CEO Microsoft Nederland, Joris Schoonis, schreef deze week op LinkedIn dat organisaties vanaf nu de IT-applicaties, services en data die essentieel zijn voor het functioneren van hun organisatie volledig lokaal konden uitvoeren in een volledig offline omgeving. ‘Azure Local offline operations en Microsoft 365 Local offline zijn speciaal ontworpen voor omgevingen waar autonomie, continuïteit en controle onmisbaar zijn.’
Tech-expert Bert Hubert gelooft er niets van. ‘Dit is er weer eentje die Microsoft graag uit de kast haalt. Ze hebben inderdaad bepaalde oplossingen die je kunt ontkoppelen van het internet, maar dat zijn niet de applicaties die mensen daadwerkelijk op hun desktop gebruiken.’
Soevereiniteit is geen simpele keuze voor “lokaal” of “offline”
Grote techbedrijven doen deze dagen hun uiterste best om de angst bij organisaties weg te nemen voor ‘de rode knop van Trump’. Ook om hun marktaandeel te behouden uiteraard. Deze week beloofde Microsoft meer soevereiniteit door offline te kunnen werken. Biedt dat vertrouwen? De meningen verschillen: 'Waar de één zegt: XYZ is digitale soevereiniteit, zegt de ander: XYZ is soevereiniteit-washing.’
Ronald Scherpenisse vindt dat Schoonis wel iets raakt dat het debat vooruit helpt: ‘Soevereiniteit moet je bewijzen in architectuur en operations. Niet in slogans, maar in ontwerpkeuzes, rollen, processen en controlepunten. Dat is de juiste richting.
'Het sentiment dat de techreuzen een acuut gevaar vormen, is hardnekkig.’
Michiel Steltman
Vorige maand presenteerde Amazon de AWS European Sovereign Cloud als dé onafhankelijke cloud voor Europa, volledig in Europese handen en gerund door Europeanen. ‘Het is een Amazon-bedrijf, maar er is geen afhankelijkheid van infrastructuur buiten de EU. Ook alle metadata blijven in de EU.’
Sentimenten
Het idee dat de Verenigde Staten op grond van de Cloud Act en andere Amerikaanse wetten zich toegang zouden kunnen verschaffen tot data, of dat ze zelfs opdracht kunnen geven om applicaties stil te leggen, verontrust de politiek, vele overheden en bedrijven. Techbedrijven proberen vertrouwen terug te winnen (en marktaandeel te behouden), maar dat wordt heel lastig, meent Michiel Steltman: ‘Niemand gelooft het meer. Het sentiment dat de techreuzen een acuut gevaar vormen, is hardnekkig.’
Er zijn echter ook mensen die er anders over denken, die de risico’s van de inzet van Microsoft acceptabel vinden. Recent verscheen een advies van GreenbergTraurig over de soevereine AWS-cloud, dat het risico op daadwerkelijke toegang op grond van Amerikaanse wetgeving laag is: de Amerikaanse wetgeving biedt het Witte Huis de mogelijkheden, maar de kans dat dit gebeurt zou klein zijn. De kritieken op dit advies waren niet mals. Het Strategisch Leveranciersmanagement (SLM) van het Ministerie van Justitie en Veiligheid, op wiens verzoek het advies was gemaakt, heeft de publicatie ervan inmiddels teruggetrokken.
Blijft een oplossing lokaal functioneren als Microsoft tegen zijn wil wordt opgedragen geen zaken meer te doen met een bepaalde partij?
Wladimir Mufty
Steltman vreest dat de partijen de komende tijd niet tot elkaar zullen komen. ‘Ondertussen zitten we de komende jaren nog diep in de Amerikaanse tech, dus we zullen een weg uit de discussie moeten vinden.’
Volgens Wladimir Mufty van Surf zullen geïnteresseerden nu op zeer gedetailleerd niveau onderzoeken wat Microsoft precies aanbiedt op het gebied van software, licenties en continuïteit. ‘Blijft een oplossing lokaal functioneren als Microsoft tegen zijn wil wordt opgedragen geen zaken meer te doen met een bepaalde partij? Hoe werkt het precies in de praktijk? Wat zijn de haken en ogen? Waar liggen de kansen?’
