Cloudgebruik zit in een stroomversnelling. Voor veel organisaties is het een belangrijke stap in hun digitale transformatie. Platgeslagen betekent overstappen naar de cloud het aangaan van een groot outsourcingscontract. Je vertrouwt immers op anderen om een deel van je it-infrastructuur te bedienen. Logischerwijs word je hierbij geconfronteerd met enige mate van controleverlies over je data en it-omgeving. Daarom groeit door het toenemend cloudgebruik ook het belang van digitale soevereiniteit. Waarom dit zo is, wat digitale soevereiniteit precies inhoudt en hoe je dit als organisatie optimaliseert, lees je in deze blog.
Digitale soevereiniteit is niets anders dan digitale controle hebben. Controle over data, over de operatie en over digitale assets wanneer deze op een plek staan die je niet volledig in eigen beheer hebt. Het World Economic Forum spreekt dan ook over ‘digitale soevereiniteit als de mogelijkheid om je eigen digitale bestemming te managen’.
Digitale soevereiniteit beslaat drie gebieden: data, techniek en operatie. Datasoevereiniteit is de mogelijkheid om controle uit te oefenen over waar data staat opgeslagen, over de encryptie ervan en over het toegangsbeheer. Technische soevereiniteit gaat over in hoeverre je activiteiten kunt uitvoeren zonder daarbij afhankelijk te zijn van de software van cloudproviders. Dat is niet gemakkelijk, want hoe meer cloud native-systemen je gebruikt, hoe moeilijker dit wordt. Operationele soevereiniteit haakt tot slot in op het op de hoogte zijn van de activiteiten van de cloudprovider en deze kunnen monitoren. Deze drie gebieden samen bepalen je digitale soevereiniteit.
Controleverlies
Dat er in de markt veel gesproken wordt over digitale soevereiniteit, heeft te maken met de gevolgen van de digitale transformatie waarbij we ict-oplossingen van derden adopteren. Naast controleverlies brengt dit ook uitdagingen met zich mee op het gebied van multinationale jurisdictie waar je mee te maken krijgt. Cloudbedrijven zijn vaak buiten Europa gevestigd, waardoor je niet alleen moet voldoen aan je eigen Europese wet- en regelgeving, maar ook aan die van andere landen.
En werk je samen met andere partners binnen je it-omgeving? Dan betekent dat wellicht weer andere jurisdictie. Dit is vooral een governance-aangelegenheid, maar het heeft ook gevolgen voor compliance met allerlei wet- en regelgeving zoals GDPR, Schrems2 en het nieuwere NIS2 en Dora. Dit allemaal bij elkaar dwingt organisaties om in dezelfde richting te bewegen; eigen verantwoordelijkheid nemen. Want, zoals het shared responsibility-model dat de cloud reguleert aangeeft, blijf je als organisatie altijd zelf verantwoordelijk voor je data en de veerkracht van je organisatie als je data bij cloudproviders onderbrengt. Hoe neem je die eigen verantwoordelijkheid en hoe waarborg je digitale soevereiniteit?
Drie pilaren
Er bestaan drie pilaren waarop je moet focussen om je digitale soevereiniteit te versterken. Dat gaat allereerst over data-residency, ofwel de mogelijkheid om de locatie van en toegang tot data te beperken tot een bepaald geografisch gebied. Zorgen voor lokale data dus. Ten tweede is het cruciaal om eigen applicaties of beveiligingscontroles te installeren. De eerder genoemde reguleringen als GDPR en Schrems2 verplichten je hier namelijk toe. In meerdere artikelen vermelden ze dat organisaties de nodige technische en organisatorische maatregelen moeten nemen, waaronder data-encryptie en adequaat cloud key management. De derde pilaar voor digitale soevereiniteit valt en staat met lokaal support voor hulp en ondersteuning bij cloudoperaties. Denk hierbij bijvoorbeeld aan low-codeproviders om je te helpen bij het uitvoeren van workloads.
Op jouw bord
Het toenemende cloudgebruik heeft grootse voordelen, maar maakt de it-omgeving voor organisaties ook een complexer geheel om te managen. Governance, risk, compliance; je moet het allemaal in de gaten houden. Want dat je als organisatie zelf verantwoordelijkheid draagt voor het beveiligen van data en waken over je zakelijke veerkracht, staat buiten kijf. Ook als je uitbesteedt naar de cloud ligt deze verantwoordelijkheid op jouw bord. Beveiligingsrisico’s kun je accepteren, afwijzen of delen met een verzekering, maar elders beleggen gaat niet. Jij blijft aansprakelijk voor je eigen data. Minimaliseer daarom de risico’s en neem de nodige technische en organisatorische maatregelen. Zo zorg je voor digitale soevereiniteit van jouw organisatie.
(Auteurs Steven Maas en Romain Deslorieux zijn respectievelijk director BeNeLux en director strategic partners bij Thales.)
Elke vorm van uitbesteding leidt tot verplaatsing van beheer en staat los van cloud computing. Aldus Henri Koppen als reactie op een opinie over de cloud. Henri had gelijk in zijn stelling over het uit handen geven alleen ging opinie over de regievoering welke zonder controle een stuk lastiger wordt. Te goed van vertrouwen hebben we papieren tijgers waarmee juristen stoeien want compliance is vaak niet meer dan een vinkje op papier, de werkelijke invulling ontbreekt nog weleens door de snelheid van veranderingen. En dan doel ik op alle wet- en regelgeving welke achteraf opgetuigd worden waardoor we zo’n heerlijk cyclische sector hebben.
Zo herinner ik me in levendige discusssie ook nog een andere stelling over de data naar de gebruiker brengen of de gebruiker naar de data om controle te behouden. Op de golf van data-residency zie ik een herhaling van zetten door data te centraliseren om deze met de nieuwe terminal services te ontsluiten op basis van, ja van wat eigenlijk?
Die digitale soevereiniteit als mogelijkheid om je eigen digitale bestemming te managen wringt volgens mij enigzins met het opdringen van een Europese digitale identiteit.