Hoe gemakkelijk het ook is om met enkele klikken een complete infrastructuur neer te zetten, inclusief opslag, rekenkracht en applicaties, het maakt organisaties afhankelijk van externe partijen die alle data beheren. Honders, die dagelijks adviseert over het maken van technologische keuzes, pleit daarom voor meer bewustwording binnen bedrijven en (semi-)overheden. Zij moeten zich meer verdiepen in hoe hun infrastructuur en data worden opgeslagen, verwerkt en beheerd, en vooral welke afhankelijkheden daarbij ontstaan.
‘Controle over data is meer dan een server om de hoek’
Het lijkt zo handig om snel veel data in de cloud op te slaan. Toch staat digitale soevereiniteit steeds hoger op de agenda, vertelt André Honders, strategisch IT-architect bij IT-dienstverlener PQR. Door het toenemen van AI, cyberdreigingen en geopolitieke onrust rijst de vraag: wie is écht de baas over data en ict-infrastructuur?
Dat is ook meteen waar het om draait bij digitale soevereiniteit: hierbij zorg je er als organisatie voor dat je controle en zeggenschap houdt over je data, in plaats van gegevens uit handen te geven zonder te weten waar ze fysiek staan, hoe ze verwerkt worden en wie er toegang toe heeft.
‘Niet zelf sturen is een risico’
Volgens Honders kwam er meer aandacht voor soevereiniteit toen bedrijven tijdens de coronapandemie razendsnel overstapten op werken in de cloud. Ook de komst van AI-gedreven tools heeft daaraan bijgedragen. ‘Organisaties nemen een risico als ze niet langer zelf kunnen sturen,’ zegt Honders. ‘En daarover wordt nu steeds meer nagedacht. Waar wordt mijn data opgeslagen? Wie heeft er toegang toe? En wat gebeurt er met metadata?’
Het zijn logische vragen die zowel overheden als het bedrijfsleven en de detailhandel zichzelf moeten stellen, aldus de strategisch IT-adviseur. ‘Zeker nu landen als bijvoorbeeld Denemarken overwegen om Microsoft-producten te vervangen door open source-alternatieven, juist vanwege de controle over data.’
Soevereiniteit van meerdere kanten bekijken
Om als organisatie digitaal soeverein te zijn, is het overigens niet nodig om alles on-premises te laten draaien. ‘Je kunt wel een datacenter om de hoek neerzetten, maar als je vervolgens alles laat draaien op Amerikaanse software die je niet zelf beheert, ben je alsnog afhankelijk,’ waarschuwt Honders.
De IT-architect adviseert dan ook om er van meerdere kanten naar te kijken en bewuste keuzes te maken. Wat zijn de kritieke processen binnen je bedrijf? Welke data is gevoelig? En welke delen van je infrastructuur moeten per se onder directe controle staan?’
De antwoorden op die vragen kunnen worden vertaald naar slimme, toekomstgerichte hybride omgevingen waarin organisaties zelf kiezen welke onderdelen ze lokaal hosten, welke ze onderbrengen in een vertrouwde Europese cloud en waar hyperscalers een rol kunnen blijven spelen.
Om soeverein te zijn, is het volgens Honders goed te beginnen bij dataclassificatie. ‘Je moet weten wat je in huis hebt voordat je kunt bepalen hoe en waar je het wilt opslaan of verwerken.’ Dat vereist niet alleen technische maatregelen, maar ook procesinrichting: wie heeft toegang tot welke data? Hoe zijn metadata gestructureerd? Is encryptie standaard?
Onzekerheid over data en regelgeving
Een van de grootste uitdagingen voor organisaties die grip willen houden op hun digitale omgeving, is het omgaan met uiteenlopende juridische regelgeving. Honders wijst erop dat veel cloud- en softwarediensten onder Amerikaanse jurisdictie vallen, terwijl bedrijven in Europa te maken hebben met strenge eisen aan gegevensbescherming, bijvoorbeeld met de AVG (algemene verordening gegevensbescherming). Dat is volgens Honders lastig voor ondernemers. ‘De data kan fysiek in Europa staan, maar de softwareleverancier valt onder Amerikaanse wetgeving die in sommige gevallen toegang afdwingt die in strijd is met Europese privacyregels.’
Dat leidt tot onzekerheid, aldus Honders: organisaties weten niet altijd wie toegang heeft tot hun data, wat er gebeurt met metadata of gegevens worden doorgestuurd naar andere landen. ‘Die onduidelijkheid maakt het lastig om als organisatie aantoonbaar compliant te zijn. Wie bepaalt de spelregels: jij, of de leverancier?’
Hij pleit daarom voor bewuste, weloverwogen keuzes in de inrichting van software, processen en infrastructuur. Denk aan Europese SaaS-oplossingen, open source-alternatieven of hybride modellen waarin gevoelige data lokaal verwerkt wordt. ‘Digitale soevereiniteit is niet iets wat je koopt, het is iets wat je zorgvuldig ontwerpt. En dat begint altijd met de vraag: waar wil je zelf de regie houden?’
Auteur kennisbijdrage: Andre Honders - PQR.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.