De ophef over de overname van Solvinity laat zien hoe actueel het vraagstuk van digitale soevereiniteit is. Het toont ook waar de pijn zit, zeggen Hillenaar en Jochem. Hillenaar was onder meer de eerste CIO Rijk. Nu bouwt hij als directeur Corporate Development bij Centric in een alliantie met partners aan een nieuwe propositie voor de Nederlandse overheid: een soevereine cloud en een soevereine werkplek. Zijn team is sinds kort versterkt met Jochem, voormalig CISO Rijk. Hillenaar en Jochem vinden het terecht dat digitale autonomie nu op de politieke agenda staat, en zelfs wordt geborgd met een staatssecretaris voor digitale autonomie en soevereiniteit, op het ministerie van Economische Zaken.
Digitale soevereiniteit als gezamenlijke opgave voor overheid en markt
Ze waren beiden betrokken bij de formulering van opeenvolgende versies van het rijksbrede cloudbeleid. Nu werken ze bij Centric aan een soevereine cloud en een soevereine werkplek voor de overheid. Hoe kijken Maarten Hillenaar en Aart Jochem naar het debat over digitale soevereiniteit?
Flexibiliteit inbouwen
De ophef rondom Solvinity laat zien dat alleen het werken met Europese spelers niet genoeg is om je autonomie te borgen, zegt Hillenaar: “Je moet bij een samenwerking vooraf vastleggen hoe je afscheid kunt nemen van een partner, als die wordt overgenomen door een ongewenste partij.” Jochem vult aan: “De overheid doet er goed aan flexibiliteit in te bouwen en altijd controle te houden over haar gegevens. Als het dan toch nodig is, moet je relatief eenvoudig kunnen overstappen naar een andere leverancier. Dat vraagt onder meer om eigenaarschap van data, om het gebruiken van open standaarden en om het borgen van interoperabiliteit. Dat is ook een nadrukkelijk aandachtspunt voor Centric, dat in een alliantie met onder andere Uniserver, Intermax en Nextcloud bouwt aan een soevereine cloud en werkplek voor de overheid.”
Eindelijk aandacht
Hillenaar was als CIO Rijk betrokken bij het eerste rijksbrede cloudbeleid, in 2012. Jochem werkte als CISO Rijk mee aan de opvolger, het cloudbeleid van 2022. Jochem: “Toen het opvolgende rijkscloudbeleid werd gemaakt, speelde het thema van autonomie en soevereiniteit nog beperkt. Het ging toen vooral over de bescherming van gegevens van burgers tegen meelezen door andere overheden. Althans, in de politiek en het ambtelijk bestuur. De in het beleid ingebouwde begrenzing ging nog niet over een mogelijke ongewenst grote afhankelijkheid van niet-Europese partijen of overheden.” Hillenaar: “De gang naar de cloud werd vanzelfsprekend. Raamcontracten, gebruiksgemak, gewoonte en keuzevrijheid speelden allemaal een rol. Natuurlijk waren er mensen die waarschuwden dat onze afhankelijkheid van cloudaanbieders steeds groter werd. En dat het een probleem kon worden. Maar een gevoel van urgentie ontstond pas toen die afhankelijkheid gebruikt werd op het geopolitieke strijdtoneel.” Dat heeft de toon van het debat veranderd, zegt Hillenaar: “Digitale soevereiniteit is een belangrijk thema, Europa moet meer op eigen benen staan en het verkleinen van de afhankelijkheid van grote, niet-Europese techspelers is een aandachtspunt van de politiek. Ook het investeren in de Europese en Nederlandse capaciteit hoort daarbij. Het coalitieakkoord benoemt digitale autonomie zelfs tot uitgangspunt van de overheidsdigitalisering.”
Geen gemakkelijke transitie
“De overheid kan zeker haar digitale autonomie vergroten. Maar het zal niet makkelijk zijn,” stelt Hillenaar. Het is een transitie en die kost aandacht en tijd, van zowel overheid als markt. Aan de kant van de overheid vraagt het onder meer om inspanningen op het gebied van inkoop en informatiehuishouding. Jochem geeft een voorbeeld: “Om de juiste keuzes te maken in het niveau van autonomie dat je nodig hebt, heb je een overzicht nodig van je risicovolle data en processen. Dat overzicht is er nog beperkt en moet vollediger.” Ook de inkoop verandert: in plaats van alle IT bij één leverancier af te nemen, zoals nu veelal gebeurt bij de Amerikaanse hyperscalers, zal eerder worden gekozen voor diverse oplossingen van verschillende partijen. Autonomie en soevereiniteit worden aspecten die meewegen bij deze keuze. Daarnaast betekent deze transitie een grote verandering voor de gebruikers. Hillenaar: “Iedereen bij de overheid, maar ook bij de IT-bedrijven zelf, want bij ons speelt het net zo goed, zal eraan moeten wennen dat er verschillende tools worden gebruikt die passen bij het beveiligingsniveau dat nodig is voor de data en processen waarmee je werkt.” Jochem: “Er is dus serieus aandacht nodig voor deze overstap, met onder meer begeleiding en training.”
