min of meer
als standaard stelt voor overheid en andere instellingen.
Daarmee kun je een eind komen.
-Oké, dus het gaat ook over technologie.
GROOTHUIS: Ja, omdat de technologie in handen is van het bedrijfsleven
enkel wordt gebruikt voor datacorrelatie in zaken die wij niet willen hebben.
Als je de geest van de DMA en DSA bekijkt,
de geest van al die wetgevingen, de GDPR die je net noemt,
dan is het 'stop daarmee'. En dan zou heel gek zijn
als wij deze ontwikkeling in de technologie niet zouden aangrijpen
om ook daadwerkelijk de daad bij het woord te voegen.
Daar moet je op langere termijn over nadenken.
ROTMAN: Ik merk dat ik het een beetje lastig vind. Iets concreter:
Verschillende delen van de wereld denken anders over bepaalde technologieën,
andere normen en waarden. Is het ook een kwestie van standaardiseren?
GROOTHUIS: Spijker op z'n kop.
Tegenwoordig zie je dat er gigantisch veel effort komt
vanuit de Chinese staat om standaarden aan te passen. Waarom?
Het bepaalt het verdienvermogen. Waar komt de technologie vandaan,
maar ook de welvaart. Maar belangrijker nog:
Mag een pakketje van A naar B zoals we dat nu hebben,
zonder dat de inhoud ertoe doet of willen we dat toch verifiëren?
Moeten devices die geconnect zijn eerst geauthentiseerd worden?
Willen we weten wie erachter zit, ja of niet?
Wat mij betreft absoluut niet,
maar je ziet de Chinezen een gigantische spurt maken
op het gebied van telecommunicatie,
eigenlijk in de brede zin van technologie om standaarden te beïnvloeden.
Wat wij dan doen, is een strategie verzinnen
om dat in allerlei officiële overheidsfora te blokkeren.
Dat lukt vooralsnog heel aardig, maar het probleem is
dat veel van die standaarden ook tussen bedrijven worden afgesloten
en onze bedrijven moeten censor worden voor de overheid.
Ik hoop dat mensen die hiernaar luisteren zeggen:
'We moeten eens in gesprek met ons bedrijfsleven.
Als jullie in de gaten hebben
dat er voor ons wezenlijke dingen worden aangepast
door middel van standaarden die niet in ons belang zijn,
die de toekomstige vrijheid van meningsuiting beknotten,
die censuur bevorderen of anderszins ons verdienvermogen benadelen
wat we niet zouden moeten willen? Neem contact op met 'n loket van de overheid.'
Zorg dat bedrijven zich ook kunnen melden
dat we het naar onze hand kunnen zetten.
ROTMAN: Maar die standaarden zijn dus een soort praktische uitwerking
van de normen en waarden die je erin wil hebben, in de samenleving?
De Chinezen hebben kennelijk een duidelijk idee hoe zij de wereld zien.
Dus ze hebben misschien een duidelijker idee
hoe de overheid zich tot de burger vertegenwoordigt,
hoe de overheid zich tot het bedrijfsleven verhoudt
en bedrijven tegenover burgers? Die hebben daar een heel idee bij,
misschien heel helder uitgewerkt.
Dus wij moeten ook op zoek naar een...
-Eigen strategie.
ROTMAN: Onze eigen identiteit bijna. Wie zijn wij dan?
Wat vinden we werkelijk belangrijk? Dat zit daar dan achter.
GROOTHUIS: Een vrij internet, stabiliteit op lange termijn,
vrijheid van meningsuiting, geen censuur,
vrije pakketjes data die kunnen floaten, daar het gaat het ons om.
Ik denk dat we hier naïef in zijn.
De 'China standards 2035'-strategie is vrij te downloaden.
Lees het en je weet precies waar ze mee bezig zijn.
Wij moeten daar iets tegenoverstellen en rap.
ROTMAN: Een vraag van Loulou Hanna,
Rijks I-trainee bij het ministerie van Infrastructuur en Waterstaat:
'Hoe zit het met de Nederlandse digitale soevereiniteit?
Zijn we er al klaar voor om mee te denken
met Europese digitale soevereiniteit?
Moeten we niet eerst sterker worden in eigen huis?'
GROOTHUIS: Zeker moeten we dat worden.
Als het gaat om hele gevoelige data in je ziekenhuis,
rondom nucleaire installaties, misschien Defensie, de diensten.
En het gebeurt ook.
