Digitale soevereiniteit: grip op je cloud diensten

Dit is mede ingegeven door zorgen over dataprivacy, cybersecurity en de invloed van niet-Europese techgiganten en overheden. In het verleden werd er vaak met argusogen gekeken naar technologie uit China, maar de recente ontwikkelingen in de VS(Verwijst naar een externe website), maken dat ook partners uit de VS veel kritischer worden bekeken. Het is goed om hierbij te benadrukken dat er op dit moment geen directe aanleiding is om te veronderstellen dat de continuïteit en veiligheid van de dienstverlening van hyper-scalers (techgiganten die grote datacenters wereldwijd exploiteren) in het gedrang is. Echter vanuit risicomanagement is het verstandig om de risico’s in kaart te brengen en de impact op je organisatie te bepalen.

Wat is digitale soevereiniteit en waarom is het belangrijk?

Soevereiniteit verwijst in de context van digitale dienstverlening, naar het vermogen van een organisatie of overheid om zelf controle te hebben over hun digitale infrastructuur en data. Controle over je digitale infrastructuur betekent dat je de macht hebt om je digitale systemen en netwerken te beheren en te beveiligen, zodat je de privacy en toegang tot data kan beheren en controleren.

Bij het gebruik van public cloud, zoals diensten van hyper-scalers, is deze controle niet zonder meer vanzelfsprekend. Hoewel al deze bedrijven hun diensten vanuit Europese datacenters aanbieden, valt de juridische controle vaak onder niet Europese wetgeving, zoals de controversiële Amerikaanse Cloud Act(Verwijst naar een externe website). Hierdoor ontstaat het potentieel gevaar dat overheden van buiten de EU, toegang kunnen krijgen tot privacygevoelige gegevens, zelfs als die fysiek in Europa zijn versleuteld en opgeslagen. Of dat de toegang tot dienstverlening of technologie wordt beperkt, als drukmiddel in geopolitieke conflicten.

Een soevereine cloud is een cloud omgeving die volledig onder nationale controle staat, waarbij data en diensten binnen de landsgrenzen worden gehouden en voldoen aan nationale wet- en regelgeving. Een soevereine cloud biedt daarmee volledige controle over data, verhoogt de beveiliging en vermindert de afhankelijkheid van buitenlandse clouddiensten.

Naarmate bedrijven en overheden steeds meer afhankelijk worden van digitale infrastructuur, neemt het belang van digitale soevereiniteit toe. Het is cruciaal om gevoelige data te beschermen en het vertrouwen van klanten en partners te behouden. Hierbij kan naast soeverein vs. niet soeverein ook onderscheid gemaakt worden tussen private- en public cloud diensten. Bij een public cloud wordt de infrastructuur gedeeld door meerdere klanten. Dit betekent dat de controle over data en processen vaak in handen ligt van de cloudprovider. Bij een private cloud wordt de infrastructuur exclusief door één organisatie gebruikt en is deze fysiek gescheiden van andere klantomgevingen en daarmee inherent veiliger qua risico op data toegankelijkheid. Dit leidt tot meer directe controle en minder soevereiniteitsrisico’s. Soevereiniteitskwesties spelen vooral bij het gebruik van cloud diensten (zowel public als private) van buiten de EU, waar de juridische en operationele controle vaak ingewikkelder is.

In het onderstaande overzicht zijn verschillende alternatieven van cloud dienstverlening weergegeven:

1. Publieke cloud: Dit is een cloudomgeving die wordt beheerd door providers zoals Amazon Web Services (AWS), Microsoft Azure, Alibaba Cloud, Tencent Cloud, IBM Cloud, GCP, Google Cloud of Europese Cloud providers. Deze providers bieden schaalbare en kosteneffectieve oplossingen, maar de gegevens worden vaak opgeslagen in verschillende landen en continenten, wat kan leiden tot zorgen over gegevenssoevereiniteit door de juridische controle die uitgeoefend kan worden door overheden.
2. Europese (publieke) cloudproviders: Er zijn verschillende Europese cloudproviders die voldoen aan de eisen van digitale soevereiniteit (o.a. NIS2, GDPR), zoals OVHcloud, T-Systems, Stack-IT en Scaleway. Deze providers bieden diensten aan die volledig binnen de EU worden gehost en beheerd.
3. Hybride cloud: Een hybride cloud combineert on-premises infrastructuur (of een private cloud) met een publieke cloud. Dit biedt flexibiliteit en schaalbaarheid, terwijl gevoelige gegevens lokaal kunnen worden opgeslagen om te voldoen aan regelgeving en biedt risicospreiding ten behoeve van robuuste digitale bedrijfsvoering. Het beheer van een hybride cloud infrastructuur kan echter ook complex zijn doordat er integraties met verschillende clouds nodig zijn.
4. Private cloud: Dit is een cloudomgeving die exclusief wordt gebruikt door één organisatie. Het biedt meer controle over gegevens en beveiliging, maar kan duurder zijn en vereist meer beheer.

