Voor financiële instellingen is afhankelijkheid van mondiale cloudproviders voorlopig een realiteit. Volledige onafhankelijkheid is op dit moment niet haalbaar en kan, als ambitie, zo omvangrijk worden dat zij besluitvorming eerder vertraagt dan versnelt.
Maar dat betekent niet dat financiële instellingen geen regie kunnen voeren. Binnen bestaande afhankelijkheden is wel degelijk sturing mogelijk: door beter inzicht te creëren, risico’s te spreiden, controlemechanismen te versterken en concrete terugvalopties te organiseren. Onder invloed van geopolitieke ontwikkelingen, economische afwegingen, regelgeving zoals DORA en toenemende cyberdreigingen ontwikkelt digitale soevereiniteit zich daarmee tot een strategisch bestuursvraagstuk. Oftewel: ‘dependent by default, sovereign by design’.
Voor banken, verzekeraars en andere financiële instellingen gold cloudafhankelijkheid lange tijd vooral als een operationeel gegeven. Zolang diensten beschikbaar waren, kosten beheersbaar bleven en innovatie werd ondersteund, bleef het gesprek grotendeels beperkt tot sourcing, architectuur en inkoop.
Die benadering volstaat niet langer. Nu kritieke diensten, dataplatforms, beveiligingstools en AI-capaciteit zich concentreren bij een klein aantal aanbieders, verschuift de vraag. Niet óf die afhankelijkheid bestaat, maar of je haar kunt blijven besturen.
Omdat de afhankelijkheden van de cloud, data en AI samen groeien, concentreert het opschalen van deze capabiliteiten de uitgaven bij een klein aantal mondiale aanbieders. Dat versterkt hun omzet, marges en vermogen om te investeren in onderzoek en ontwikkeling, en vergroot op termijn de kloof met Europese alternatieven. Voor financiële instellingen betekent dit dat keuzes voor aanbieders niet langer alleen commercieel zijn. Ze bepalen ook toekomstige overstapkosten, onderhandelingsmacht en terugvalopties.
Digitale soevereiniteit kan daarom het best worden gezien als een gedisciplineerde manier om keuzevrijheid te behouden. Als Europa een deel van deze uitgaven kan verleggen naar Europese partijen, kan dat voldoende zijn om de technologiesector nieuw leven in te blazen en productiviteitsvoordelen te realiseren.
Digitale soevereiniteit verdient daarom aandacht op bestuursniveau. Vier ontwikkelingen zijn de aanjagers daarvan.
Zelfs als je rekening houdt met alle vier ontwikkelingen, ontspoort het debat over digitale soevereiniteit vaak. Te vaak wordt digitale soevereiniteit neergezet als een alles-of-nietskeuze: blijven we op mondiale cloudplatforms of stappen we eruit? Voor de meeste financiële instellingen zijn beide uitersten onaantrekkelijk. Een brede exit is duur, traag en kan innovatie afremmen. Tegelijkertijd is het evenmin verdedigbaar om kritieke afhankelijkheden onvoldoende te begrijpen, beperkt te testen en nauwelijks te beheersen. Zinvoller is om digitale soevereiniteit te benaderen als een reeks keuzes in terugkerende cyclus, niet als één eindtoestand: inzicht krijgen, routes kiezen, stresstesten en maatregelen implementeren.
De eerste stap is inzicht. Breng per kritieke of belangrijke bedrijfsfunctie in kaart van welke aanbieders, diensten, regio’s en besturingslagen deze afhankelijk is, inclusief onderliggende aanbieders en opensourcetools die nu buiten beeld blijven. Het doel is niet alleen een inventaris, maar vooral begrip krijgen over waar afhankelijkheid de grootste kwetsbaarheid creëert. Waar zit concentratierisico, supplychainrisico of lock-in? Welke onderliggende aanbieders zijn onvoldoende zichtbaar? En welke onderdelen zijn het lastigst te verplaatsen, te herstellen of te besturen als omstandigheden veranderen?
Dat inzicht wordt pas echt waardevol als het zich richt op capabiliteiten in plaats van losse technologie. Denk niet alleen aan bedrijfsfuncties, maar ook aan technische functies zoals identiteits- en toegangsmanagement, sleutelbeheer, logging, herstelbare back-ups, klantdataplatforms, digitale kanalen en AI-diensten. Juist deze capabiliteiten bepalen vaak of een instelling bestuurbaar en weerbaar blijft. Komen ze onder druk te staan, dan volgt de dienstverlening.
