Welke bedrijfsprocessen zijn voor jouw organisatie echt kritiek? En hoe afhankelijk zijn die processen van technologie die buiten jouw invloedssfeer valt? Het zijn vragen die elke CIO zou moeten kunnen beantwoorden, maar die in de praktijk zelden scherp op tafel liggen. ‘Digitale soevereiniteit begint daar’, zegt Gert Heysteeg, directeur Cloud en Mission Critical bij Conclusion. Niet bij grote transitieprojecten of ideologische keuzes, maar bij inzicht in je eigen afhankelijkheden.
Het debat over digitale soevereiniteit klinkt nieuw, maar het onderliggende vraagstuk is van alle dag. „In essentie is het gewoon businesscontinuïteit,” zegt Heysteeg. „Welke risico’s zitten er in jouw digitale omgeving, wat is de kans, wat is de impact?”
Wat veranderd is, is de geopolitieke context. Heysteeg, die in het verleden kort als militair werkte, verwoordt het ongemak scherp: bondgenoten die decennialang vanzelfsprekend waren, zijn dat niet langer. En omdat organisaties de afgelopen jaren hun digitale infrastructuur grotendeels hebben gebouwd op Amerikaanse technologie, raakt die verschuiving direct aan de vraag wie er feitelijk de regie heeft. Soevereiniteit is geen binaire keuze, maar een risicovraagstuk.
Vijf risico’s als vertrekpunt
Conclusion werkt met een soevereiniteitsscan die vijf concrete risico’s als vertrekpunt neemt. Verlies van continuïteit door een zogenoemde killswitch, waarbij een externe partij buiten jouw invloedssfeer kritieke diensten kan stilleggen. Daarnaast is er juridisch risico door extraterritoriale wetgeving zoals de Cloud Act, die Amerikaanse autoriteiten toegang kan geven tot data die bij Amerikaanse bedrijven staat, ook als die data fysiek in Europa is opgeslagen.
Een derde risico is de compliancedruk vanuit Europese en Nederlandse regelgeving, waaronder NIS2. Diepe vendor lock-in met beperkte exitopties vormt een vierde risico. En tot slot is er het economische risico, omdat prijswijzigingen door grote leveranciers jouw kostenpatroon in één klap kunnen ontwrichten.
“Elke dag een stukje minder afhankelijk worden is ook een vorm van regie”
Gert Heysteeg
Welk risico het zwaarst weegt, verschilt per organisatie. Heysteeg merkt dat veel CEO’s de kans op een daadwerkelijke killswitch nog altijd klein achten. „Dan heb je het eigenlijk over de Derde Wereldoorlog,” zegt hij.
Maar dat betekent niet dat er geen zorg is. De angst zit hem eerder in wat er onzichtbaar kan gebeuren: toegang via een backdoor, beïnvloeding van buitenaf zonder dat je het merkt. „Die angst leeft wel degelijk.” Voor weer andere bestuurders is de prioriteit de compliancekant, of de vraag hoe ze hun softwarelandschap wendbaar genoeg maken om op termijn een andere landschapskeuze te kunnen maken.
Kleine stappen op de soevereiniteitsladder
De aanpak die Conclusion propageert is bewust niet die van de grootschalige transformatie. Per bedrijfsproces wordt gekeken hoe hoog een organisatie op de soevereiniteitsladder wil en kan komen, gebruikmakend van het EU Cloud Sovereignty Framework als gemeenschappelijk referentiekader. Dat maakt het gesprek concreet en beheersbaar.
‘Kleine stappen kunnen al betekenisvol zijn’, legt Heysteeg uit. Identiteitsbeheer verplaatsen naar een Europese oplossing, zodat je bij een storing bij een Amerikaanse provider grip houdt op de toegangsrechten van je eigen medewerkers. Nachtelijke kopieën maken van data die in Amerikaanse SaaS-omgevingen staat. Nieuwe software bouwen op een containerinfrastructuur, zodat je op termijn van platform kunt wisselen zonder alles opnieuw te hoeven bouwen. „Je hoeft niet in één keer volledig soeverein te worden,” zegt hij. „Maar je kan elke dag een stukje minder afhankelijk worden. Dat is ook een vorm van regie.”
De paradox die niemand hardop benoemt
Heysteeg is eerlijk over de spanning waar elke organisatie, inclusief Conclusion zelf, mee worstelt. Terwijl de discussie over digitale soevereiniteit aanwakkert, groeit het gebruik van Amerikaanse AI-diensten in hoog tempo. „Aan de ene kant proberen we data naar Europa te trekken, en tegelijkertijd sturen we elke dag terabytes naar Amerikaanse AI-systemen om er commercieel voordeel uit te halen. Zo zijn we toch allemaal redelijk hypocriet met elkaar.”
“Je hoeft niet in één keer volledig soeverein te worden”
Gert Heysteeg
Die eerlijkheid is precies waarom het gesprek over digitale soevereiniteit niet bij ideologie moet blijven steken, maar bij risico en regie. Welke afhankelijkheden accepteer je bewust, en welke wil je terugdringen? Organisaties die die vragen nu scherp op tafel leggen, per bedrijfsproces, per dataset, per werkload, zijn beter gepositioneerd om te blijven innoveren én om door te werken als het er echt op aankomt. De eerste stap is niet een grote migratie, maar een eerlijk gesprek over waar je nu eigenlijk staat.
Weten waar uw organisatie staat op het gebied van digitale soevereiniteit?
Conclusion brengt uw afhankelijkheden in kaart met een soevereiniteitsscan en helpt u bepalen welke stappen passen bij uw risicoprofiel. Meer informatie? Klik hier.
Ontvang elke week het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in:
