Digitale Soevereiniteit vraagt om lange termijnstrategie en korte termijn acties

“Het onderwerp Digitale Soevereiniteit is actueel, maar de risico’s zijn niet nieuw’, zegt VP Analist Gregor Petri van Gartner. “We schreven in 2022 al over de vraag: wat is het risico dat je je cloudprovider verliest? Destijds dachten veel mensen ‘dat zal mij niet gebeuren, want wij houden ons immers aan de regels’. Met name de inschatting van hoe waarschijnlijk het is dat zo’n scenario zich toch voordoet, is door de huidige geopolitieke situatie nu sterk veranderd. Organisaties (en hun CIO’s) ervaren een veel grotere sense of urgency.”

Een van de problemen daarbij is volgens hem dat zowel het algemene management als een bredere groep erbij betrokken moet worden. “Dat zijn de zogeheten stakeholders, dus gebruikers, klanten, regelgevers, en als je binnen de overheid werkt, ook de Rijksoverheid. Alleen zo kom je tot een gedragen model over hoe je hiermee omgaat.”

Inventarisatie

De eerste concrete stap op weg naar Digitale Soevereiniteit is het maken van een duidelijke inventarisatie. “Waar staan we nu? Wat hebben we op dit moment al in de cloud ondergebracht, en hebben we daar inmiddels twijfels over? Kunnen we daar nog iets aan doen? Kunnen we nog terug? Of als dat niet kan – of niet op korte termijn kan - zijn er dan noodmaatregelen die we wel nu kunnen nemen. Zoals het dagelijks plaatsen van een read-only copy van onze data in huis of bij een lokale partij. Dat zijn uiteraard lastige vragen.”

De tweede stap is te kijken wat er nu op de planning staat om geïmplementeerd te worden. “In hoeverre kunnen we dat pauzeren of zelfs stopzetten? Dat laatste lijkt misschien eenvoudiger, maar vergeet niet dat veel organisaties die nu nog niet ver in de cloud zitten, vaak wat conservatiever zijn. Daardoor is hun huidige technologieportfolio vaak gebaseerd op systemen en technologieën die binnenkort misschien niet meer ondersteund worden

“Hardware kan niet meer worden vervangen of de applicatieleverancier heeft al aangekondigd dat toekomstige versies alleen nog in de cloud beschikbaar zullen zijn. Dus ook daar is het zeker niet triviaal om verdere stappen stop te zetten”

CIO

Opvallend is dat de vragen hierover nu steeds vaker komen vanuit het hogere management, die dat neerlegt bij de CIO. “Het is niet zo dat de CIO er niet eerder over heeft nagedacht, maar het gaat ook om vragen als: hoe hoog schatten wij het risico in? Wat vinden wij acceptabel om eraan uit te geven? Die afweging vereist een dialoog met de rest van de organisatie, en zeker met het topmanagement. Wij gebruiken daarvoor een model met drie lagen: data-soevereiniteit, operationele soevereiniteit en technische soevereiniteit.”

“Het begint met de vraag: in hoeverre kan mijn provider mijn data veiligstellen, bijvoorbeeld voor buitenlandse invloeden? Als management deze garanties of technische maatregelen niet voldoende vindt—denk aan wetgeving zoals de Cloud Act of de FISA Act,—dan is de volgende stap: kan mijn provider een lokale partner inschakelen, of kan de provider de diensten vanuit een lokale entiteit leveren om meer isolatie te bieden?”

Blokkade

Dat kan bijvoorbeeld door de cloudomgeving te isoleren van andere regio’s in de wereld. “Het is dus geen onderdeel van een omgeving die gekoppeld is aan New York of , Londen. Het is een op zichzelf staande eenheid. Dit wordt vooral belangrijk wanneer je risicoscenario’s doorrekent. Wat is bijvoorbeeld de kans dat ik op basis van internationale of buitenlandse sancties een blokkade krijg? Dat is al voorgekomen in praktijk, ook in Nederland, het is dus zeker geen exotisch scenario. Wat we nu dus zien, is dat reguliere organisaties en ook overheidsinstellingen de kans op dit soort scenario’s nu een stuk hoger inschatten dan voorheen.”

Hij benadrukt dat dit niet van de ene op de andere dag is opgelost. “Dat is technisch simpelweg niet mogelijk. Daarom heb je een langetermijnstrategie nodig waarin je bepaalt hoe je minder afhankelijk kunt worden. Kunnen we meerdere leveranciers inschakelen? Wat we in elk geval niet willen, is dat we de ene monopolistische of monolithische cloudpartij vervangen door een andere die toevallig lokaal is.”

Risicospreiding

Dit betekent: toewerken naar een model met meerdere bouwblokken die goed met elkaar kunnen samenwerken. “Interoperabiliteit wordt cruciaal in clouddiensten, evenals standaardisatie. Van daaruit kun je bouwen aan een situatie waarin je het risico spreidt. Zoek dus niet naar één oplossing voor alle bedrijfsfuncties—in het geval van communicatie, één oplossing voor mail, chat, conference calls, bellen, enzovoort. Vanuit het perspectief van gebruikersgemak lijkt zo'n geïntegreerde aanpak ideaal. Maar vanuit het oogpunt van risicospreiding is het juist contraproductief.”

Dit vraagt om meerdere oplossingen, die niet allemaal exact hetzelfde functioneren en op verschillende plekken draaien. “Dat draagt bij aan het spreiden van risico’s. Daarvoor is wel een ander denkpatroon nodig bij veel organisaties, die vaak sterk vanuit efficiëntie denken, maar minder vanuit risicobeheersing of kansenspreiding. Wat we verwachten te gaan zien, is dat leveranciers bouwblokken gaan leveren die klanten zelf kunnen samenstellen tot een configuratie die voor hen zinnig is en waarbij ze – op termijn – meer keus hebben in de omgeving en locatie waar vanuit deze service geleverd worden.”

“Wat we níét verwachten, is dat eindgebruikersorganisaties al die bouwblokken zelf gaan ontwikkelen. Zeker in combinatie met AI en moderne technologieën is dat voor veel organisaties niet meer realistisch. Dat verklaart ook de populariteit van SaaS-oplossingen. Maar het is wel belangrijk om die modulair te houden, zodat je invloed hebt op de deployment en configuratie. Multicloud, samenwerkingsverbanden en interoperabiliteit zijn de sleutelwoorden.”