Goede moed
“Ik heb goede moed dat we nu grote stappen kunnen zetten naar meer digitale autonomie, mede dankzij de huidige politieke en bestuurlijke aandacht voor digitale soevereiniteit. Ik zeg met opzet ‘we’, want dit is een uitdaging die overheid en markt gezamenlijk moeten aangaan,” zegt Hillenaar. Hij besluit: “Er liggen volop kansen. Nederlandse IT-bedrijven met ambitie en kennis, een overheid die de regie pakt, de inspirerende rapporten van Draghi en Wennink. En de urgentie om nu echt stappen te zetten en te investeren in soevereine diensten. Aan ons en onze collega’s in de alliantie zal het niet liggen”.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Mooi moment om dan ook het Opdrachtgeverschap strak in te richten, want er zijn zoveel partijen bezig met een 'soevereine cloud' momenteel. Een soevereine cloud zonder architecturale verankering in de NORA is een luchtkasteel; zonder BIO-alignment is het een beveiligingsrisico en zonder migratieroadmap komen we er ook niet. Een soevereine cloud zal proactief moeten zijn: vooruitlopen op regelgeving, niet reactief volgen. Hij zal Vindbaar moeten zijn: data en diensten moeten vindbaar zijn via gestandaardiseerde catalogi. Cloudservices moeten ook toegankelijk zijn voor alle overheidslagen en gebruik van open standaarden (pas-toe-of-leg-uit) is natuurlijk verplicht. Transparant, met volledige inzichtelijkheid in dataverwerking, locatie en toegang en er zullen duidelijke verantwoordelijkheden moeten worden belegd rond het eigenaarschap van data en processen. Federatief vooral, met een gedecentraliseerde architectuur met centrale afspraken die dan weer mooi onder Staatsbrede Data Governance zouden moeten vallen. Hopelijk wordt een federatief model wel het leidende principe, want als er iets is dat je in deze tijd NIET zou moeten willen is om de soevereine cloud als één monolithisch platform te ontwerpen (Single Point of Failure), maar als federatief ecosysteem — volledig in lijn met hoe de Nederlandse overheid zelf is georganiseerd. Dus met gemeenschappelijke diensten op rijksniveau (identiteit, authenticatie, logging), met domeinspecifieke cloudomgevingen per ministerie of uitvoeringsorganisatie en met gestandaardiseerde koppelingen via de Digikoppeling-standaard en API-strategie onder centrale regie via bv CIO Rijk, met decentrale uitvoering. (Thorbecke). Dan nog staat een soevereine cloud natuurlijk nooit op zichzelf. Zij moet naadloos integreren met DigiD, eHerkenning, het Stelsel van Basisregistraties voor gegevensdeling, Digipoort voor berichtenverkeer, Logius voor standaarden en interoperabiliteit en met de Generieke Digitale Infrastructuur (GDI). Prima te realiseren als Dataspaces als architectuurpatroon gekozen zou worden. In lijn met de Europese datastrategie en initiatieven als Gaia-X en IDSA (International Data Spaces Association) zou de (gedistribueerde) soevereine cloud moeten worden ingericht volgens dataspace-principes. Dus met data-soevereiniteit op objectniveau — niet alleen op infrastructuurniveau. Met Usage control policies, waarbij de data-eigenaar bepaalt wat er met data mag gebeuren, ook nadat deze is gedeeld. Met Semantische interoperabiliteit via linked data en gestandaardiseerde ontologieën en met decentrale identiteit voorziening met Self-Sovereign Identity (SSI) als fundament. Het is nou niet alsof je een andere "harde schijf in de sky" koopt. Elke soevereine cloudoplossing zou ook minimaal aan de BIO moeten voldoen als absolute ondergrens in de volle range van BBN1 (Openbare informatie, standaard cloudbeveiliging volstaat) via BBN2 (Departementaal vertrouwelijk, Versleuteling, toegangscontrole, logging vereist) tot BBN3 (Staatsgeheim, fysieke isolatie, nationale certificering, striktste toegangscontrole) dus onder versleuteling met eigen sleutelbeheer — dit is niet-onderhandelbaar. Pak dan ook meteen post-quantum cryptografie mee (CRYSTALS-Kyber, CRYSTALS-Dilithium) voor toekomstbestendigheid en zorg voor Hardware Security Modules (HSM) onder eigen beheer. Wordt interessant qua governance, want dat vereist volledige datavoortbrengingsketen en supply chain security als integraal onderdeel met right-to-audit clausules in alle contracten, transparantie over subverwerkers en hun jurisdicties en de contractuele exitstrategieën die hier terecht benadrukt wordt.
De migratie naar een soevereine cloud is geen big-bang operatie, maar een geleidelijke transitie die meerdere jaren beslaat en zorgvuldige fasering vereist onder een volledige Architecture Governance Board en Data Governance. Liefst met een Visie voor workload allocatie onder integrale Data Governance, met Identities as Services op Code-as-Infrastructure onder Policy Based Access Control.
Een perfect onderdeel van de Digitale Transformatie, want het vereist integrale dataclassificatie en risico-inventarisatie, proces modellering en het vaststellen waar data zich NU bevinden (hoe kun je de boel anders overzetten? overigens van legacy software applicaties naar data omgevingen in een cloud omgeving).
Niet te doen zonder zeer robuust bestuurlijk draagvlak.
Technisch kan het, maar het zal niet makkelijk zijn. Wel gaaf!