Er zijn veel certificeringen in de defensie-industrie bijvoorbeeld
dat je niet alles zomaar in een buitenlandse cloud mag zetten,
dat je on premises servers moet hebben waar je data in stalt.
Ik denk dat het verstandig is om daar goed over na te denken.
Van de andere kant moeten we de innovatie volledig omarmen.
Die komt vanuit andere werelddelen
en dat brengt onze economie en ondernemers verder.
Alles op het gebied van AI en kunstmatige intelligentie,
datacorrelatie en big data, robotisering en nanotechnologie
en biotechnologie en al die dingen samenbrengen,
richting misschien wel vormen van kunstmatig leven et cetera.
Je moet er niet aan denken dat dat wordt afgestompt, afgeremd,
omdat we allerlei soevereiniteitsbepalingen hebben
die onze ontwikkeling remmen.
-Daar zit die spanning.
Heb jij het gevoel dat we die kritieke processen in Nederland
wel goed hebben afgeschermd? Want je zegt: daar moeten we over nadenken.
Hebben we dat in orde?
-Ik kom van Defensie vandaan.
Ik denk dat Defensie zo'n 600 bedrijven goed monitort.
De ABDO is een bepaalde regeling.
Wil je bij Defensie zakendoen krijg je contractueel voorwaarden opgesteld
waaraan je moet voldoen, ook in de sfeer van soevereiniteitseisen
en dat wordt ook gehandhaafd
en de ABDO kan een voorbeeld zijn voor de rest van Nederland,
voor banken en voor andere instellingen.
Je wil een ABDO hebben, niet alleen voor de defensie-industrie,
maar voor alle industrieën, ook in de civiele sfeer,
die gevoelige diensten leveren aan de overheid bijvoorbeeld.
En dat zet ook een bepaalde norm af:
We eisen dingen in de sfeer van security, privacy, omgang met data.
Wie mogen bij die data?
Het is gezond dat je weet als instelling: Waar zitten de kroonjuwelen?
Kan ik die segmenteren van de rest van mijn netwerk?
Dat is de basis en dat wordt afgedwongen in dit soort certificering.
Ik denk dat het goed is om dat als inspiratie te gebruiken.
ROTMAN: Heb jij contact met jouw collega-politici in Den Haag,
of misschien ook gesprekken in Brussel,
dat je je gaat afvragen: Maar wat is dan...
Welke soevereiniteit moeten we in Europa oppakken?
Europa-wide, zal ik maar zeggen
en begint de soevereiniteit van individuele landen,
want als het over Defensie gaat,
lijkt me dat voor een belangrijk deel een no-brainer.
Dat doe je lokaal, maar misschien ook niet altijd.
Hoe loopt dat gesprek, zal ik zeggen?
-Laat ik twee voorbeelden noemen.
Het is altijd goed om in concreto te spreken.
Het eerste is bijvoorbeeld eIDAS,
een Europese manier hoe je je kunt identificeren.
Op dit moment, dan gaat het ook over soevereiniteit
en waar ik wel erg ben voor een progressieve agenda van Europa,
dat gaat over: als jij het internet opgaat en je gebruikt een bepaalde dienst,
dan is de norm aan het worden dat je bij big tech inlogt
en dat die je vervolgens identificeert voor het gebruikmaken van een dienst.
Ik vind, een heel klassiek-liberale gedachte, hoor,
dat de overheid je hoort te identificeren en niet een bedrijf.
Nu komt er een Europees voorstel waarin we zeggen:
Je krijgt een eigen portemonnee, een digital wallet, daar zit je data.
Van die data bepaal jij wat je deelt met big tech
en de identificatie gebeurt niet door big tech, maar door die wallet.
Vervolgens is het wel zo, in Den Haag bijvoorbeeld, die zeggen:
'We hebben toch al een BSN-nummer en DigiD?'
Dan zeg ik: dan moeten we daarover nadenken.
We hebben geen nieuw Europees nummer nodig.
We hebben ook geen vervanging van de BSN nodig,
maar we moeten wel nadenken over hoe we dit als Europa invullen,
een concreet voorbeeld. Een ander voorbeeld zit meer in de sfeer
van waar ik nu onder handel. Ik ben nu rapporteur namens onze liberale fractie
op het gebied van de Chips Act. Als we niks doen,
produceren wij nog maar 4% van alle halfgeleiders in de hele wereld.
Voor 96% zijn we afhankelijk van allerlei andere landen,
terwijl het een strategisch basisgoed is
zonder welke de interne markt niet functioneert.
