Advertentie
Digitale soevereiniteit wint snel aan populariteit. Het begrip verwijst naar de wens van organisaties om meer controle te krijgen over hun data en digitale processen. We spreken hierover met Clemens Esser, Chief Technologist en Presales Manager bij HPE.
Aan digitale soevereiniteit worden verschillende betekenissen toegekend. Wat verstaat Esser er zelf onder?
“Ik hou ervan om het simpel te houden: het draait om autonomie over processen en data. Data die zich op een plek bevindt waar anderen niet bij kunnen. Denk daarbij aan staten, maar ook aan cybercriminelen. Het eerste noemen we vaak datasoevereiniteit, het tweede security. In de praktijk overlappen die twee sterk.”
Volgens Esser gaat het daarnaast om controle: wie kent toegangsrechten toe en wie beheert de volledige stack – van hardware en virtualisatie tot besturingssystemen en applicaties? “Daarbij moet je ook kijken naar de mensen die dit beheren: kun je hen vertrouwen? Dat wordt vaak pas als laatste bekeken, terwijl dit naar mijn mening juist het belangrijkst is.”
De ‘killswitch’ als risico
Esser wijst ook op risico’s die minder zichtbaar zijn. “Wie heeft de killswitch in handen? Als je afhankelijk bent van een Amerikaanse hyperscaler, is het technisch gezien relatief eenvoudig om toegang te blokkeren. Dat is in de praktijk al gebeurd. Binnen HPE onderscheiden we datasoevereiniteit, operationele soevereiniteit en technische soevereiniteit. Die laatste bepaalt uiteindelijk of je kunt blijven doorwerken zonder functionaliteitsverlies.
Hoe soeverein is HPE?
HPE is zelf een Amerikaans bedrijf. Hoe verhoudt zich dat tot het thema soevereiniteit?
“Als je kijkt naar het cloud-soevereiniteitsframework van de Europese Unie, zie je acht niveaus. Die variëren van hoe ‘Europees’ een organisatie is tot juridische aspecten. Plaats je onze hardware in een omgeving waar je zelf volledige controle over hebt, dan ben je in hoge mate soeverein. Juridisch ligt dat complexer.”
Volgens Esser speelt fysieke toegang een cruciale rol. “De Amerikaanse wetgeving stelt dat we data moeten overhandigen als we er toegang toe hebben. Maar als we er fysiek niet bij kunnen, vervalt die verplichting in de praktijk. Er is dus een verschil tussen papieren en praktische soevereiniteit.”
Die nuance wordt duidelijker bij managed services. “Als wij jouw omgeving beheren, dan zijn de systemen feitelijk niet meer soeverein. Wij hebben dan immers toegang en controle.”
Kosten en regelgeving spelen mee
Soevereiniteit is niet gratis, benadrukt Esser.
“Het is altijd een afweging: wat is het je waard en hoeveel ben je bereid te investeren? Daarnaast spelen regelgeving en compliance een rol. Denk aan NIS2 voor banken, waarin eisen rondom beschikbaarheid zijn vastgelegd.”
Beschikbaarheid boven datalekken
Opvallend is dat Esser datadiefstal niet als grootste risico ziet.
“Vanuit soevereiniteitsperspectief is dat misschien wel het minst belangrijke. Als data wordt gestolen, kan dat op termijn schade opleveren, maar je organisatie blijft doorgaans wel draaien. Als je echter wordt afgesloten, ligt alles stil. Dan ben je niet meer technisch soeverein.”
Europa kiest uiteenlopende strategieën
Binnen Europa ziet Esser verschillende benaderingen ontstaan.
“Frankrijk bouwt eigen overheidsclouds, onder meer met partijen als Atos, Thales en Orange. Duitsland zet sterk in op open source, wat betekent dat er nog veel zelf ontwikkeld moet worden. Scandinavië kiest een pragmatische route en werkt met hyperscalers, maar wil data binnen 24 uur kunnen terughalen.”
Die laatste ambitie roept vragen op.
“Heb je de benodigde bandbreedte en infrastructuur om dat daadwerkelijk te doen? Uiteindelijk kom je weer uit bij risico’s en kosten.”
Hybride modellen als tussenoplossing
Een mogelijke middenweg is volgens Esser een hybride aanpak, bijvoorbeeld met Azure Local. “Daarmee kun je workloads lokaal laten draaien en toch compatibel blijven met Microsoft-diensten. Je bent niet volledig soeverein, omdat bepaalde afhankelijkheden blijven bestaan, maar je creëert wel tijd om te reageren als er iets misgaat.”
Wel zijn er beperkingen. “Als systemen na verloop van tijd geen verbinding meer maken met de cloud, kunnen ze onbruikbaar worden. Maar die periode kun je benutten om alternatieven in te richten en een noodscenario te activeren.”
Vier kwadranten als stappenplan
Een volledig soevereine IT-omgeving is in de praktijk lastig haalbaar. Daarom werkt Esser met een model op basis van vier kwadranten.
“Aan de ene as staat de gevoeligheid van data – van niet-kritisch tot kroonjuwelen. Aan de andere as de dynamiek van de workload en de benodigde flexibiliteit.”
Die indeling helpt bij keuzes.
“Zeer gevoelige data wil je doorgaans niet in de public cloud plaatsen. Tegelijkertijd zijn schaalbare front-ends, zoals bankomgevingen voor klanten, juist lastig on-premises te draaien. Daar moet je dus een balans vinden.”
De kern ligt volgens hem in het analyseren van processen.
“Identificeer welke processen cruciaal zijn voor je organisatie en welke digitale ketens daarbij horen. Probeer alle kritieke onderdelen naar het kwadrant ‘digitale kroonjuwelen’ te verplaatsen – stap voor stap en keten voor keten.”
Een ontbrekende schakel kan alles ondermijnen.
“Als één onderdeel niet meedoet, kan alsnog de hele keten stilvallen. Dat is vergelijkbaar met high availability en disaster recovery: als je het doet, moet je het goed doen.”
Test je soevereiniteit
Volgens Esser zouden organisaties hun soevereiniteit actief moeten testen.
“Ik vraag klanten nog wel eens wie het afgelopen jaar hun back-up heeft getest. Vaak blijft het stil. Dan zeg ik: als je het niet test, werkt het waarschijnlijk niet.”
Diezelfde redenering geldt voor soevereiniteit.
“Disaster recovery en uitwijk komen traditioneel vanuit de techniek, soevereiniteit meer vanuit beleid en geopolitiek. Maar uiteindelijk vallen ze samen onder één noemer: digitale weerbaarheid. Het gaat erom of je kunt blijven doorwerken als er iets misgaat – en wat dat je kost, versus wat preventie kost.”