De afhankelijkheid van Amerikaanse technologie is al langer onderwerp van gesprek. Maar de geopolitieke actualiteit – waaronder het isolationistisch beleid van de VS en de impact van de Amerikaanse Cloud Act (een wet die Amerikaanse overheden onder voorwaarden toegang geeft tot data van Amerikaanse bedrijven, óók als die data buiten de VS wordt opgeslagen) – maakt het thema cloud sovereignty urgenter.
‘De wereld is aan het veranderen. Zelf eigenaar zijn van je belangrijkste data en zeggenschap houden wordt steeds belangrijker, zeker gezien de geopolitieke bewegingen én de Europese afhankelijkheid van Amerikaanse ‘big tech’-bedrijven’, stelt Van der Valk. ‘Niet omdat Amerikaanse partijen per se onveilig zijn, maar omdat we zelf de controle over onze digitale infrastructuur willen houden.’ ‘Cybersecurity draait om het beschermen van systemen, terwijl privacy de mensen achter die systemen beschermt – en je ziet dat we daar in de westerse wereld ook heel verschillend over denken’, vult Naber aan.
‘Het gaat niet alleen over waar data staat, maar wie er controle over heeft’
Gerwin Naberpartner, PwC NederlandCloud sovereignty: meer dan datalocatie
Cloud sovereignty draait niet alleen om de fysieke plek waar data wordt opgeslagen. We onderscheiden drie lagen:
- Data sovereignty – Waar bevindt je data zich?
- Operational sovereignty – Wie heeft toegang tot en controle over de systemen?
- Software sovereignty – In hoeverre ben je afhankelijk van buitenlandse technologie?
‘Veel organisaties denken goed te zitten als hun data in Frankfurt of Dublin staat’, zegt Van der Valk. ‘Maar als Amerikaanse partijen die servers beheren, dan kunnen er alsnog juridische claims op worden gelegd. Die afhankelijkheid zit dus dieper dan de locatie alleen.’
Wetenschappers bereiden zich voor
De zorgen over toegang tot data zijn niet theoretisch. Binnen de wetenschap zien we dat onderzoekers datasets uit Amerikaanse bronnen downloaden en lokaal opslaan – uit angst dat die in de toekomst niet meer vrij toegankelijk zijn. De vrees is dat dit de wetenschappelijke vooruitgang jaren zou kunnen terugwerpen. ‘Dat dit nu al gebeurt, is veelzeggend’, stelt Van der Valk. ‘Het raakt aan de essentie van digitale soevereiniteit: je moet erop kunnen vertrouwen dat je toegang houdt tot je data, ongeacht buitenlandse politieke ontwikkelingen.’
Segmentatie als eerste stap
Overstappen naar een volledig Europese cloud is complex, zeker in bestaande IT-landschappen. Er zijn wel serieuze pogingen om Europese alternatieven te bouwen; denk bijvoorbeeld aan het Europese initiatief Gaia-X, Stackit van Lidl, OVHCloud, of Microsoft Cloud for Sovereignty – een product dat inspeelt op deze zorgen. ‘Maar overstappen is niet eenvoudig’, benadrukt Van der Valk. ‘We zitten in een hybride wereld. Het is onmogelijk om van de ene op de andere dag alles naar een Europese provider te migreren.’ Recentelijk voegde Microsoft een aantal extra diensten toe, waaronder External Key Management. Het biedt klanten gecontroleerde versleuteling van data als extra garantie op gegevensbescherming.
Toch zijn er tussenstappen mogelijk. Zo ondersteunen wij Europese cliënten om kritisch te kijken naar écht gevoelige data en die onder Europese controle te brengen – terwijl minder kritieke data eventueel in een publieke cloudomgeving kan blijven. ‘Organisaties hoeven niet morgen alles om te gooien’, benadrukt Naber. ‘Begin met het in kaart brengen van het datalandschap. Welke gegevens zijn strategisch of gevoelig? Daar kan je vandaag al soevereine oplossingen voor zoeken, versus data die niet zo heel spannend is. Er zal vaker multicloud- of hybride-clouddenken ontstaan.’
Wetgeving versnelt de urgentie
De relatief nieuwe EU Data Act en NIS2 zorgen ervoor dat organisaties expliciet moeten nadenken over hun datalocatie en digitale weerbaarheid. ‘Dit wordt een compliance-issue’, stelt Van der Valk. ‘Organisaties moeten aantonen dat zij grip hebben op hun data én de onderliggende infrastructuur.’
Tegelijkertijd wordt vertrouwen & reputatie steeds belangrijker. ‘Als jij als organisatie zegt: onze klantdata wordt beheerd in Europa, onder Europese wetgeving – dan win je vertrouwen’, aldus Naber. Zeker in sectoren als finance, zorg en overheid is dit van belang.
Van IT-keuze naar strategisch beleid
PwC ziet cloud sovereignty verschuiven van een technisch onderwerp naar een strategische prioriteit. Naber: ‘In bestuurskamers wordt besproken hoe je als organisatie de digitale weerbaarheid kunt garanderen. We zien dat ze voorbereid willen zijn op uiteenlopende, impactvolle gebeurtenissen, ook als de kans daarop klein is. Dat kan variëren van een cyberincident tot stroomuitval of een natuurramp. Hoe weerbaar ben je als organisatie en hoe borg je je soevereiniteit? Geopolitiek, weersomstandigheden, cybersecurity, de ethische normen, het zijn allemaal zaken waarbij meespeelt dat de wereld er anders uitziet dan een jaar geleden.’
‘Wachten op de perfecte Europese alternatieven is wat cloudopslag betreft eigenlijk geen optie,’ zegt Van der Valk. ‘De eerste stap is bewustwording. De tweede is handelen.’ Cloud sovereignty is geen nice-to-have meer, het is een voorwaarde voor duurzame digitale zelfstandigheid.
Cloudmigratie en weerbaarheid
Ragnar van der Valk leidt PwC’s technology consulting-praktijk. Hij houdt zich bezig met vraagstukken variërend van technologiestrategie tot implementatie, en overziet PwC’s aanpak rond cloud- en digitale transformaties: ‘Het mooie aan dit onderwerp is dat we het zowel vanuit cloudmigratie als vanuit weerbaarheid belichten.’ Gerwin Naber is binnen PwC verantwoordelijk voor de cybersecuritydienstverlening. Zijn rol is om organisaties te ondersteunen zodat hun digitale weerbaarheid verbetert. Daarnaast helpt hij de digitale transformatie veilig vorm te geven: ‘Wij kijken naar preventie, maar ook naar hoe dreigingen tijdig ontdekt worden en hoe je het beste kunt reageren als er onverhoopt een incident plaatsvindt.’
Meer weten over cloud sovereignty?
Neem contact op met onze cloud- en securityexperts voor een oriënterend gesprek.