ROTMAN: De denkkracht van onze machines.
GROOTHUIS: En daar zit een complex ecosysteem en supply chain aan vast
en je ziet dat het langzaam verdwijnt naar Azië.
En dan is de vraag, ook als liberaal: moet je dat nou terughalen naar Europa?
Dat kan niet helemaal. Moet je de kennis hier houden? Ik denk dat het wel kan.
Moeten we waar we echt goed in zijn verder versterken?
Ik denk dat dat een must is.
Dus we moeten veel relevanter worden voor de rest van de wereld.
Niet om alles hier te reshoren,
maar die chiptekorten lossen zich niet vanzelf op.
Er is enig ingrijpen nodig om te zorgen... Alle andere landen,
Taiwan, China, Japan, Korea, Amerika,
dat zijn de landen die er in de chipssfeer toe doen,
geven honderden miljarden staatssteun en wij doen dat niet.
En het resultaat is dat we alles verliezen.
De kennis, de infrastructuur, het ecosysteem, de productie
en dus ook krijgen we te maken met allerlei vervelende tekorten
en allerlei afhankelijkheden waarvan we denken van:
In een rule-based order kun je daarmee leven,
maar een deal-based order,
dat we toch sinds Trump, Poetin, Erdogan, Xi Jinping zien opkomen,
gaan we achter het net vissen. Dus Europa wordt wakker.
Hier is digitale soevereiniteit op z'n plaats,
maar niet om alles autonoom zelf te produceren.
Wel om relevanter te worden voor de rest van de wereld,
zodat je ook minder problemen krijgt
op het moment dat de afhankelijkheid toeneemt in een deal-based order.
Dan heb je zelf ook meer in de melk te brokkelen.
ROTMAN: Het gaat om digitale soevereiniteit.
Moet je bij elk concreet voorbeeld gaan kijken...
Bij chips zeg je: dat willen we niet.
Maar andere technologie kun je prima uit het buitenland halen.
Dus je moet constant kijken: wat vinden we belangrijk? Hoe denken we daarover?
Ik vond die digitale kluis waar je het net over had,
ik noem het nu even kluis, jij noemt het een wallet.
Ja, dat gaat nog een stapje dieper.
Dat gaat over mijn individuele digitale soevereiniteit.
Die bestaat dus ook nog.
-Ja.
ROTMAN: Dat is wel een lekker gevoel dat daar ook over nagedacht wordt.
Van wie is die data? Nou, van mij.
Dat ik het gevoel ga krijgen dat ik er zelf over ga
zonder dat het een bureaucratisch gedoe wordt.
Want dat merk je ook vaak, dat er zoveel bij komt kijken dat je ervanaf wil zijn.
Cookies is ook zo'n ding, gaat ook over soevereiniteit...
maar daar word je knettergek van.
En wie gaat er dan over die individuele soevereiniteit? Landen
of is dat ook een soort Europees ding?
-Ik wil dat de wetgever daar over nadenkt.
We hebben de Digital Markets Act.
Gaan we volgende week over stemmen in Straatsburg
en ben ik erg voor, omdat het ook dit soort wallet-achtige dingen...
Dat geeft bijvoorbeeld ook de mogelijkheid
voor een taxichauffeur bij Uber,
ik probeer even een concreet voorbeeld te verzinnen.
Die wil bijvoorbeeld van Uber naar Lyft.
Maar hij heeft allerlei recensies bij Uber gekregen
en allerlei klantcommentaren en mensen kennen hem daarvan.
Wat we nu willen doen, is zorgen dat ie z'n data mee kan nemen naar Lyft.
Dat betekent dus dat je bijvoorbeeld, wat we ook willen op termijn,
dat je van WhatsApp naar Signal kunt appen.
Dus niet binnen Whatsapp of binnen Signal, maar van en naar.
Dat betekent ook dat je een DM van Twitter naar Facebook kan sturen.
Het betekent dat er interoperabiliteit komt
zodat die platformen gaan concurreren op basis van functionaliteit
en niet op basis van: wie heeft de meeste data verzameld van de gebruiker?
Ook dat is een Amerikaans model en geen Europees model.
Het Europese model van soevereiniteit is veel meer:
In de drieslag zijn bij de Amerikanen de bedrijven de baas,
in China is de staat de baas,
maar in Brussel, in Europa, zijn de burgers de baas.
Iets van die gedachte, niet te streng doorvertaald, maar toch,
zit in alle wetgeving die we...
