Inloggen
Open menu
Overheid in transitie
Artikel

Hoe benut je de cloud zonder controle te verliezen?

Eelco Nicodem, strateeg bij KPN: 'De reis naar een souvereine cloud begint met een grondige inventarisatie van data, workloads en Saas-applicaties'.
9 april 2025

Eind 2024 besloot staatssecretaris Zsolt Szabó van Digitalisering tot een tijdelijke stop op het verplaatsen van overheidsdata naar de cloud van hyperscalers. De vrees: verlies van digitale autonomie. Eelco Nicodem, strateeg bij KPN, ziet echter mogelijkheden om gebruik te maken van de ‘Amerikaanse cloud’ zonder concessies te doen aan controle en soevereiniteit.

De publieke cloud biedt organisaties tal van voordelen, zoals schaalbaarheid en flexibiliteit van IT-systemen. Bovendien geeft het toegang tot de innovatieve kracht van internationale hyperscalers. Van kunstmatige intelligentie tot geavanceerde data-analysetools: organisaties profiteren van de nieuwste technologieën die eenvoudig beschikbaar worden gesteld via clouddiensten. “Maar om deze voordelen te benutten, moeten de data zich wel in die cloud bevinden”, benadrukt Nicodem.

Donkere wolken?

Uit het rapport ‘Donkere wolken pakken samen’ van de Algemene Rekenkamer blijkt dat de Rijksoverheid al uitgebreid gebruikmaakt van de cloud. In totaal zijn er 1.588 clouddiensten in gebruik, waarvan het merendeel draait in de publieke cloud. Meer dan de helft van de belangrijkste publieke clouddiensten wordt afgenomen bij Amerikaanse bedrijven zoals Amazon, Microsoft en Google.
Dit laatste punt baart de Algemene Rekenkamer zorgen. Er is vrees dat buitenlandse regeringen toegang kunnen krijgen tot Nederlandse overheids- en burgergegevens of deze zelfs kunnen aanpassen. Ook bestaat het risico dat een storing bij een externe clouddienst de dienstverlening voor burgers en bedrijven in gevaar brengt. Volgens het rapport houdt de Rijksoverheid nog onvoldoende rekening met deze risico’s.

Risico’s beperken

Volgens Nicodem zijn de risico’s reëel, maar ook goed te beperken. Instanties moeten zich bij het gebruik van publieke clouddiensten meerdere vragen stellen, zoals:

Welke data heb ik?
“Inventariseer welke datasets je hebt, wat het belang is van die datasets en waar je ze moet opslaan”, adviseert Nicodem. “Voor data die als staatsgeheim zijn geclassificeerd, is de keuze eenvoudig: die horen thuis in een private cloud. Maar als een dataset geen AI-verwerking vereist, is opslag bij een hyperscaler niet per se noodzakelijk.”

Kan ik altijd bij mijn data?
“Je moet in de cloud altijd de garantie hebben dat je toegang behoudt tot je data. Wat als een provider onverwachts stopt met opereren in Europa, of als een zeekabelbreuk de connectiviteit verstoort? Kun je dan nog bij je data in de cloud van Microsoft of Amazon? Met een datacenter in Nederland heb je een grotere zekerheid dat de connectiviteit gewaarborgd blijft.”

Kan iemand anders bij mijn data?
“Het is belangrijk om zeker te weten dat een hyperscaler jouw data niet kan ontsleutelen of er op een andere manier toegang toe heeft. Een effectieve maatregel is om de encryptiesleutels niet bij de hyperscaler zelf op te slaan, maar bijvoorbeeld bij een Nederlandse partner, waardoor je meer controle houdt over de beveiliging van je gegevens.”

Gradaties van soevereiniteit

Volgens Nicodem is het met de juiste soevereine maatregelen mogelijk om de innovatieve kracht van een hyperscaler te benutten en tegelijkertijd volledige controle over de data te behouden. Soevereiniteit kan op verschillende niveaus worden ingeregeld:

  • Datasoevereiniteit:
    hierbij worden data lokaal opgeslagen, bijvoorbeeld bij een Nederlandse partner. Dit voorkomt dat de hyperscaler de data kan ontsleutelen en biedt controle over de beveiliging van de gegevens.
  • Operationele soevereiniteit:
    bij deze vorm ligt de controle over de activiteiten van de hyperscaler bij een Nederlandse partner. Die controleert bijvoorbeeld de logs en zorgt ervoor dat nieuwe cloudfunctionaliteit de soevereiniteit niet ondermijnt.
  • Providersoevereiniteit:
    hierbij is een Nederlandse partij de tussenlaag tussen de hyperscaler en de klant. Dit waarborgt dat organisaties onder Nederlands recht vallen, waardoor ze voldoen aan lokale wet- en regelgeving en extra zekerheid hebben op het gebied van compliance en gegevensbescherming.
  • Infrastructurele soevereiniteit:
    op dit niveau worden servers volledig losgekoppeld van de publieke cloud van de hyperscaler. “De cloudsoftware van bijvoorbeeld Amazon of Microsoft draait dan ‘airgapped’ in Nederlandse datacenters, beheerd door een lokale partij, waardoor maximale controle en veiligheid gewaarborgd blijven”, legt Nicodem uit.

Van inventarisatie tot implementatie

Een goed gekozen niveau van soevereiniteit helpt organisaties om de juiste balans te vinden tussen controle, kosten en innovatie. KPN helpt organisaties om de innovatieve kracht van hyperscalers te benutten, terwijl ze tegelijkertijd controle en veiligheid over hun data behouden. Dit vraagt om een doordachte aanpak waarbij elke dataset en workload zorgvuldig wordt geanalyseerd op basis van bedrijfsbelang en risicoprofiel.
“De reis naar een soevereine cloud begint met een grondige inventarisatie van data, workloads en SaaS-applicaties”, besluit Nicodem. “Het is belangrijk om eigenaarschap binnen de organisatie te borgen en helder te krijgen welk beleid van toepassing is. Door deze inzichten samen te brengen, ontstaat een gestructureerd reisplan om de cloudomgeving optimaal en veilig in te richten.”

Meer weten over de gradaties van soevereiniteit?

Download KPN’s visiepaper ‘Zo benut je de kracht van hyperscalers én houd je soevereiniteit’.

Over KPN
Dit is een artikel van KPN. U kunt meer lezen van deze partner op deze pagina.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren

Meer van KPN

Digitale Weerbaarheid | KPN
Hoe kun je als overheidsorganisatie de cyberweerbaarheid verhogen?
Digitale Weerbaarheid | KPN
Veilig auto of fiets parkeren: security bij Spaarnelanden

Whitepapers

  1. 1.