Afhankelijkheid maakt organisaties kwetsbaar

Het kernprobleem achter digitale soevereiniteit is de afhankelijkheid van technologieën en infrastructuren. Deze afhankelijkheid brengt verschillende risico's met zich mee:

• Geopolitieke risico's: Afhankelijkheid van buitenlandse clouddiensten en hard- en software kan leiden tot geopolitieke spanningen en onzekerheden.
• Controle over data: Gevoelige data kan onderhevig zijn aan buitenlandse wetgeving en toezicht.
• Economische impact: Voorkeur voor buitenlandse clouddiensten kan negatieve gevolgen hebben voor de lokale IT-sector en innovatiekracht werkgelegenheid.
• Technische afhankelijkheid: Afhankelijkheid van buitenlandse technologieën en standaarden kan innovatie en ontwikkeling in eigen land beperken.

Wat zijn voor- en nadelen bij de keuze voor soevereine of publieke cloud diensten?

Risicobeoordeling als basis voor de keuze van cloud diensten

Een grondige risicoanalyse en een definitie van wat soevereiniteit betekent voor een organisatie vormt de basis voor het vaststellen van een effectieve cloud strategie. Veel organisaties kiezen uiteindelijk voor een pragmatische aanpak waarbij er gekozen wordt voor een hybride oplossing, waarbij afhankelijk van de aard en gevoeligheid van de data wordt gekozen voor private of (Europese) publieke cloud aanbieders. De eisen voor de overheid zijn anders dan die voor het bedrijfsleven. Voor overheidsdiensten kunnen hogere eisen gelden vanwege nationale veiligheid, terwijl bedrijven de vrijheid moeten behouden om concurrerende internationale oplossingen te kiezen.

Om de hybride strategie effectief in te zetten, is het belangrijk om portabiliteit als vereiste mee te nemen bij de ontwikkeling of aanschaf van applicaties. Applicaties kunnen dan zonder verlies van functionaliteit en efficiëntie tussen verschillende cloud omgevingen worden verplaatst. Dit helpt organisaties om de afhankelijkheid van een cloud provider te beperken en beter in te spelen op veranderende marktomstandigheden.

Door cloud architectuur keuzes toe te passen die geschikt zijn voor verschillende cloud varianten, bijvoorbeeld door cloud omgevingen standaard in te richten met open source-oplossingen, wordt het eenvoudiger om van verschillende clouds gebruik te maken en de afhankelijkheid te beperken. Projecten zoals de Sovereign Cloud Stack (SCS) bieden open source-architecturen voor het creëren van soevereine cloud omgevingen, zodat organisaties controle hebben over hun cloud infrastructuur. Echter, gelet op het globale karakter van de markt voor hardware, software en publieke cloud diensten, zal er altijd sprake zijn van de toepassing en dus ook enige vorm van afhankelijkheid van organisaties van buiten de EU.

Een voorbeeld uit de praktijk van ilionx

Samen met het Nederlands cloudplatform Uniserver heeft ilionx recent een soevereine zorgcloud geïntroduceerd. In deze samenwerking vormt de private cloud van Uniserver de basis van waaruit ilionx het dagelijks beheer van HiX en andere zorgapplicaties voor klanten uit handen neemt. Dit applicatiebeheer biedt ilionx al jaren aan voor het bekende elektronisch patiëntendossier (EPD) van ChipSoft. Specifiek voor de zorg was ilionx op zoek naar een cloud partner die ook aan eisen als flexibiliteit en schaalbaarheid kan voldoen. Na een grondige analyse van bestaande klanten en hun workloads is er gekeken of en hoe deze kunnen worden overgezet naar een soevereine Nederlandse cloud. Zo ontstond de samenwerking met Uniserver. Via het cloudplatform van Uniserver kan ilionx snel en flexibel klanten onboarden in de soevereine cloud, waarin aan NIS2, NEN7510, AVG en alle andere security-eisen wordt voldaan.

Aanpak voor het ontwikkelen van een visie op digitale soevereiniteit

Het ontwikkelen van een visie op digitale soevereiniteit is een strategisch proces dat verschillende stappen en overwegingen omvat.

Door deze stappen te volgen, kun je een robuuste en effectieve visie op digitale soevereiniteit ontwikkelen die jouw organisatie helpt om controle te behouden over haar digitale infrastructuur en gegevens, en om voorbereid te zijn op toekomstige uitdagingen en kansen.

Conclusie

Elk keuze ten aanzien van een soevereine cloud, heeft zijn eigen voor- en nadelen. De keuze hangt af van de specifieke behoeften, risico's en prioriteiten die uniek zijn voor elke organisatie. Door een eigen visie op digitale soevereiniteit te formuleren, kunnen organisaties hun positie versterken in een steeds complexer wordende digitale wereld. Deze visie helpt bij het opbouwen van vertrouwen en transparantie, zowel intern als extern, en stimuleert innovatie en concurrentiekracht. Een gebalanceerde hybride aanpak lijkt voor veel organisatie hierbij de meest flexibele en risicomijdende optie, maar vereist zorgvuldige planning.