Geef vervolgens elke capabiliteit een soevereiniteitsscore op twee lenzen: autonomie en continuïteit enerzijds, én bescherming tegen ongewenste toegang anderzijds. Beoordeel daarnaast de functionele toepassing van beschikbare alternatieven.
De tweede stap is het kiezen van een route per bedrijfs- en technische functie. In de praktijk ontstaat bijna altijd een mix. Sommige maatregelen zijn in vrijwel elk scenario verstandig (no-regret): continu zicht op digitale afhankelijkheden, meer regie op identiteits- en toegangsmanagement en sleutelbeheer, onafhankelijke logging en betere verplaatsbaarheid van data en geselecteerde workloads. Voor de meest gevoelige bedrijfsfuncties komt daar een strategische keuze bovenop zonder dat je de hele cloudstrategie hoeft om te gooien: een terugvaloptie op stand-by naast het huidige model, of gerichte herpositionering naar een meer soeverein alternatief waar de functionele toepassing en businesscase dat rechtvaardigen.
De derde stap is het stresstesten van die keuzes tegen toekomstscenario’s. Wat als geopolitieke spanningen afnemen en mondiale aanbieders aantrekkelijk blijven? Wat als Europese alternatieven sneller volwassen worden? En wat als geopolitieke escalatie de toegang tot bepaalde diensten of ondersteuningsmodellen minder voorspelbaar maakt? Het doel is, juist omdat de toekomst niet te voorspellen is, te voorkomen dat een soevereiniteitsaanpak slechts werkt in één denkbaar scenario.
Deze benadering erkent dat afhankelijkheid hoort bij moderne digitale bedrijfsmodellen. Maar zij maakt ook duidelijk wanneer afhankelijkheid een strategische zwakte wordt: als die onzichtbaar is, slecht wordt bestuurd of niet te begrenzen valt onder druk.
Dat is relevant, omdat financiële instellingen hun digitale vernieuwing vaak niet kunnen vertragen. Data, data-analyse en kunstmatige intelligentie worden steeds belangrijker voor klantbediening, operationele efficiëntie en concurrentiekracht. Innovatieve spelers staan klaar om het marktaandeel van de gevestigde partijen te veroveren, en trappen minder op de ‘soevereiniteitsrem’ voor wat betreft cloudgebruik.
Hoe meer groei de cloud mogelijk maakt, hoe belangrijker de kwaliteit van het afhankelijkheidsbeheer wordt. Als kritieke onderdelen zich blijven concentreren bij een klein aantal externe aanbieders, moet helder zijn waar de regie ligt en welke opties overblijven als omstandigheden veranderen.
Digitale soevereiniteit raakt strategie, weerbaarheid, naleving en keuzevrijheid op de lange termijn. Als bestuurder hoef je vandaag geen groot soevereiniteitsprogramma te starten met een abstract ideaal van volledige onafhankelijkheid. Maar je moet het onderwerp wel structureel maken in plaats van incidenteel. Dat betekent: criteria voor soevereiniteit meenemen in sourcing-, architectuur- en investeringsbesluiten, prioriteit geven aan no-regretmaatregelen voor de meest kritieke functies en bepalen waar een terugvaloptie ‘op stand-by’ gerechtvaardigd is.
Voor financiële instellingen is de kernvraag niet of zij afhankelijk zijn van mondiale technologieaanbieders. Dat is voorlopig grotendeels onvermijdelijk. De echte vraag is of ze die afhankelijkheden goed besturen.
Partner FS data & technology, PwC Netherlands
Ad is partner data & technologie bij PwC Nederland. Hij heeft diverse business- en technologietransformaties aangestuurd, zowel binnen als buiten de financiële sector, met een focus op het verbeteren van de business-IT-levering en de ontwikkeling van platforms.
Partner cybersecurity, resilience & privacy, PwC Netherlands
Mimoent is partner cybersecurity, resilience & privacy en heeft ruime ervaring met het opzetten en aansturen van cybersecurity- en risicomanagement in complexe, gereguleerde omgevingen. Ze focust op strategische vraagstukken rond digitale soevereiniteit en de risico’s die voortkomen uit technologische afhankelijkheden.