Voor Scherpenisse is de echte vraag: ‘Kan Nederland controle aantonen die overeind blijft bij stress, bij eigenaarswissel, en bij geopolitieke druk, niet alleen bij het wegvallen van connectiviteit? Als het antwoord ja is, dan is disconnected een krachtige bouwsteen. Als het antwoord nee is, dan wordt disconnected de nieuwe façade van vertrouwen.’
Soevereiniteit
Wanneer kunnen we eigenlijk spreken van soevereiniteit? ‘Echte digitale soevereiniteit vraagt om gelaagde keuzes, niet om het volledig verlaten van de cloud of het blind omarmen van lokale oplossingen’, stelt Ronald Scherpenisse.
‘Er leven meerdere definities en er zijn meerdere ambities waar men naar streeft’
Wladimir Mufty
Soevereiniteit is in ieder geval geen simpele keuze voor “lokaal” of “offline”. Dat laten Nextcloud en Soverin zien. Nextcloud biedt een volledig open‑source samenwerkingsplatform dat organisaties zelf kunnen hosten, met volledige controle over data, configuratie en auditability. Het past daarmee in een model van federated sovereignty: lokaal waar het moet, verbonden waar het kan. Soverin kiest juist voor radicale eenvoud: een Nederlandse, privacy‑first e‑maildienst zonder tracking of profiling. Juridisch en operationeel helder, maar functioneel beperkt. Het is een voorbeeld van “soevereiniteit door reductie”: veilig en zuiver.’
‘Er leven meerdere definities en er zijn meerdere ambities waar men naar streeft’, zegt Mufty. Waar de één zegt: X is digitale soevereiniteit, zegt de ander: X is soevereiniteit-washing.’ Om te bepalen of iets “soeverein” is, verwijst hij naar het Cloud Sovereignity Framework van de EU; een meetlat waar je je IT-landschap langs kunt leggen. Hierin staan acht categorieën van soevereiniteit. De interpretatie van de scores kan echter verschillen. ‘Sommigen stellen dat ze voldoende soeverein zijn als ze goed scoren op zeven van de acht punten. Anderen kijken naar dezelfde score en zeggen: “Als er sprake is van een niet-Europese jurisdictie of het ontbreken van open standaarden, dan ben, word of blijf je problematisch afhankelijk en dus niet weerbaar”.'
Ronald Scherpenisse schreef een long read naar aanleiding van vragen van iBestuur.
Klik HIER om het artikel te lezen.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
De diepere essentie van deze discussie heeft directe implicaties voor het datacentrisch en context-centrisch leren werken en het multidisciplinair samenwerken binnen overheidsorganisaties. Ambtenaren die zich bezighouden met inkoop, architectuur en bedrijfsvoering moeten niet alleen technische kennis ontwikkelen, omdat hun eigen vakgebied razendsnel doorontwikkeld, maar ze moeten ook veel bredere competenties opbouwen die strategische en operationele besluitvorming aantoonbaar ondersteunen. Dit vraagt om een fundamentele heroriëntatie op samenwerking, kennisdeling en vaardigheidsontwikkeling BINNEN de overheid. Bijbehorende juridische risico’s (zoals de Cloud Act) vereisen dat ambtenaren veel beter moeten begrijpen hoe digitale samengestelde ecosystemen eigenlijk functioneren. Dus op basis van meer marktkennis, diep inzicht in de verschillende businessmodellen van leveranciers (hoe verdienen techbedrijven geld, waar liggen hun belangen en hoe beïnvloeden hun juridische structuren de risico’s voor de overheid?), ze moeten realisatieprincipes veel beter gaan begrijpen (Welke ontwerpkeuzes maken leveranciers eigenlijk, bijvoorbeeld op het gebied van datalokalisatie, open standaarden en interoperabiliteit? Hoe kunnen deze keuzes bijdragen aan digitale soevereiniteit?) Hierdoor verschuift de rol van de inkoper naar die van een strategisch partner, die samen met architecten en juristen risico’s en