-In die hoek zitten wij wel wat meer.
GROOTHUIS: Wij gaan daar vol voor, maar dat is niet heel streng afgedwongen,
maar er is wel de trend en die ondersteun ik.
ROTMAN: Tot slot: ik probeer een soort concretere opsomming te krijgen
op welke terreinen... Het was een beetje 'pick up your battles', hoor ik je zeggen.
Bij de chips zeg je duidelijk 'go for it', dat moeten we zelf gaan doen.
Als je het hebt over het vormgeven van digitale soevereiniteit,
je hebt het over die wallets, moeten we ook doen,
we willen die burger belangrijk maken in de keuzes over hun eigen data.
Waar zitten nog meer battles waarvan je zegt:
'Daar zit de digitale soevereiniteit.
Daar moeten we over nadenken. Daar ga ik voor.'
GROOTHUIS: Overal waar het geopolitiek raakt,
waar het misbruikt kan worden, waarbij je afhankelijkheden,
de drukpunten van autoritaire regimes in onze samenleving vergroot,
moeten we onze afhankelijkheden verkleinen.
Significant, heel snel en dat gaat om veel dossiers.
Maar overal waar er gewoon normale competitie is,
moeten we dat kunnen doen. Ik wil niet dat Huawei volledig wordt verbannen
van de Europese markt. Prima als ze ook wat dingen aanbieden hier en daar,
maar niet in de kern van onze kritieke infrastructuur.
Ik vind het ook niks als Kaspersky wordt verbannen,
een Russisch cybersecurity en antivirus-importbedrijf.
Die biedt hele goede diensten aan,
doet ontzettend veel goed werk richting ransomwaregroeperingen,
helpt politiediensten in Europa om crime te bevechten.
En daar moet je niet te radicaal in zijn.
Je moet zorgen dat je op een nette manier met dat soort bedrijven omgaat...
Maar vraag je mij: kan Kaspersky de antivirussoftware leveren
in ons ministerie van Buitenlandse of Binnenlandse Zaken? Tuurlijk niet.
Dat was een van de eerste dingen waar ik op ingezette toen ik bij Defensie zat,
want dat was het geval destijds.
Dus dat probeer ik ook uit te leggen aan Kaspersky en Huawei:
'We zijn niet anti-China of anti-Rusland,
maar we zijn wel bezig met hetzelfde waar jullie mee bezig zijn.
Let op uw zaak. Wij hebben ook geen access.'
En als je kijkt naar Brussel hoe we wetten maken:
We hebben tegenwoordig public tenders, die worden gespiegeld.
Hebben de Europese bedrijven geen toegang op de Chinese markt,
krijgen Chinese bedrijven geen toegang op onze markt.
ROTMAN: Toch dat protectionisme.
-Nee, het is een level playing field,
en hetzelfde geldt voor foreign subsidies, is gisteren aangenomen.
Vannacht is daar een deal gesloten, mijn collega Catharina Rinzema was daarbij.
Met Vestager hebben we een schitterende deal gesloten.
Heb je onheus staatsteun gekregen,
ben je niet welkom om mee te concurreren op onze markt.
Hetzelfde geldt voor de Foreign Direct Investment Screening,
waar Nederland ook om gevraagd heeft, met dank aan EZK
en ook wij als VVD hebben daar veel moeite in gestoken.
Heb jij als China of Rusland in een moeilijke tijd waar we nu in zitten,
sommige bedrijven met de lage solvabiliteit, de mogelijkheid
om allerlei toekomstig verdienvermogen over te nemen,
dan willen we dat nog even extra toetsen. Is dat wel in ons belang?
Ik denk dat het gezond is en verstandig is dat wij goed nadenken
over ons verdienvermogen en veiligheid op de lange termijn.
En als technologie geopolitiek is geworden,
dan is technologie het battlefield, politiek gezien, van de toekomst
en ik hoop ook dat ik dat meer kan uitdragen.
Ik zet me daar in ieder geval elke dag voor in.
ROTMAN: Ik merk het en ik wens je veel succes om dit te blijven doen.
Dank je wel. Bart Groothuis, VVD-europarlementariër.
Dank ook aan Loulou Hanna, Nina Krijnen en Ron Roozendaal.
Ook in de andere afleveringen van deze serie
neem ik vragen van dit drietal mee.
Meer weten? Ga dan naar it-academieoverheid.nl
of je favoriete podcastapp. Dank je wel.