Datasoevereiniteit is een existentieel vraagstuk voor landen én bedrijven

Omdat data zo’n centrale rol spelen in de dagelijkse bedrijfsvoering, is goed beheer en bescherming ervan belangrijker dan ooit. Hier valt ook datasoevereiniteit onder, een thema dat door aanhoudende geopolitieke onzekerheid is uitgegroeid tot een belangrijk aandachtspunt voor Europese overheden, toezichthouders en bedrijven. In Nederland is die discussie recent verder opgelaaid na de aangekondigde overname van Solvinity, het bedrijf dat voor een belangrijk deel verantwoordelijk is voor de beschikbaarheid van DigiD, door een Amerikaanse partij. Kamerleden maken zich zorgen dat de toegang tot deze belangrijke overheidsdienst in gevaar kan komen.

Dataresidentie en datasoevereiniteit

Datasoevereiniteit betekent dat data vallen onder de wetgeving en het bestuur van het land waar zij worden verzameld of opgeslagen. Het draait om de vraag wie bepaalt hoe data worden beheerd, wie er toegang toe heeft en hoe deze mogen worden gebruikt.

Lange tijd gingen organisaties ervan uit dat datasoevereiniteit vooral ging over de fysieke locatie van data. Door de geopolitieke ontwikkelingen en de toenemende inzet van AI wordt echter steeds duidelijker dat dat niet voldoende is. Er is een wezenlijk verschil tussen dataresidentie - waar data staan opgeslagen - en datasoevereiniteit - wie juridisch zeggenschap heeft over die data.

Datasoevereiniteitsrisico’s nemen toe

Nieuwe risico’s veranderen de manier waarop organisaties naar datasoevereiniteit kijken. Geopolitieke conflicten, nieuwe regelgeving, internationale concurrentie en de behoefte aan meer controle over data dwingen bestuurders om opnieuw te beoordelen waar hun bedrijfskritische data zich bevinden en wie daar uiteindelijk invloed op heeft.

Tot voor kort leek het ondenkbaar dat digitale processen of diensten plotseling zouden kunnen worden onderbroken door externe besluiten. Inmiddels zijn we ons ervan bewust dat omstandigheden kunnen ontstaan waarin kernactiviteiten van overheden en bedrijven zonder waarschuwing kunnen worden beperkt of stopgezet door buitenlandse wet- en regelgeving.

Een bekend voorbeeld is toen het e-mailaccount van een medewerker van het Internationaal Strafhof tijdelijk werd geblokkeerd na Amerikaanse sanctiemaatregelen. Daarmee werd duidelijk hoe snel digitale toegang kan worden beperkt wanneer internationale sancties in werking treden. Dat maakt verstoringen geen theoretisch risico meer, maar een reëel scenario waar organisaties rekening mee moeten houden.

Geopolitieke spanningen

Door toenemende conflicten en economische sancties zouden landen de uitwisseling van goederen, diensten en data steeds verder kunnen beperken. Onderzoek door de OECD en WTO schat dat verstoringen in internationale data-uitwisseling alleen al kunnen leiden tot een daling van het mondiale bbp met 4,5 procent. Het onderstreept het belang van inzicht in waar data worden beheerd en onder welke jurisdictie diensten vallen.

Toenemende druk door regelgeving

Wetgevers hebben de afgelopen jaren datastromen sterker gereguleerd om de rechten van burgers te beschermen. In Europa heeft de AVG de opslag en verwerking van persoonsgegevens bijvoorbeeld ingrijpend veranderd. Door strengere compliance-eisen beïnvloedt deze wetgeving inmiddels investeringsbeslissingen op directieniveau. Cloudstrategieën, AI-adoptie en third-party toegang tot bedrijfsdata worden opnieuw afgewogen tegen deze juridische verplichtingen.

Digitale infrastructuur als kritieke factor

Veranderingen in het beleid van individuele overheden zorgen voor onzekerheid rond internationale datagovernance en cloudtoegang. Overal ter wereld streven organisaties naar meer controle en beter overzicht over hun digitale infrastructuur. Niet alleen om te voldoen aan regelgeving, maar ook om operationele continuïteit te waarborgen en vertrouwen te behouden. Vooral in sterk gereguleerde sectoren, zoals de zorg, worden leveranciers, infrastructuurlocaties en juridische risico’s opnieuw beoordeeld.

