Digitale soevereiniteit: ‘De risico’s waar we nu over praten, bestaan al jaren, alleen luisterde niemand.’

Wie de boardroom-gesprekken over digitale soevereiniteit volgt, hoort vooral één verhaal: hoe organisaties minder afhankelijk moeten worden van Amerikaanse cloudpartijen, wat Trump kan betekenen voor de toegang tot kritieke systemen en wat de Cloud Act impliceert voor de veiligheid van data. Het zijn reële zorgen, en ze hebben de deur geopend voor een gesprek dat al veel langer gevoerd had moeten worden.

Lucas Jellema, CTO bij Conclusion, zegt het zonder omwegen. „Als architect waarschuw ik al jaren voor vendor lock-in, technical debt en afhankelijkheden die niemand in de gaten houdt. De huidige geopolitieke onrust heeft dat gesprek eindelijk naar directieniveau getild.” Volledig soeverein worden is daarbij geen realistisch doel, benadrukt Jellema. Het gaat erom de afhankelijkheden te identificeren die je niet acceptabel vindt en die gericht aan te pakken.

De tijdbom die al jaren tikt

Digitale soevereiniteit begint niet bij geopolitiek, maar bij de risico’s die ontstaan uit afhankelijkheden in het eigen it-landschap die niemand goed kent of actief beheert. Jellema illustreert het aan de hand van twee praktijkvoorbeelden. „We hadden een klant met een warehouse management systeem waarvan de leverancier was overgenomen door een partij die geen interesse had het product verder te ontwikkelen.”

Bij een andere organisatie lag het risico niet bij de leverancier, maar bij de kennis. De software waarmee ze jarenlang werkten, werd onderhouden door één externe specialist van 72. „Niemand had dat zien aankomen, omdat niemand de keten van afhankelijkheden bijhield.”

Maar ook systemen die draaien op een versie van een besturingssysteem waarvoor al jaren geen updates meer verschijnen, leveren een ongewild risico. Geen van deze situaties ontstaat natuurlijk van de ene op de andere dag, maar ze worden zelden opgemerkt voordat het misgaat. „Dit zijn geen technische details, het zijn bedrijfsrisico’s. En omdat risicobeperking nu eenmaal niet sexy is, werd het tot nu toe vaak genegeerd.”

Dit is dus een organisatorisch probleem volgens Jellema. „De afdeling Inkoop beoordeelt een leverancier bij contractsluiting, maar komt daar in de jaren daarna zelden op terug. IT beheert wat draait, maar maakt zich niet druk over hoe financieel en technisch stabiel een leverancier nog is.”

Hij pleit ervoor dat ergens in de organisatie iemand die totaalverantwoordelijkheid op zich neemt én daar het mandaat voor krijgt: het bewaken van afhankelijkheden, het signaleren van risico’s en het voeden van de besluitvorming op directieniveau. Want architecten signaleren deze risico’s al veel langer, maar worden niet altijd gehoord. „Het gevolg van het ontbreken van zo iemand is dat de risico’s zich stilletjes opstapelen. En de besluiten over welke risico’s je bewust accepteert en welke niet, horen thuis op directieniveau.”

Soms ontbreekt niet de verantwoordelijkheid, maar de juiste toetsing van aannames. Jellema noemt het voorbeeld van een bedrijf dat bewust twee cloudleveranciers had gekozen om niet afhankelijk te zijn van één partij. Wat ze niet wisten: beide leveranciers maakten gebruik van hetzelfde fysieke datacenter. Toen daar de koeling uitviel, lagen beide clouds plat. ,,Je denkt dat je twee onafhankelijke oplossingen hebt, maar als ze uiteindelijk op hetzelfde punt uitkomen, heb je jezelf voor de gek gehouden." Het zijn niet altijd de grote strategische keuzes die organisaties kwetsbaar maken, maar de aannames die nooit zijn getoetst.

Meer dan geopolitiek

De verleiding is groot om het soevereiniteitsdebat te vernauwen tot de vraag hoe je minder afhankelijk wordt van Amerikaanse technologie. Maar de risico’s voor digitale autonomie zijn veel breder. Vendor lock-in, software die draait op technologie waar niemand meer verstand van heeft, processen die nog maar door één persoon worden begrepen: het zijn kwetsbaarheden die zich jarenlang onzichtbaar hebben opgebouwd. De geopolitieke onrust heeft ze eindelijk onder de aandacht gebracht. Dat is winst, zegt Jellema, maar alleen als organisaties het gesprek over soevereiniteit ook verbreden naar de afhankelijkheden die niets met geopolitiek te maken hebben.

De aandacht is er nu. De vraag is of organisaties het ook gebruiken voor de juiste dingen. Dat begint niet bij de vraag hoe je soevereiner wordt, maar bij wat absoluut onmisbaar is voor je organisatie. „De beste manier om te achterhalen wat écht kwetsbaar is, is je voor te stellen wat er zou gebeuren als één kritiek systeem of één belangrijke dataset wegvalt. Wat je dan het meest zou missen, is precies waar de analyse moet beginnen.”

Meest onderschatte stap

De meest concrete eerste stap is tegelijk de meest onderschatte, zegt Jellema. „Zorg dat je altijd de beschikking hebt over je eigen data. Want als een systeem of applicatie niet meer bereikbaar is, kun je niet meer bij je data. Dat moet je op voorhand hebben geregeld.” En dan niet alleen de ruwe data in het specifieke formaat van de applicatie waar je het uit haalt, waarschuwt hij, want die kun je vaak niet in andere systemen inlezen. „Dit is overigens een taak waarbij ai heel nuttig kan zijn. Dat is namelijk heel goed in het omzetten van data in een leveranciersspecifiek formaat naar iets dat in een ander systeem past.”

De geopolitieke situatie heeft iets in gang gezet wat jaren heeft ontbroken: de bereidheid om kritisch te kijken naar de digitale weerbaarheid van de eigen organisatie. Dat is een kans om verder te gaan dan de vraag welke cloudleverancier je gebruikt, en eerlijk in kaart te brengen waar je echt van afhankelijk bent. Ongeacht de nationaliteit van de leverancier. Niet als grootschalig transformatieproject en niet met één oplossing voor alles, maar per systeem, per dataset of per proces.

Ontvang elke week het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in: