“Digitale soevereiniteit gaat over autonomie en zelfbestuur. Over eenduidige controle en zeggenschap over digitale infrastructuren, systemen en data. Zonder afhankelijkheid van externe partijen. Het gaat ook over eenduidige jurisdictie. Het kan niet zijn dat data in Nederlandse of Europese datacenters vallen onder nationale/Europese wet- en regelgeving, maar tegelijk ook via (gedeeld) eigenaarschap door bijvoorbeeld Amerikaanse ondernemingen, onderhevig zijn aan, soms tegenstrijdige, Amerikaanse wetgeving.”

Aan het woord is Jan Ploeg, Managing Partner bij Novatore. Hij schreef 14 jaar geleden voor het ministerie van BZK de toekomstplannen voor de Rijkswerkplek, werkte mee aan de functionele doelarchitectuur van de Gesloten Rijkscloud (2014) en was trekker van de Enterprise Architectuur Rijksdienst. Maar ook zijn Masterstudie op het gebied van Informatiebeveiliging en vooral zijn afstudeerthese over Bedrijfscontinuïteit, maken dat hij zich uitermate thuis voelt als het gaat om de huidige discussies en acties rondom digitale soevereiniteit.

Waarom zijn we nu ineens in de stress geschoten over al die Amerikaanse producten?

“Ja, apart is dat, helaas veel te laat. We hadden het eerder kunnen zien aankomen. Maar het vertrouwen in de VS was, achteraf gezien, te lang te groot en we zijn naïef geweest.

Naast het feit dat we in Europa al 30 jaar geleden de boot gemist hebben als het gaat om IT-systemen, gaat het nu vooral over vertrouwen. It’s all about trust!

Ook al staat die data in Europese of Nederlandse datacenters. Maar we vertrouwden onze vrienden. Bush, Obama, Trump en Biden. Pas toen de big-tech bro’s op de eerste rij zaten bij de tweede inauguratie van Trump, schrokken we massaal wakker. Pas toen drong tot ons door dat we in een totaal afhankelijke positie waren terechtgekomen van bedrijven die onder invloed staan van een nu ineens niet meer te vertrouwen ex-bondgenoot."

Hoe moeten we dat dan nu aanpakken? Hoe kunnen we minder afhankelijk worden? Bestaan er wel soevereine, Europese alternatieven?

“We moeten op verschillende niveaus een achterstand inhalen. Politiek moeten we binnen de EU helder zijn. In Europa gelden Europese wetten. En als Amerikaanse dienstverleners niet voor 100% aan die Europese regels kunnen voldoen, gaan we afscheid van ze nemen. Is het niet morgen, dan wel volgend jaar.

Daarnaast moeten we afrekenen met ons Calimero complex. Er bestaan zoveel mooie producten en diensten die niet van Amerikaanse big-tech komen. En ja, dan moet je af en toe misschien iets inleveren op functionaliteit. Maar werkbaar is het zeker. Kijk naar producten als Nextcloud. En er zijn al zoveel Europese mail-dienstverleners. Kijk eens serieus naar opensource, vaak gratis alternatieven voor werkplek/office ondersteuning.

Maar dat is overigens jumping to solutions. Laten we beginnen bij het begin: Voer een risicoanalyse uit!”

Nog een nieuwe risico-analyse? We analyseren al zoveel!

“En toch begint daar het werk. Niet meteen als een kip zonder kop achter iedereen aan gaan rennen. Je moet toch eerst een inventarisatie maken van je kritische processen.  Welke IT-systemen en data heb je voor die processen nodig?  We voeren die analyses ook al jaren uit. We doen DPIA’s, we voeren Business Impact Analyses uit. Wat we tot nu toe fout gedaan hebben, is dat we een aantal bedreigingen over het hoofd gezien hebben.

Je hoeft dus niets helemaal bij nul te beginnen. Je voegt iets toe aan wat je al jaren hebt gedaan. Althans, daar mag ik toch van uit gaan?

 zijn van die scenario’s?  En wat kun je eraan doen? Neem dus in de reeds bestaande risico-afwegingen deze dreigingen mee. Bepaal de impact en neem actie. Of niet, maar dan is je risk appetite blijkbaar erg groot.”

Heel vaak hoor je de roep om nieuwe regels, nieuwe wetten en nieuwe sturing (een minister met een sterke IT-dienst). Niet nodig! We hebben de risicoanalyse processen in place. Blijf die uitvoeren, maar betrek de nieuwe dreigingen erbij. Stel een strategie op en zet de eerste stappen. En gebruik de huidige wet- en regelgeving. Waarom zou je bij aanbestedingen niet mogen eisen dat dienstverleners NIET onderhevig zijn aan de Amerikaanse Cloud Act? Waarom zou eenduidige geldigheid van Europese regelgeving niet afgedwongen mogen worden? En neem in je (standaard-)contracten een exit-paragraaf op die het mogelijk maakt om het contract te beëindigen als de leverancier wél onder tegenstrijdige wetgeving, bijv. Cloud Act, komt of blijkt te vallen."

En toch zien we nog niet heel veel gebeuren. Waarom niet? De gang naar de big-tech cloud gaat gewoon door. Kijk naar de Belastingdienst en de NS. Is dat niet vreemd?

“Tja, ik hoop voor de bestuurders en topambtenaren van de Belastingdienst en de NS maar dat het allemaal goed gaat. Want zo niet, dan hebben ze heel wat uit te leggen.

Bij een klant van Novatore bestond het plan om, in navolging van de hele kantoor-omgeving, ook de overige data naar de cloud te brengen. Een Amerikaanse cloud. We zijn de discussie aangegaan en het plan ziet er nu toch wat anders uit. Eerst maar eens zorgen dat we een soevereine kopie van alle belangrijke data ‘in huis’ hebben. En daarna maar verder kijken.

En ‘in huis’ hoeft niet te betekenen dat het echt ouderwets in een eigen datacenter in de kelder staat. In een Nederlandse/Europese cloud zou ook kunnen, maar dan wel een cloud zonder bovenliggend een Amerikaanse eigenaar en onderliggende Amerikaanse infrastructuur of software. Je data onderbrengen in bijv. een eigen datacenter met Azure-stack is niet voldoende.”

Dus wat adviseer je klanten?

“Ten eerste, inventariseer je risico’s en kijk hoe je die risico’s kunt verkleinen dan wel acceptabel kunt maken. Risico’s terugbrengen naar nul gaat niet. Niet nu. Maak een lijstje met kritische processen en de IT-producten die die processen ondersteunen. Kijk welke dreigingen er bestaan en bepaal de impact van die dreigingen. Op basis daarvan bepaal je een passende strategie.

En geloof me: die zijn er. Kijk ernaar. Speel ermee. Dan ga je ook zien dat al veel organisaties daadwerkelijk stappen hebben gezet. In Duitsland, in Oostenrijk, Zwitserland en Frankijk. Daar zie je ook grote overheidsorganisaties die de overstap al hebben gemaakt. En overigens ook in eigen land. De ICT-coöperatie van onderwijs en onderzoek Surf is al een aardig eind op weg en biedt onderwijsinstellingen al enige tijd een soevereine data-opslag aan."

Meer weten of hulp nodig voor het zetten van de volgende stap?

Neem dan contact op met Jan Ploeg via jan.ploeg@novatore.nl