Die afhankelijkheid van clouddiensten is volgens Snoep niet alleen economisch ongewenst, vanwege de marktmacht van deze partijen, maar vormt ook een strategisch risico. Het aanpakken van de afhankelijkheid vraagt volgens Snoep om politieke moed en samenhangend beleid. Omdat de cloudaanbieders in de VS zijn gevestigd, vallen zij onder Amerikaans toezicht. In het uiterste geval ligt de controle over cruciale IT-diensten dus buiten Europa. 'Wie controleert in dat scenario de spreekwoordelijke ‘kill switch’?' vraagt hij zich af.
Politiek moet fundamentele keuzes maken over digitale autonomie
'Met de verkiezingen in aantocht is dit hét moment om te kijken hoe we marktmacht beter kunnen bestrijden om markten goed te laten werken', schrijft bestuursvoorzitter Martijn Snoep van de ACM in een blog op de ACM-website. Een belangrijk aandachtspunt daarbij is de afhankelijkheid van buitenlandse cloudaanbieders. De Nederlandse Digitaliseringsstrategie markeert een stap in de goede richting, maar laat volgens hem ook zien dat de meest fundamentele keuzes over digitale autonomie nog gemaakt moeten worden.
NDS is raamwerk
De Digitaliseringsstrategie biedt een eerste raamwerk om dit probleem structureel aan te pakken, maar legt de belangrijkste vragen op dit punt nog niet definitief vast. Hij refereert aan de volgende vragen:
- Hoeveel afhankelijkheid van enkele dominante buitenlandse partijen vindt Nederland acceptabel?
- Wat is er nodig om die afhankelijkheid actief te verminderen?
- Hoe zorgen we ervoor dat Europese alternatieven op het gebied van cloudinfrastructuur en cruciale digitale toepassingen een eerlijke kans krijgen?
Uit eerder onderzoek van de ACM bleek al in 2022 dat Nederlandse bedrijven en publieke instellingen in toenemende mate afhankelijk zijn van een handvol grote Amerikaanse aanbieders van clouddiensten. Zodra organisaties eenmaal in zo’n cloudomgeving opereren, blijkt overstappen vaak technisch complex en financieel onaantrekkelijk. De mogelijkheden om toepassingen van verschillende aanbieders te combineren zijn beperkt, wat leidt tot zogenaamde ‘vendor lock-in’.
Whole of government-aanpak
Snoep pleit voor een gecoördineerde aanpak van wetgevers, beleidsmakers, publieke en private inkopers én toezichthouders. Pas dan kan digitale autonomie volgens hem daadwerkelijk vorm krijgen.
Lees ook:
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Terecht. Een digitale transformatieroadmap voor digitale autonomie vereist inderdaad een geïntegreerde aanpak. Je zult acceptabele afhankelijkheidsniveaus vast moeten stellen en beleid moeten ontwikkelen voor datasoevereiniteit, interoperabiliteit en exit-strategieën. Qua governance vraagt dat duidelijke besluitvormingsstructuren die compliance, security en continuïteit waarborgen. De techologische keuzes zul je moeten bouwen op open standaarden, multi-vendor architecturen en Europese alternatieven. De weerbaarheid zal versterkt moeten worden met betere supply-chain security, real time incidentrespons en integraal lifecycle management. Wat nieuwe interne kennis en competenties vraagt in cloud, edge en datamanagement. Niet te doen zonder coördinatie tussen overheid, industrie en toezichthouders en langetermijnmonitoring door het implementeren van KPI’s om voortgang en onafhankelijkheid structureel te toetsen. Daar bestaat allang relevante open standaarden voor die bijdragen aan digitale autonomie en het verminderen van afhankelijkheid van dominante buitenlandse cloudaanbieders, zoals voor datasoevereiniteit en interoperabiliteit (ISO 27001 / 27017 / 27701, OGC (Open Geospatial Consortium) standaarden voor interoperabiliteit van geografische data; W3C-standaarden (bijv. RDF, SPARQL, JSON-LD) voor semantische interoperabiliteit en datamodellering; het OData (Open Data Protocol)voor het ontsluiten van data via RESTful API's (kan uitstekend met NGSI-LD!) en de eIDAS-verordening standaarden voor vertrouwensdiensten en interoperabele elektronische identificatie binnen de EU. Hang dat onder een referentie architectuur (IDS-RAM om te beginnen) en je hebt echt niet zoveel besluitvorming nodig.
Leveranciersonafhankelijkheid (anti-lock-in) is prima in te regelen met Kubernetes (CNCF), een Open standaard voor containerorkestratie, wat portable cloud-native applicaties mogelijk maakt, maar denk ook aan het OCI (Open Container Initiative) voor de standaardisatie van containerformaten en runtime en omarm het GAIA-X Framework, de Europese specificaties voor dataruimten en interoperabele cloudinfrastructuren. Ligt meteen een mooie lijn naar TOSCA (Topology and Orchestration Specification for Cloud Applications) voor interoperabele cloudapplicatiebeheer.
Het barst van de open standaarden voor API’s en gegevensuitwisseling, zoals RESTful en GraphQL API’s, breed geaccepteerde standaarden voor gegevensuitwisseling en SOAP (Simple Object Access Protocol) voor betrouwbare en gestructureerde datacommunicatie. (die zich weer uitstekend laten vangen in NGSI-LD) en dan is er nog PEPPOL (Pan-European Public Procurement Online) voor gestandaardiseerde e-facturatie en e-procurement. Weerbaarheid en security-by-design zijn uitstekend in te regelen met TLS (Transport Layer Security), de standaard voor dataversleuteling in transit; met FIDO2/WebAuthn, voor sterke authenticatie zonder wachtwoorden; met OpenID Connect / OAuth 2.0 voor veilige identiteitstoegang en toegangsbeheer enmet ISO 22301 voor bedrijfscontinuïteit en incidentrespons. Governance en accountability regel je in met NEN 7510 (Nederland), specifiek gericht op informatie-beveiliging in de zorgsector; met AVG/GDPR-compliance standaarden voor privacy- en databeheer binnen de EU en met de NORA (Nederlandse Overheid Referentie Architectuur) voor gestandaardiseerde informatiesystemen binnen de Nederlandse overheid.
Om te zorgen dat de boel met elkaar praat hebben we open data en semantiek: DCAT-AP (Data Catalog Vocabulary - Application Profile) voor metadata-uitwisseling over datasets binnen de EU. SKOS (Simple Knowledge Organization System) voor het beheren van taxonomieën en thesauri en INSPIRE-standaarden voor het delen van ruimtelijke data binnen Europa.
Allemaal standaarden die alle mogelijke technische en organisatorische handvatten bieden voor het verifieerbaar operationaliseren van datasoevereiniteit, interoperabiliteit en veerkracht. Wat we dus NIET moeten doen is 'nadenken over wat autonomie is en wie daar over gaat', maar domweg de benodigde architectuur principes toepassen.
NGSI-LD en Data Spaces omarmen zou al zo veel helpen.
Digitale autonomie is een functie van keuzevrijheid en regie en niet van isolatie of zelfvoorziening.