Fundaments: waarom grip op data weer een bestuursvraagstuk wordt
In de huidige onzekere wereld met scherpe geopolitieke verschuivingen kampen veel organisaties met een gebrek aan grip op hun data. De noodzaak groeit om duidelijke keuzes te maken: welke data kan in een publieke cloud van een hyperscaler blijven; welke data hoort echt in een soevereine cloudomgeving? Voor sectoren zoals de zorg en de overheid – met grote hoeveelheden privacygevoelige data – speelt dit nog veel meer. Private cloud-aanbieder Fundaments hanteert data first al vanaf het begin als uitgangspunt en wil dan ook een rol spelen in de beweging naar inzicht in en grip op data, stellen CTO Larik-Jan Verschuren en manager marketing & sales Ron Boscu. “Als je echt streeft naar grip op data en digitale autonomie, dan kan dat nu al.”
CTO Larik-Jan Verschuren en manager marketing & sales Ron Boscu van Fundaments.
Vanuit een monumentaal pand van de vroegere textielmagnaat Menko kijkt private cloud-aanbieder Fundaments vooral naar de toekomst. Die toekomst draait volgens het bedrijf steeds minder om de vraag welke cloud een organisatie gebruikt en steeds meer om de vraag waar data staat, wie daar toegang toe heeft en onder welke wetgeving die gegevens vallen.
Fundaments ontwikkelde zich de afgelopen 25 jaar van hostingpartij tot aanbieder van private cloudoplossingen. Daarbij stond de bescherming van data volgens Verschuren altijd centraal. “Soeverein nog voordat het begrip opgeld deed. Dat was altijd al onze – grotendeels ongeziene – kracht.” Juist nu digitale autonomie hoog op de agenda staat van overheden, zorginstellingen en andere organisaties, merkt het bedrijf dat die benadering opnieuw relevant wordt.
Praktische keuzes
Dat digitale soevereiniteit de afgelopen jaren is uitgegroeid van nichebegrip tot bestuursvraagstuk, heeft volgens Verschuren verschillende oorzaken. Geopolitieke ontwikkelingen, groeiende afhankelijkheid van buitenlandse technologiebedrijven en nieuwe wet- en regelgeving hebben organisaties gedwongen opnieuw naar hun IT-landschap te kijken.
Tegelijkertijd benadrukt hij dat de discussie niet moet ontaarden in een keuze tussen publieke of private cloud. “Je moet nooit voor één cloud kiezen.” Volgens hem ligt de uitdaging juist in het bepalen welke systemen en welke data onder alle omstandigheden beschikbaar en controleerbaar moeten blijven, en welke zonder problemen in een publieke cloudomgeving kunnen landen.
Daarbij verwijst Verschuren naar het Europese Cloud Sovereignty Framework, dat met acht dimensies organisaties helpt om de mate van soevereiniteit van cloudomgevingen concreet te beoordelen. “Soevereiniteit is inmiddels geen marketingterm meer. Het is een praktische definitie geworden.”
Volgens Verschuren heeft iedere partij daarin zijn eigen rol. Hyperscalers zoals Microsoft, Amazon en Google blijven voor veel toepassingen een logische keuze. Tegelijkertijd hebben organisaties behoefte aan alternatieven voor data en applicaties waarvoor maximale controle vereist is.
“Wij hebben nooit de gehele oplossing, altijd een deel”, zegt hij. Fundaments richt zich daarbij primair op de technologische component. Voor vraagstukken rond processen, governance en organisatie werkt het bedrijf samen met partners. Sinds 2022 gebeurt dat onder meer binnen Interstellar, waarin verschillende IT-specialisten gezamenlijk oplossingen ontwikkelen rond veilige en schaalbare cloudomgevingen.
Terug naar data first
Volgens Verschuren en Boscu wordt de huidige discussie vaak ten onrechte gevoerd als een debat over cloudtechnologie. In werkelijkheid draait het om data.
De afgelopen twintig jaar hebben veel organisaties een duidelijke ontwikkeling doorgemaakt. Eerst stonden systemen en data vooral on-premises. Vervolgens verschoof de aandacht naar cloudmigratie. Later ontstond een vrijwel vanzelfsprekende voorkeur voor cloudoplossingen.
Boscu heeft die ontwikkeling van dichtbij meegemaakt. “Toen ik al een commerciële functie had, moesten wij regelmatig maagzweergesprekken voeren met IT-beslissers die vreesden met een gang naar de cloud hun grip op data kwijt te raken.”
