Maak jij je zorgen over de soevereiniteit van jouw cloud omgeving?
Laat je gegevens achter en dan neem ik contact met je op.
Dit is mede ingegeven door zorgen over dataprivacy, cybersecurity en de invloed van niet-Europese techgiganten en overheden. In het verleden werd er vaak met argusogen gekeken naar technologie uit China, maar de recente ontwikkelingen in de VS(Verwijst naar een externe website), maken dat ook partners uit de VS veel kritischer worden bekeken. Het is goed om hierbij te benadrukken dat er op dit moment geen directe aanleiding is om te veronderstellen dat de continuïteit en veiligheid van de dienstverlening van hyper-scalers (techgiganten die grote datacenters wereldwijd exploiteren) in het gedrang is. Echter vanuit risicomanagement is het verstandig om de risico’s in kaart te brengen en de impact op je organisatie te bepalen.
Soevereiniteit verwijst in de context van digitale dienstverlening, naar het vermogen van een organisatie of overheid om zelf controle te hebben over hun digitale infrastructuur en data. Controle over je digitale infrastructuur betekent dat je de macht hebt om je digitale systemen en netwerken te beheren en te beveiligen, zodat je de privacy en toegang tot data kan beheren en controleren.
Bij het gebruik van public cloud, zoals diensten van hyper-scalers, is deze controle niet zonder meer vanzelfsprekend. Hoewel al deze bedrijven hun diensten vanuit Europese datacenters aanbieden, valt de juridische controle vaak onder niet Europese wetgeving, zoals de controversiële Amerikaanse Cloud Act(Verwijst naar een externe website). Hierdoor ontstaat het potentieel gevaar dat overheden van buiten de EU, toegang kunnen krijgen tot privacygevoelige gegevens, zelfs als die fysiek in Europa zijn versleuteld en opgeslagen. Of dat de toegang tot dienstverlening of technologie wordt beperkt, als drukmiddel in geopolitieke conflicten.
Een soevereine cloud is een cloud omgeving die volledig onder nationale controle staat, waarbij data en diensten binnen de landsgrenzen worden gehouden en voldoen aan nationale wet- en regelgeving. Een soevereine cloud biedt daarmee volledige controle over data, verhoogt de beveiliging en vermindert de afhankelijkheid van buitenlandse clouddiensten.
Naarmate bedrijven en overheden steeds meer afhankelijk worden van digitale infrastructuur, neemt het belang van digitale soevereiniteit toe. Het is cruciaal om gevoelige data te beschermen en het vertrouwen van klanten en partners te behouden. Hierbij kan naast soeverein vs. niet soeverein ook onderscheid gemaakt worden tussen private- en public cloud diensten. Bij een public cloud wordt de infrastructuur gedeeld door meerdere klanten. Dit betekent dat de controle over data en processen vaak in handen ligt van de cloudprovider. Bij een private cloud wordt de infrastructuur exclusief door één organisatie gebruikt en is deze fysiek gescheiden van andere klantomgevingen en daarmee inherent veiliger qua risico op data toegankelijkheid. Dit leidt tot meer directe controle en minder soevereiniteitsrisico’s. Soevereiniteitskwesties spelen vooral bij het gebruik van cloud diensten (zowel public als private) van buiten de EU, waar de juridische en operationele controle vaak ingewikkelder is.
In het onderstaande overzicht zijn verschillende alternatieven van cloud dienstverlening weergegeven:
Het kernprobleem achter digitale soevereiniteit is de afhankelijkheid van technologieën en infrastructuren. Deze afhankelijkheid brengt verschillende risico's met zich mee:
Een grondige risicoanalyse en een definitie van wat soevereiniteit betekent voor een organisatie vormt de basis voor het vaststellen van een effectieve cloud strategie. Veel organisaties kiezen uiteindelijk voor een pragmatische aanpak waarbij er gekozen wordt voor een hybride oplossing, waarbij afhankelijk van de aard en gevoeligheid van de data wordt gekozen voor private of (Europese) publieke cloud aanbieders. De eisen voor de overheid zijn anders dan die voor het bedrijfsleven. Voor overheidsdiensten kunnen hogere eisen gelden vanwege nationale veiligheid, terwijl bedrijven de vrijheid moeten behouden om concurrerende internationale oplossingen te kiezen.
Om de hybride strategie effectief in te zetten, is het belangrijk om portabiliteit als vereiste mee te nemen bij de ontwikkeling of aanschaf van applicaties. Applicaties kunnen dan zonder verlies van functionaliteit en efficiëntie tussen verschillende cloud omgevingen worden verplaatst. Dit helpt organisaties om de afhankelijkheid van een cloud provider te beperken en beter in te spelen op veranderende marktomstandigheden.
Door cloud architectuur keuzes toe te passen die geschikt zijn voor verschillende cloud varianten, bijvoorbeeld door cloud omgevingen standaard in te richten met open source-oplossingen, wordt het eenvoudiger om van verschillende clouds gebruik te maken en de afhankelijkheid te beperken. Projecten zoals de Sovereign Cloud Stack (SCS) bieden open source-architecturen voor het creëren van soevereine cloud omgevingen, zodat organisaties controle hebben over hun cloud infrastructuur. Echter, gelet op het globale karakter van de markt voor hardware, software en publieke cloud diensten, zal er altijd sprake zijn van de toepassing en dus ook enige vorm van afhankelijkheid van organisaties van buiten de EU.
Samen met het Nederlands cloudplatform Uniserver heeft ilionx recent een soevereine zorgcloud geïntroduceerd. In deze samenwerking vormt de private cloud van Uniserver de basis van waaruit ilionx het dagelijks beheer van HiX en andere zorgapplicaties voor klanten uit handen neemt. Dit applicatiebeheer biedt ilionx al jaren aan voor het bekende elektronisch patiëntendossier (EPD) van ChipSoft. Specifiek voor de zorg was ilionx op zoek naar een cloud partner die ook aan eisen als flexibiliteit en schaalbaarheid kan voldoen. Na een grondige analyse van bestaande klanten en hun workloads is er gekeken of en hoe deze kunnen worden overgezet naar een soevereine Nederlandse cloud. Zo ontstond de samenwerking met Uniserver. Via het cloudplatform van Uniserver kan ilionx snel en flexibel klanten onboarden in de soevereine cloud, waarin aan NIS2, NEN7510, AVG en alle andere security-eisen wordt voldaan.
Het ontwikkelen van een visie op digitale soevereiniteit is een strategisch proces dat verschillende stappen en overwegingen omvat.
Door deze stappen te volgen, kun je een robuuste en effectieve visie op digitale soevereiniteit ontwikkelen die jouw organisatie helpt om controle te behouden over haar digitale infrastructuur en gegevens, en om voorbereid te zijn op toekomstige uitdagingen en kansen.
Elk keuze ten aanzien van een soevereine cloud, heeft zijn eigen voor- en nadelen. De keuze hangt af van de specifieke behoeften, risico's en prioriteiten die uniek zijn voor elke organisatie. Door een eigen visie op digitale soevereiniteit te formuleren, kunnen organisaties hun positie versterken in een steeds complexer wordende digitale wereld. Deze visie helpt bij het opbouwen van vertrouwen en transparantie, zowel intern als extern, en stimuleert innovatie en concurrentiekracht. Een gebalanceerde hybride aanpak lijkt voor veel organisatie hierbij de meest flexibele en risicomijdende optie, maar vereist zorgvuldige planning.
Neem dan contact met ons op. We helpen je graag de risico's in kaart te brengen en een passende strategie te ontwikkelen.