kansen integraal weegt. Het vergt leren denken in complexe dynamische data ecosystemen met meervoudige datavoortbrengingsketens. Wat weer betekent dat ambtenaren voor een datacentrische aanpak niet alleen data begrijpen, maar ook in staat zijn om deze effectief in te zetten voor besluitvorming. Wat weer impliceert dat ze datagedreven marktanalyses moeten kunnen uitvoeren, om risico’s en kansen van verschillende leveranciers en technologieën te beoordelen. Kun je niet zonder kennisbeheersing van data governance-principes, zodat ook echt duidelijk is wie toegang heeft tot data, waar deze zich bevindt en hoe deze wordt beschermd. Zonder dat kun je anders ook geen impactmodellen opstellen die de gevolgen van technologische keuzes (zoals offline werken of het gebruik van open-source) voor operationele continuïteit en kosten inzichtelijk maken. Wat zal vragen om gestructureerde samenwerking met data-analisten, security-experts en juristen - onmisbaar om een volledig beeld te krijgen. Digitale soevereiniteit en complexe technologieën vereisen kortom een multidisciplinaire aanpak in een Round Robin samenwerking en niet meer elk in zijn eigen stovepipe, maar samenwerken met experts uit verschillende vakgebieden, zoals IT-architecten, voor het ontwerpen van systemen die voldoen aan de eisen van soevereiniteit en continuïteit; juristen (de bijgeschoolden graag), om risico’s rond internationale wetgeving en contracten te beoordelen en financiële experts, voor het doorrekenen van Total Cost of Ownership (TCO) en strategische investeringen en Strategisch adviseurs voor het evalueren van lange termijn afhankelijkheden en geopolitieke risico’s. Kun je niet doen zonder kennis van generieke referentie architecturen, want je zult een structuur moeten gebruiken om tot gedeeld begrip tussen deze disciplines te kunnen komen, zodat complexe vraagstukken ook effectief kunnen worden aangepakt. Dus er zal getraind moeten worden in businessmodellen en marktontwikkelingen en architectuurprincipes, zodat ambtenaren een strategisch gesprek kunnen voeren met leveranciers over concepten als Security by Design, data-integratie en interoperabiliteit. Neem dan meteen ook bewustwording van geopolitieke risico’s mee, inclusief de impact van internationale wetgeving op contracten en IT-landschappen ... waarmee het best interessant is geworden om meer te doen met Digital Twins om scenario-denken en stress-testen uit te kunnen voeren, om te beoordelen of systemen en processen inderdaad bestand zijn tegen onverwachte gebeurtenissen, zoals geopolitieke druk of het wegvallen van een leverancier.
Vooralsnog werken veel overheidsorganisaties nog te gefragmenteerd. Inkoop, IT, beleid en juridische afdelingen opereren vaak als silo’s, wat leidt tot suboptimale beslissingen. We kunnen het best hebben over 'soevereiniteit' en 'autonomie', maar dat is geen emotie, maar een inrichtingsprincipe, dus niet te doen zonder coherente datacentrische en multidisciplinaire aanpak op basis van geïntegreerde werkwijzen.
De politieke focus op digitale soevereiniteit dwingt overheden dus de facto om inkoop, architectuur en datagedreven besluitvorming nauwer op elkaar af te stemmen. Dit vereist dat ambtenaren niet alleen technische en juridische basiskennis opbouwen, maar ook leren samenwerken in multidisciplinaire teams. Trainingen, gedeelde frameworks (zoals het EU Cloud Sovereignty Framework) en een integrale benadering van architectuur en governance zijn cruciaal. Alleen dan kan de overheid een robuuste, toekomstbestendige en soevereine digitale infrastructuur realiseren en anders blijft de soevereiniteitsdiscussie en zeker de autonomiediscussie leuk voor bij de borrel.