Is de AWS European Sovereign Cloud soeverein genoeg?

In dit artikel:

AWS brengt vandaag de AWS European Sovereign Cloud in algemeen gebruik en kondigt tegelijk drie soevereine Local Zones aan in Europa. De nieuwe cloudregio is gevestigd in Berlijn/Potsdam en moet Europese organisaties meer controle en regionale autonomie over hun data geven. België, Nederland en Portugal krijgen ook aparte Local Zones, maar exacte beschikbare datums zijn nog niet bekend.

Belangrijk verschil met bestaande AWS-regio’s is dat de European Sovereign Cloud organisatorisch en technisch losstaat van het reguliere AWS-netwerk. Amazon richtte hiervoor een nieuw Duits moederbedrijf op (AWS European Sovereign Cloud GmbH) met meerdere dochters voor infrastructuur, certificaatbeheer en het werkgeverschap van Europees personeel. Dit bedrijf handelt zelfstandig inkoop en financiën af; de opbrengsten blijven binnen de Europese entiteit, alhoewel Amazon uiteindelijk eigenaar blijft.

Op technisch vlak hanteert AWS een drievoudige scheiding: fysieke, logische en organisatorische isolatie. Kerndiensten zoals IAM en DNS zijn voor deze regio herbouwd, er komt een Europees SOC en regionale facturatie; klanten moeten aparte accounts aanmaken om de soevereine omgeving te gebruiken. Netwerkverbindingen en operationele processen verlopen via Europese leveranciers en medewerkers die in de EU wonen hebben toegang tot de broncode die nodig is om de diensten draaiende te houden. Bovendien speelt het Nitro System een centrale rol: dat onderliggende hardwareplatform beperkt toegang van zelfs AWS-medewerkers tot klantdata en maakt het mogelijk dat klanten zelf sleutels voor decryptie beheren.

Toch blijft de vraag of dit model juridisch “soeverein genoeg” bestaan. Omdat de nieuwe entiteit onderdeel is van het Amerikaanse Amazon, kunnen Amerikaanse wetten zoals de CLOUD Act theoretisch invloed hebben op toegang tot data. AWS benadrukt dat het sinds het bijhouden van statistieken geen klantgegevens heeft overgedragen en dat technische beperkingen (zoals bij Nitro) naleving soms onmogelijk maken. Europese bedrijven houden echter terecht zorgen over de mogelijke spanningen tussen GDPR en Amerikaanse jurisdictie.

De auteur woonde de lancering in Berlijn bij; verdere duiding over praktische implicaties en juridische vragen volgt zodra meer details bekend zijn.