Toen die weerstand eenmaal verdween, sloeg de slinger volgens hem door naar de andere kant. Een vloedgolf waarbij de strategie voor IT van data first naar cloud only schoof. “Een bijna naïef geloof in de voordelen van en goedkope alternatief van de cloud. Ofwel: van het ene uiterste – alle data on prem voor grip – naar het andere: alles in de cloud want simpeler en voordeliger. Daar waren we met zijn allen bij.”
Volgens Boscu keren organisaties nu terug naar een fundamentelere vraag: waar bevindt zich de data en welke risico’s zijn daaraan verbonden? Vooral in sectoren als de overheid en de zorg speelt dat nadrukkelijk. Daar bevatten veel systemen gevoelige persoonsgegevens, medische gegevens of andere informatie die niet zomaar beschikbaar mag zijn voor derden.
“Voorheen was het misschien zo dat men alle data via Microsoft 365 in een hyperscaler-cloud gooide. Nu is men erachter dat er eerst goed over nagedacht moet worden welke data daar gerust in mogen staan en welke data je echt onder alle omstandigheden soeverein wilt houden.”
AI als versneller
De snelle opkomst van AI maakt die discussie volgens Verschuren alleen maar urgenter. Steeds meer medewerkers gebruiken generatieve AI-oplossingen voor dagelijkse werkzaamheden. Daarmee ontstaat ook het risico dat vertrouwelijke informatie onbedoeld in externe systemen terechtkomt.
De CTO verwijst om dit fenomeen te benadrukken naar onderzoek waaruit zou blijken dat ongeveer tien procent van de data die in ChatGPT wordt ingevoerd bestaat uit vertrouwelijke organisatiedata. “Dat betekent dat we met zijn allen nog niet afdoende grip op onze data hebben.”
Volgens hem moeten organisaties daarom niet alleen nadenken over cloudstrategieën, maar ook over de manier waarop AI-toepassingen worden gebruikt. Daarbij kan wetgeving zoals de AI Act helpen om bewustwording te creëren. “Veel data die in AI-toepassingen gezet wordt, wordt ook weer gebruikt om die toepassingen verder te trainen. Dus weet goed welke data je wel en niet in AI-toepassingen zet.”
In de praktijk betekent dit volgens hem dat organisaties hun meest gevoelige data – de kroonjuwelen – bewust moeten positioneren in omgevingen waar zij maximale controle behouden. En dat is – over het algemeen – een private cloud van Europese of liever nog Nederlandse bodem.
Boardroom-issue
Waar digitale autonomie jarenlang vooral een onderwerp voor IT-afdelingen was, ziet Boscu ook dat het gesprek inmiddels verschuift naar de bestuurskamer. Wetgeving zoals de Amerikaanse CLOUD Act (Clarifying Lawful Overseas Use of Data Act) bestaat al jaren, maar kreeg volgens hem lange tijd weinig aandacht. De veranderende geopolitieke situatie heeft dat fundamenteel veranderd.
“Nu zie je iemand in het Witte Huis die overal lak aan heeft en zegt bereid is die wetgeving in te zetten. En nu dringt het besef door op het C-level dat grip op data – de digitale autonomie – echt weer een boardroom-issue is, terwijl het tien tot vijftien jaar lang alleen om flexibiliteit, snelheid en geld ging.”
Volgens Boscu ligt daarin misschien wel de belangrijkste les van de afgelopen jaren. Organisaties moeten niet opnieuw vervallen in een eenzijdige technologiekeuze, maar structureel blijven kijken naar risico’s, controle en eigenaarschap van data. “Ik hoop dat we hier met zijn allen van leren, door onze grip op data en een risicogedreven aanpak niet meer los te laten.”
Uitgangspunt altijd data first
Voor Fundaments betekent dat geen koerswijziging, maar juist een bevestiging van een uitgangspunt dat volgens het bedrijf nooit verdwenen is. “Fundaments zit al 25 jaar lang in de data first-fase. Nu zie je dat wij ook vanuit de technologiehoek bij deze discussie betrokken worden omdat we onze uitgangspunten nooit hebben losgelaten. Dat maakt het makkelijker om samen met eindgebruikers die beweging naar meer grip op data in te zetten.”
Fundaments is met een stand aanwezig op het Overheid 360° Congres op woensdag 17 juni in Utrecht.
Meer over soevereine cloud
Over Martijn Kregting
