De afhankelijkheid van buitenlandse technologie groeit, terwijl regelgeving en geopolitiek spanningen  organisaties dwingen om bewuster met hun data om te gaan. Digitale soevereiniteit staat daardoor steeds hoger op de agenda. Wat betekent het precies, en hoe kunnen organisaties er vandaag al mee aan de slag? We spraken erover met Ad Buckens, Vice-president Consulting Expert Cybersecurity bij CGI. 

Inhoudsopgave

  1. Wat betekent digitale soevereiniteit en waarom is het nu belangrijk?
  2. Welke risico’s lopen organisaties bij het gebruik van niet-Europese cloudproviders?
  3. Is volledige digitale soevereiniteit haalbaar?
  4. Hoe neem je soevereiniteit ‘by design’ op in een cloud- en securitystrategie?
  5. Wat kunnen CIO’s vandaag doen?
  6. Wat is de rol van Europese technologiebedrijven en overheden?
  7. Hoe soeverein ziet ons landschap er over vijf tot tien jaar uit?
  8. Wat zou de boodschap voor bestuurders zijn?

Wat betekent digitale soevereiniteit en waarom is het nu belangrijk?

“Digitale soevereiniteit draait in de kern om de zeggenschap en controle die een organisatie behoudt over haar data, zonder dat die onder invloed komt van een externe, vaak buitenlandse leverancier of jurisdictie," begint Ad Buckens.

“De urgentie om deze controle te behouden is de laatste jaren enorm toegenomen,” legt hij uit. “Steeds meer (kritieke) diensten draaien op cloudplatformen, en met de opkomst van AI stijgt die afhankelijkheid verder. Tegelijkertijd dwingen geopolitieke spanningen en privacywetgeving, zoals de GDPR, organisaties om hun keuzes rond dataverwerking te heroverwegen. Waar digitale soevereiniteit vroeger een abstract beleidsdoel was, is het nu een strategische noodzaak voor continuïteit, compliance en reputatie.”

Welke risico’s lopen organisaties bij het gebruik van niet-Europese cloudproviders?

“Het gebruik van niet-Europese cloudproviders brengt verschillende risico’s met zich mee. Om te beginnen is er het risico rondom het inzien van gegevens. Amerikaanse wetten zoals de Cloud Act en de Patriot Act hebben een grotere invloed op de digitale autonomie van Europese organisaties dan vaak wordt gedacht. Buitenlandse wetten kunnen providers verplichten om data vrij te geven aan hun autoriteiten, zelfs wanneer die data in een Europees datacenter is opgeslagen. In zo’n geval geldt de Europese rechtsbescherming niet, en dat kan de vertrouwelijkheid en controle over de gevoelige informatie aantasten.

Daarnaast is er een risico rondom de opslag van gegevens: het naleven van de GDPR is complex wanneer de verwerking van data buiten de EU plaatsvindt  of als er meerdere onderaannemers,  zogenaamde sub-processors, bij betrokken zijn. De verwerkingsketen is dan ondoorzichtig. Dat zie je ook bij de leveranciers van securitydiensten terug; het is dan niet volledig inzichtelijk waar data precies terechtkomt of wie er toegang heeft.”

“Tot slot speelt functionele afhankelijkheid een steeds grotere rol,” gaat Buckens verder.

“De hyperscalers bieden innovatieve features en AI-diensten die aantrekkelijk zijn, maar ze maken organisaties ook afhankelijk. Migreren naar een andere aanbieder lijkt dan nauwelijks haalbaar door de complexiteit en kostbaarheid. En mocht er sprake zijn van geopolitieke spanningen of een incident, dan kan de toegang tot cruciale digitale diensten onder druk komen te staan, met gevolgen voor de continuïteit van de organisatie.”

Is volledige digitale soevereiniteit haalbaar?

“Volledige soevereiniteit is in de praktijk nauwelijks haalbaar, en misschien ook niet wenselijk," nuanceert Buckens. "Wat we wél kunnen bereiken, is gecontroleerde soevereiniteit.

