De discussie over digitale autonomie en soevereiniteit is in volle gang. Overheden en publieke organisaties willen data in eigen handen, eigen cloudomgevingen en Europese ketens. Dat is begrijpelijk. Investeren in eigen technologie is nodig voor innovatie, strategische onafhankelijkheid en economische weerbaarheid. Maar de plek van de server zegt weinig als de beveiliging niet op orde is.
Europese tech is geen panacee
Digitale autonomie wordt niet bereikt door alleen onze data te verplaatsen. Uiteindelijk maken mensen het verschil in hun handelen, hun bewustzijn en hun professionaliteit. Daar ligt de echte sleutel tot het beschermen van onze digitale kroonjuwelen. En dat is, nog altijd, belangrijker dan waar de data staan.
Wie denkt dat continuïteit, privacy en bescherming van onze digitale kroonjuwelen automatisch geborgd zijn zodra data binnen Europa staan, vergist zich. Een keten kan volledig Europees zijn en toch kwetsbaar. De kracht van die keten is slechts zo sterk als de zwakste schakel, en dat is vaak de organisatie zelf.
Dat zien we bij de recente hack van Odido, maar ook binnen de overheid ging het mis. Denk aan de politie, waar bleek dat de politie haar informatiebeveiliging niet op orde had. En als je de beveiliging niet op orde hebt of als medewerkers in phising mailtjes trappen, dan maakt het ook niet zoveel uit waar je data staan.
Weerbaarheid is geen product, maar een cultuur. Investeer daarom in mensen, in vaardigheden, in bewustzijn.
Onze data en infrastructuur worden dan ook meer bedreigd door menselijke fouten, gebrekkige processen of onvoldoende beveiliging dan door Amerikaanse techbedrijven. We kunnen ons blindstaren op de vraag of iets ‘Amerikaans’ is of niet, maar soevereiniteit is weinig waard als je de grenzen niet bewaakt.
Dat vraagt om volwassen bestuur. Wetgeving zoals NIS2 onderstreept de verantwoordelijkheid van bestuurders om risico’s expliciet te adresseren, passende maatregelen te nemen en aantoonbaar grip te hebben op hun digitale ketens. Dat gaat verder dan contracten of de plek van een datacenter. Het gaat over risicomanagement, toezicht, toegangscontrole en het organiseren van structurele weerbaarheid.
Weerbaarheid is geen product, maar een cultuur. Investeer daarom in mensen, in vaardigheden, in bewustzijn. Zorg voor een organisatie waarin security-by-design en security-by-default vanzelfsprekend zijn. Waar incidenten worden gemeld, lessen worden getrokken en bestuurders zich actief verhouden tot digitale risico’s. Niet alleen kijken naar afhankelijkheden, maar vooral naar de eigen kwetsbaarheden. Niet alleen sturen op autonomie, maar op aantoonbare beheersing.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Klinkt sympathiek en niemand zal ontkennen dat menselijke competentie best essentieel is, maar de stelling dat weerbaarheid primair een kwestie van cultuur is en niet van architectuur, bevat een fundamentele denkfout die ons juist kwetsbaarder maakt.
Dat menselijke fouten de grootste bedreiging vormen, is een "attribution error".
Ja, mensen klikken op phishing-mails, maar de échte vraag is natuurlijk waarom die phishing-mail überhaupt kan leiden tot een datalek? Is er dan geen Data Governance?
Men goede bedoelingen houdt je geen AI-systemen tegen die 24/7 geautomatiseerd kwetsbaarheden scannen. Een beetje cloud spider AI — autonome, gedistribueerde AI-agenten die systematisch aanvalsoppervlakken verkennen — vindt altijd een gat in organisaties die hun grenzen niet formeel hebben gemodelleerd. Niet omdat mensen falen of de cultuur niet genoeg alertheid beloont, maar omdat er geen machineleesbare, afdwingbare structuur bestaat die definieert WAT beschermd moet worden, DOOR WIE, HOE en ONDER WELKE CONDITIES (Curry et al., 2022¹).
Echte digitale weerbaarheid begint dus bij architectuur; bij het concreet modelleren waar organisaties beginnen en eindigen. Zonder expliciete organisatiegrenzen in een Enterprise Architecture weet je domweg niet wat je beschermt. Data Governance volgens DAMA-DMBOK (DAMA International, 2017³) dwingt organisaties in elk geval om eindelijk hun data-eigenaarschap, classificatie en levenscyclus formeel vast te leggen.
Vervolgens zijn standaarden geen luxe, maar noodzaak. De International Data Spaces Reference Architecture (IDSA, 2023⁴) biedt een raamwerk voor soevereine data-uitwisseling, waarbij data-eigenaren controle behouden via usage policies die machineleesbaar en afdwingbaar zijn — ongeacht waar de data fysiek staan. FIWARE Context Brokers (FIWARE Foundation, 2023⁵) maken real-time, gestandaardiseerde data-uitwisseling mogelijk met ingebouwde autorisatie. Blockchain-gebaseerde audittrails creëren onweerlegbare, getimestampte bewijsketens die niet achteraf manipuleerbaar zijn — precies wat NIS2 vereist maar wat "cultuur" alleen nooit kan garanderen (European Commission, 2022⁶) en vooralsnog vooral in de weg staat (want je moet er wel nieuwe moeilijke woorden voor bijleren). Real-time monitoring en auditing via SIEM-systemen gekoppeld aan identity providers conform eIDAS 2.0 (European Commission, 2023⁷) en autorisatieregisters op basis van XACML-policies maken toegangscontrole domweg logisch afdwingbaar in plaats van afhankelijk van menselijke discipline. Het is dus een multidisciplinair architectuurvraagstuk en geen kwestie van een aantal man in een hok stoppen met goeie broodjes, een dag bijles en een folder.
Het verschil is fundamenteel. We moeten ECHT van "zorg dat mensen het goede doen." naar "maak het technisch onmogelijk om het verkeerde te doen." Zero Trust Architecture (NIST SP 800-207, 2020⁸) gaat uit van precies dit principe: vertrouw niemand, verifieer alles, beperk laterale beweging. Vertrouw geen mensen, geen machines, geen applicaties, geen processen en geen datasets - alleen de tijdelijke, verifieerbare en gelogde checks-and-balances daartussen. Tegen een cloud spider AI die met reinforcement learning zelfstandig aanvalspaden optimaliseert, is namelijk geen security-awareness-training opgewassen. Wat wél werkt: identity providers die elke entiteit cryptografisch verifiëren, context brokers die datadeling beperken tot het strikt noodzakelijke en data spaces die soevereiniteit technisch afdwingen.
Cultuur zonder architectuur is hoop zonder fundament en hoop is uitgestelde teleurstelling. Het is 2026 en we zitten in een hybride oorlog die nooit meer stopt, dus het beschermen van je digitale kroonjuwelen ligt niet in 'waar data staan' én niet in menselijk bewustzijn alleen — maar in het formeel, machineleesbaar en real-time afdwingbaar maken van organisatiegrenzen, datasoevereiniteit en toegangscontrole. Dat kan. Dat kan snel. Dat kan met terugwerkende kracht en de bijvangst is al je dubbelingen (contract consolidatie), blast range beperking en opvang van Vergrijzing .. en dat zou gewoon onder Data Governance moeten vallen.
Curry, E. et al. (2022). Data Spaces: Design, Deployment and Future Directions. Springer.
The Open Group (2022). TOGAF Standard, 10th Edition.
DAMA International (2017). DAMA-DMBOK: Data Management Body of Knowledge, 2nd Edition.
IDSA (2023). IDS Reference Architecture Model 4.0.
FIWARE Foundation (2023). FIWARE Context Broker Documentation.
European Commission (2022). Directive (EU) 2022/2555 (NIS2).
European Commission (2023). eIDAS 2.0 Regulation Proposal.
Rose, S. et al. (2020). NIST SP 800-207: Zero Trust Architecture.