Zo geeft een soevereine cloud je grip over data

Hoe houd je de regie over de digitale data en IT-infrastructuur van je organisatie? Tim van Maarseveen, adviseur bij L2P, vertelt over de mogelijkheden van een soevereine cloud en de aandachtspunten voor compliance met de wet- en regelgeving.

We zijn in behoorlijk afhankelijk van de software, applicaties en platforms van grote techbedrijven. Door de geopolitieke ontwikkelingen ontstaan er steeds meer risico's dat buitenlandse partijen ongeoorloofd toegang krijgen tot de data van je organisatie. Het is zelfs voorstelbaar dat de toegang tot je systemen en applicaties wordt geblokkeerd. Zo kreeg de hoofdaanklager van het Internationaal Strafhof in Den Haag plotseling geen toegang meer tot Microsoft-applicaties.

Digitale soevereiniteit in de cloud

Digitale soevereiniteit is nu dan ook een sleutelwoord. Veel Nederlandse organisaties zoeken naar nieuwe manieren om data veilig op te slaan bij een externe leverancier, zoals een Europese cloudprovider. Een cloud van Europese makelij geeft je meer grip over databeheer én meer zicht op de naleving van wet- en regelgeving, zoals de Algemene verordening persoonsgegevens (AVG) en de toekomstige Cyberbeveiligingswet.

Digitale soevereiniteit in de cloud betekent dat je als organisatie volledige controle hebt over je data en IT-omgeving. Zodat buitenlandse overheden geen toegang krijgen tot je gegevens, of de dienstverlening beperken of stopzetten. Dit gaat verder dan de opslag van data in Europese datacenters. Ook het beheer, de support en de organisatie van de cloudprovider moeten onder Europese jurisdictie vallen. Dat is nodig om te voorkomen dat bijvoorbeeld Amerikaanse of Chinese bedrijven (en de wet- en regelgeving daar) impact hebben op de bescherming van je data en/of de beschikbaarheid van je diensten, zelfs als de datacenters in Europa zijn gevestigd.

Overstappen naar een souvereine cloud

Een volledige overstap naar een Europese cloudoplossing is geen eenvoudige opgave. Bij de migratie spelen complexe technische issues, bijvoorbeeld over de formats waarin data worden overgezet naar de nieuwe omgeving. Daarnaast is er aandacht nodig voor praktische vraagstukken. Denk aan de zorgvuldige fasering van de overstap, zodat essentiële gegevens altijd voldoende toegankelijk zijn en gebruikers goed op de hoogte zijn van de nieuwe werkwijze.

Amerikaanse cloudproviders, waaronder Microsoft en Google, bieden inmiddels opties om gegevens over te zetten naar een online omgeving die je zelf kiest, zoals van een Europese partner. Je behoudt dan de applicaties en functionaliteiten die je gewend bent, bijvoorbeeld van een tekstverwerkingsprogramma en/of een AI-chatbot. Verder bepaal je zelf of je gegevens verwerkt via een publieke of een private cloud. Je kunt er dan voor kiezen dat alle dataverwerkingen in de EU plaatsvinden, met Europese medewerkers aan het roer. Of je gebruikt voor kritische workloads een datacenter van een lokale aanbieder, of zelfs een eigen datacenter.

Aandachtspunten voor een soevereine cloudoplossing

Met een doordachte keuze voor een clouddienst zet je een belangrijke stap naar digitale onafhankelijkheid. Een soevereine cloud levert een bijdrage aan het risicomanagement rond informatiebeveiliging, de naleving van wet- en regelgeving en verantwoord leveranciersmanagement.

Met alle aandacht voor de digitale onafhankelijkheid en de cyberweerbaarheid van de EU claimen steeds meer aanbieders een soevereine cloud. Het is belangrijk om kritisch te kijken naar de producten en diensten. Waar worden data opgeslagen, beheerd en geback-upt? Welke medewerkers van de leverancier hebben toegang tot de data - en van welke partners maakt de leverancier gebruik? Welke juridische regimes zijn van toepassing op de gegevens die jouw organisatie onderbrengt in een cloudomgeving?

Een ander aandachtspunt is het verantwoorde en veilige gebruik van clouddiensten. Je wilt dat data continu beschikbaar zijn voor de daartoe geautoriseerde personen, en niet in de verkeerde handen vallen. Welke maatregelen voor informatiebeveiliging neemt een cloudprovider? Hoe is de continuïteit van de dienstverlening gewaarborgd? Welke exit-strategieën zijn er? Als organisatie ben je verantwoordelijk voor een adequate aanpak van de risico's, inclusief het toezicht op de werkwijze en compliance van leveranciers. Of de cloudoplossing nu soeverein is, of niet.