De recente discussies over digitale autonomie en soevereiniteit in België en zeker ook in Nederland – met als resultaat zelfs een motie in de Tweede Kamer – hebben het bewustzijn onder organisaties sterk vergroot. Aangewakkerd door geopolitieke spanningen en toenemende Europese regulering, realiseren steeds meer organisaties zich dat actie noodzakelijk is. Maar waar begin je? En welke alternatieven zijn er? Guido Gerrits en Steven Maas van Thales lichten toe hoe volgens hen organisaties van bewustzijn naar concrete vervolgstappen kunnen gaan.
We bevinden ons op een kantelpunt. De verwevenheid van organisaties met internationale cloudproviders, identiteitsplatformen en e-mailinfrastructuren is diep verankerd. Vrijwel elke organisatie maakt gebruik van diensten van internationale spelers zoals Microsoft, Oracle, Amazon en Google. Maar de afhankelijkheid van deze ecosystemen wordt steeds vaker als risicovol ervaren. Digitale autonomie, zo is gebleken, is geen luxe meer — het kan essentieel zijn voor de bedrijfscontinuïteit.
Van soevereiniteit naar continuïteit
Digitale soevereiniteit en autonomie betekenen niet dat alles per definitie ‘Europees’ moet zijn. Het draait om bewust kiezen, het spreiden van risico’s en het behouden van controle over je meest essentiële processen. Europese alternatieven bestaan — van clouds tot encryptie- en IAM-oplossingen — en zijn inmiddels volwaardige keuzes. Bijvoorbeeld de encryptie van data, om manipulatie te voorkomen. Beheer de eigen sleutels, zodat voldaan wordt aan het Europese juridische kader.
Herpak de regie
De Europese wetgeving — waaronder NIS2 en DORA — verplicht organisaties namelijk om hun digitale risico’s in kaart te brengen en maatregelen te nemen voor continuïteit. Wie dat serieus doet, ontdekt al snel hoe complex de huidige afhankelijkheden zijn. Volledige ontkoppeling is niet haalbaar, maar grip op die verbondenheid is wél mogelijk.
Het belang van alternatieven
Een van de eerste en belangrijkste stappen is het ontwikkelen van een exitstrategie of ‘plan B’. Welke processen zijn het meest kritisch voor de organisatie? Waar zit de grootste afhankelijkheid, en wat is de potentiële impact van uitval of inmenging? Start met een risicoanalyse — bijvoorbeeld via een Failure Mode and Error Analysis (FMEA) — en stel prioriteiten op. Concentreer op kwetsbare punten, zoals:
● Identity & Access Management (IAM)
Wie beheert de toegang? Bepaalt een externe leverancier wie toegang krijgt tot de systemen? Identiteit is de nieuwe beveiligingsperimeter.
● Data sovereignty
Waar staat de data écht? Onder welk rechtsgebied vallen de data, leveranciers en hun onderaannemers en wie heeft er allemaal toegang tot de (bedrijfs)kritieke data?
● Back-ups
Zijn de back-ups lokaal opgeslagen, versleuteld en losgekoppeld van de primaire leverancier? Zo waarborg je operationele continuïteit.
● Mailinfrastructuur
E-mail is core business. Wat gebeurt er als deze infrastructuur tijdelijk niet beschikbaar is? Waarop kan een organisatie dan terugvallen?
Optimaliseren in plaats van perfectioneren
Digitale soevereiniteit is geen einddoel, maar het realiseren van autonomie is een continu proces van risico-analyse en optimaliseren. Er bestaat geen universele perfecte mate van digitale soevereiniteit. Elke organisatie heeft unieke behoeften. Begin klein, met focus op de meest kritieke processen. Neem de regie, vergroot de veerkracht en wees paraat voor het onverwachte
Guido Gerrits is regionaal sales directeur Identity & Access Management voor Thales Cloud Protection & Licensing. Hij heeft ruim 15 jaar ervaring in datamanagement en -authenticatie. Steven Maas is werkzaam als sales director Data & Application Security bij Thales. In deze rol is hij verantwoordelijk voor encryptieoplossingen in de Benelux. Hij heeft ruim 18 jaar ervaring in databeveiliging.