Bestuurders herzien hun risicobeeld

Onderzoek van de University of Technology Sydney laat zien dat datasoevereiniteit is verschoven van een achtergrondvereiste naar een onderwerp op bestuursniveau. Alle ondervraagde bestuurders geven aan dat zorgen over soevereiniteit, zoals mogelijke dienstonderbrekingen, hen hebben aangezet om opnieuw te kijken naar waar hun data staan.

Daarnaast stelt 92% dat geopolitieke veranderingen het risico vergroten dat organisaties datasoevereiniteit onvoldoende hebben afgedekt. Zorgen over reputatieschade en verlies van klantvertrouwen spelen daarbij een grote rol. Uit het onderzoek blijkt dat daarom 78% maatregelen heeft genomen, zoals het vastleggen van soevereiniteitsafspraken in processen en contracten en het investeren in soevereine datacenters.

Omgaan met datasoevereiniteitsrisico’s

Geconfronteerd met toenemende geopolitieke en regelgevende onzekerheid, hebben organisaties enkele opties. De eerste optie is niets doen en hopen dat de risico’s de organisatie niet direct zullen treffen. Dit is de meest risicovolle benadering, omdat organisaties daarmee onbeschermd blijven tegen mogelijke financiële en reputatieschade.

De volgende optie die organisaties hebben, is een volledige terugtrekking uit buitenlandse publieke cloudomgevingen. Dat kan op het eerste gezicht zekerheid bieden, maar brengt ook risico’s met zich mee, zoals verlies aan innovatiekracht en mogelijke financiële gevolgen die bredere bedrijfsdoelstellingen onder druk zetten.

De laatste en meest toekomstbestendige optie is een gerichte risicoanalyse gekoppeld aan een duidelijke datastrategie. Daarbij wordt vastgelegd welke data waar thuishoren en hoe deze worden beheerd, op basis van gevoeligheid, het type persoonsgegevens en de mogelijke gevolgen bij misbruik of verstoring. Om van passieve observatie naar actieve regie te gaan, is het daarbij cruciaal dat organisaties eerst bepalen waar zij zich bevinden op het soevereiniteits maturity-model, dat drie niveaus omvat. Zeker grotere organisaties zouden uiteindelijk moeten streven naar niveau 3.

• Niveau 1 - focus op fysieke locatie van data: veel organisaties bevinden zich momenteel in deze vroege fase van het model, waarin de focus ligt op de fysieke locatie van data.
• Niveau 2 - operationele controle en transparantie: de huidige geopolitieke realiteit vraagt dat organisaties een stap zetten naar dit niveau van het model. Hierbij staat operationele controle centraal en wordt transparantie over de beheerketen en toegangsrechten geborgd, ongeacht de locatie.
• Niveau 3 - strategische autonomie: in deze fase is de data infrastructuur zodanig ingericht dat afhankelijkheden van specifieke buitenlandse providers worden beperkt en ‘lock-in’ risico’s worden verminderd. Dit vraagt om duidelijke strategische keuzes en zorgvuldige planning, maar versterkt de digitale weerbaarheid op de lange termijn.

Meer dan alleen locatie

Door de samenloop van geopolitieke, regelgevende en operationele risico’s is duidelijk geworden dat datasoevereiniteit meer is dan de fysieke locatie van data. Het gaat om juridische zeggenschap, toegang en de jurisdictie waaronder data vallen. Echte datasoevereiniteit omvat ook operationele controle, governance en regie over het volledige digitale ecosysteem.

Organisaties die vooruitkijken, kunnen deze uitdagingen het hoofd bieden door datastrategieën te ontwikkelen waarin wordt vastgelegd welke data waar worden geplaatst en hoe risico’s rond infrastructuur, partners, toeleveringsketens en regelgeving het beste aangepakt en beperkt kunnen worden.

Door: Daan Ruizendaal (foto), Regional Vice President EMEA North bij Pure Storage