Al sinds de opkomst van public cloud diensten is digitale soevereiniteit een punt van zorg. “In Europa hechten we heel veel waarde aan data privacy”, zegt Jeroen van der Leer, Principal Cloud Strategy Consultant bij Xebia. “De AVG legt zelfs plichten op aan bedrijven die privacygevoelige informatie opslaan. Eén van de plichten is dat bedrijven er altijd voor moeten zorgen dat data voorzien is van een adequaat beveiligingsniveau. Wie data opslaat in andere landen zoals de Verenigde Staten of bij Amerikaanse Cloud Service Providers, krijgt te maken met Amerikaanse wetgeving en dat kan gevolgen hebben.”

De roep om digitale soevereiniteit draait hoofdzakelijk om twee thema’s: privacybescherming en continuïteit, vervolgt Van der Leer. “Enerzijds vreest men dat de Amerikaanse overheid toegang kan krijgen tot privacygevoelige gegevens die zijn opgeslagen of verwerkt worden bij de hyperscalers. Anderzijds zou de Amerikaanse overheid kunnen besluiten Europese bedrijven te weren van de platformen van hyperscalers, bijvoorbeeld als drukmiddel in een discussie over handelstarieven.”

GOEDE ALTERNATIEVEN

Organisaties in het bedrijfsleven en bij (semi)overheidsinstellingen die hun IT-omgeving naar de public cloud hebben gebracht of nog voornemens zijn dit te doen, maken zich zorgen. Zij vragen zich af of Europese cloudproviders goede alternatieven bieden of wachten nog even af. Die zorgen zijn volgens Joris Conijn, CTO voor AWS bij Xebia, meestal onnodig. “Er zijn genoeg mogelijkheden om een organisatie veilig te houden in de public cloud. Xebia kan daarbij helpen, bijvoorbeeld door gebruik te maken van het Key Management System (KMS) op het Amazon Web Services (AWS) Platform. Dit is een methode om data te versleutelen. Organisaties kunnen binnen KMS de lat nog hoger leggen door customer managed keys of externe sleutels (bring your own key) te gebruiken. Zo houden zij zelf de controle over wie de gegevens kan ver- en ontsleutelen. Daarmee kunnen CISO’s verschillende lagen van beveiliging implementeren om de zorgen weg te nemen.”

De implementatie van dergelijke maatregelen kan kostbaar en complex zijn. “Daarom doen organisaties er goed aan hun risico’s en plichten goed te begrijpen, de ontwikkelingen te volgen, daarop te reageren en scenario’s te ontwikkelen met een bijbehorend plan”, zegt Van der Leer. “Het begrip ‘digitale soevereiniteit’ is lastig te definiëren en organisaties weten niet altijd wat het exact inhoudt en wat zij daarmee aan moeten. Onze architecten en consultants weten heel goed welke maatregelen organisaties kunnen nemen om bepaalde risico’s uit te sluiten of de impact daarvan te verminderen. Daarnaast kunnen we meedenken over verdergaande maatregelen, zoals exit strategieën via Europese cloud service providers of het gebruik van de soevereine varianten van clouddiensten van de Amerikaanse hyperscalers.”

“Wij gaan die reis samen met de klant aan”, voegt Conijn daaraan toe. “De CISO’s weten aan welke wet- en regelgeving de organisatie moet voldoen. We toetsen dan gezamenlijk welke maatregelen afdoende zijn voor de digitale soevereiniteit. Het is dat samenspel waardoor de klant het vertrouwen heeft dat het goed voor elkaar komt.”

Digitale soevereiniteit

Waaraan ontleent Xebia zijn autoriteit op het gebied van digitale soevereiniteit? Van der Leer: “We werken voor veel verschillende klanten. Een deel van hen heeft zeer specifieke eisen als het gaat om data privacy, het beschermen van intellectuele eigendommen en continuïteit. Voor deze bedrijven hebben we passende oplossingen gevonden.” Daarnaast heeft Xebia van AWS het predicaat Digital Sovereignty Competency Partner gekregen. Conijn: “Hiermee erkent AWS dat wij klanten aantoonbaar hebben geholpen te voldoen aan soevereiniteitseisen, bijvoorbeeld door het inzetten van vergaande vormen van encryptie, het bouwen van secure landing zones, enzovoort.”

Xebia is ook met AWS in gesprek om als launching partner de eerste bedrijven naar de European Sovereign Cloud van AWS te begeleiden. “De hyperscalers zitten ook niet stil want zij willen hun bestaande markt in Europa natuurlijk niet opgeven”, weet Van der Leer. “Daarvoor zijn de belangen te groot. Zij geven daarom nieuwe waarborgen, bijvoorbeeld door data te verwerken in de EU onder zeer specifieke juridische constructies. Daardoor hebben klanten straks maximale zekerheid dat zij kunnen voldoen aan eisen rondom data privacy en continuïteit zonder in te leveren op functionaliteit.”

Hoe zorgt Xebia ervoor dat het de beste antwoorden blijft vinden op vragen van nieuwe en veranderende wetgeving? Van der Leer: “We pretenderen niet om alles te weten, maar we monitoren wel alles.  Dat geldt niet alleen voor overkoepelende wetten zoals de AVG en NIS2, er gelden voor veel sectoren nog specifieke wetten en regels. Bovendien komen er vanuit de EU nog meer wetten en richtlijnen aan, die vervolgens in landelijke uitvoeringswetten vorm krijgen. Dat zal alleen maar toenemen, maar de basis blijft: kijk eerst wat de risico’s exact zijn en neem vervolgens de juiste maatregelen.”

ONTWIKKELINGEN VOOR DE TOEKOMST

Hoe ziet Xebia het vraagstuk rondom soevereiniteit zich in de toekomst ontwikkelen? Van der Leer: “Afhankelijkheden van andere bedrijven en andere landen zijn het gevolg van internationale handel. Het ene land en het ene bedrijf is nu eenmaal beter in bepaalde zaken dan het andere. Bedrijven maken daar gebruik van om een concurrentievoordeel te behalen en dat zal, denken wij, altijd zo blijven. Want wat als de concurrent wel van een dienst gebruik blijft maken en jij niet? Terwijl wetgeving je niets in de weg legt? Dat is moeilijk uit te leggen. Wetgeving kan wel snel veranderen dus dat moet je in de gaten houden. De afgelopen jaren hebben we geleerd dat op elke uitdaging wel weer een antwoord wordt gevonden op dat gebied.”

“Ook in de toekomst blijven organisaties zich zorgen maken over digitale soevereiniteit”, voegt Conijn daaraan toe. “Voor hen is het goed om te weten dat Xebia gesprekken hierover veelvuldig aan gaat en dat we organisaties helpen om het begrip hierover te verbeteren en te verdiepen. Onze kennis op dit vlak is erkend en we leunen op onze autoriteit om de digitale soevereiniteit binnen de platformen van AWS en andere hyperscalers te waarborgen.”