“Onze digitale infrastructuur bestaat uit een complexe mix van componenten: van hardware zoals chips tot software en applicaties. Die komen wereldwijd overal vandaan en vormen samen het geheel waarop onze economie draait. Wat we wél kunnen bereiken, is gecontroleerde soevereiniteit. Dat betekent dat organisaties bewust bepalen welke data, workloads en diensten onder strikte nationale of Europese controle moeten blijven en welke veilig kunnen worden toevertrouwd aan internationale aanbieders. Het doel is niet om alles in eigen hand te houden, maar om bewust risico’s te beheersen rond de opslag en verwerking van gevoelige informatie. Het draait om balans en risicobeheersing, niet om isolatie.”

Hoe neem je soevereiniteit ‘by design’ op in een cloud- en securitystrategie?

“Het begint bij data-classificatie,” begint Buckens. “Maak onderscheid tussen kritieke en minder gevoelige gegevens, en bepaal welke locaties en beveiligingsmaatregelen passen. Vervolgens is een zero-trustarchitectuur met ‘least privilege’-toegang cruciaal om risico’s te beperken. Daarnaast adviseren wij encryptie met eigen sleutelbeheer in een Europese kluis, zodat je zelf de sleutels in handen houdt. En met een multi-cloudstrategie spreid je risico’s: door kritieke workloads op meerdere, liefst juridisch verschillende, platforms te kunnen draaien, vergroot een organisatie haar weerbaarheid.”

Wat kunnen CIO’s vandaag doen?

“Begin met een inventarisatie van datarisico’s: welke gegevens en diensten zijn kritiek, en waarom? Ontwikkel vervolgens een ‘soevereiniteitsacceptatiematrix’ om te bepalen welke risico’s acceptabel zijn. Herzie bestaande contracten op punten als exit-clausules, datalocatie en subverwerkers. Door pilots te starten met alternatieve aanbieders voor niet-kritieke workloads, kunnen organisaties ervaring opdoen met meer soevereine oplossingen. Verder is het raadzaam juridische en operationele draaiboeken te ontwikkelen voor situaties waarin buitenlandse autoriteiten dataverzoeken doen.”

Wat is de rol van Europese technologiebedrijven en overheden?

“Een cruciale,” stelt Buckens.  “Bedrijven moeten investeren in open standaarden en interoperabele oplossingen, alleen dan is overstappen mogelijk. Overheden kunnen helpen  door duidelijke, voorspelbare kaders te scheppen én door in aanbestedingen expliciet soevereine eisen op te nemen. Alleen door samenwerking over landsgrenzen heen, tussen overheden, academische instellingen en de industrie, kunnen we voldoende vertrouwen opbouwen en marktschaal creëren. Alleen dan heeft Europa voldoende slagkracht om een alternatief te bieden voor de grote internationale spelers.”

Hoe soeverein ziet ons landschap er over vijf tot tien jaar uit?

“Er zijn twee realistische scenario’s, hoewel voorspellingen altijd onzeker blijven,” zegt Buckens.

“In het eerste scenario ontwikkelt Europa, gesteund door publieke en private partijen, aan sterke alternatieven waardoor organisaties meer keuze en controle krijgen. De functionele kloof met Amerikaanse hyperscalers zal dan geleidelijk kleiner worden. In het tweede scenario blijven die hyperscalers dominant: hun schaal en innovatiesnelheid maken een Europese inhaalslag economisch onaantrekkelijk. In dat geval zullen de Europese oplossingen zich vooral richten op niches. Welke kant het opgaat hangt af van investeringen, marktadoptie en politieke samenhang. De richting die we nu kiezen, bepaalt of Europa digitale autonomie behoudt of structureel afhankelijk blijft.”

Wat zou de boodschap voor bestuurders zijn?

“De kernboodschap is helder,” sluit Buckens af.

“Zet controle boven gemak. Digitale soevereiniteit vraagt om actief leveranciersrisicomanagement, eigen sleutelbeheer en architecturen die portabiliteit en interoperabiliteit mogelijk maken. Digitale soevereiniteit is geen einddoel, maar een continu proces van risicobeheersing, technische keuzes en juridische waarborgen. Wie dat nu al meeneemt in zijn strategie, bouwt niet alleen aan compliance, maar ook aan vertrouwen en toekomstbestendigheid.”
 

Back to top