Datasoevereiniteit vraagt vooral om veranderkunde 

Datasoevereiniteit is binnen no time een hot topic geworden op de agenda van bestuurs- en directietafels. Digitale dienstverlening is steeds vaker grotendeels afhankelijk van een klein aantal internationale technologiebedrijven (in de meeste gevallen Amerikaanse), terwijl de wereldpolitiek en economie instabieler wordt. Dit maakt de vraag over waar data opgeslagen is, hoe deze toegankelijk is en waar deze door anderen voor gebruikt kan worden actueler dan ooit. Het snelle tempo waarmee AI zich ontwikkelt versnelt deze dynamiek nog verder.  

Ook in Nederland wordt momenteel veel gesproken over datasoevereiniteit. Onlangs werd bekend dat de drie grote Nederlandse banken Rabobank, ING en ABN AMRO, in samenwerking met andere Europese banken, onderzoeken op welke wijze zij de afhankelijkheid van Amerikaanse technologie kunnen beperken. Ook wordt op Rijksniveau op dit moment door CIO’s gewerkt aan een nieuwe cloudstrategie voor overheids- en publieke organisaties.


Definitie

Datasoevereiniteit betekent dat een organisatie zelf regie houdt over haar data. Het gaat om zeggenschap over waar data wordt opgeslagen, wie toegang heeft, hoe data wordt gebruikt, gedeeld en beschermd, ongeacht welke leveranciers, platforms of buitenlandse wetgeving een rol spelen.

De discussie over datasoevereiniteit speelt al langer, maar wordt nu urgent doordat organisaties merken dat ze sterk afhankelijk zijn geworden van een paar grote (vaak Amerikaanse) cloud- en softwareleveranciers. Nu de wereld minder stabiel is en meer verdeeld, is het onderwerp zeer actueel geworden. Organisaties merken dat ze sterk afhankelijk zijn en minder controle hebben dan  aanvankelijk gedacht.

Datasoevereiniteit betekent niet dat je alles zelf moet doen, maar dat je grip houdt op je keuzes, risico’s en afhankelijkheden.

Voor bestuurders leidt dit tot een fundamentele vraag: 
In hoeverre hebben wij daadwerkelijk controle over onze data en digitale infrastructuur en waar leveren we die (bewust of onbewust) uit handen? 

De keerzijde van de Cloud

Sla een willekeurige krant open en je ziet het meteen: de risico’s van digitale afhankelijkheid krijgen steeds meer aandacht. Die afhankelijkheid is de afgelopen jaren vaak ongemerkt ontstaan.  

Het is inmiddels de norm om IT onder te brengen bij grote cloud-leveranciers. In de praktijk komt dat meestal neer op een keuze voor een van de bekende Big Tech partijen, zoals Microsoft, Amazon of Google. Dat heeft veel opgeleverd. De dienstverlening is stabiel, systemen zijn schaalbaar, overzichtelijk en hebben redelijk voorspelbare kosten. Ook werkt integratie vaak soepel, omdat veel diensten van dezelfde partij komen.  

Maar de keerzijde wordt steeds zichtbaarder. Scenario’s die eerst ver weg leken, voelen nu een stuk realistischer. Denk aan data in de Cloud waar buitenlandse overheden toegang toe kunnen krijgen. Of aan clouddiensten die (deels) uitvallen door geopolitieke spanningen. Dat vormt een direct risico voor de continuïteit van organisaties.  

Logisch dus dat er in veel organisaties een zoektocht naar alternatieven gaande is. Vaak zonder dat het duidelijk is waar te starten. Bestuurders voelen dat de afhankelijkheden groot zijn, maar ervaren dat het landschap van mogelijke oplossingen diffuus en versnipperd is. Europese Cloud initiatieven zijn nog in ontwikkeling, leveranciers communiceren verschillend over datalocaties en de governance van AI-modellen is voor velen een black box. Het gevolg: er is urgentie om te bewegen, maar geen helder zicht op realistische opties. Daardoor dreigt het risico dat organisaties wel in actie komen, maar zonder strategisch kompas. 

Van technische discussie naar strategische keuzes

In veel organisaties wordt het gesprek nog steeds gedomineerd door technische termen: Cloud modellen, datalocaties, encryptie, de Cloud Act. Dat zijn relevante onderdelen, maar datasoevereiniteit is in de kern niet uitsluitend een IT vraagstuk, maar vooral strategisch thema. Het vraagt van organisaties dat zij inzicht hebben in welke afhankelijkheden er de afgelopen jaren zijn ontstaan, welke risico’s daarbij horen en welke keuzes passen bij hun publieke of maatschappelijke opdracht. Dit vraagt ook om bestuurlijke actie. Zonder die bestuurlijke regie blijft elk gesprek over techniek hangen in symptoombestrijding.

Met de opkomst van AI worden deze onderwerpen prominenter. Zonder duidelijke regie, eigenaarschap en grip op data is verantwoord gebruik ervan, en daarmee ook bijvoorbeeld de inzet van AI, onmogelijk.

Vanuit overzicht gericht handelen

Wanneer een leverancier onder druk staat of geopolitieke spanningen oplopen, ligt reflexgedrag op de loer: ongenuanceerde gesprekken, alternatieven zoeken, (te) snel overstappen, meer autonomie claimen. Begrijpelijke reacties, maar feitelijk leidt zo’n reflex vaak tot nieuwe afhankelijkheden of tot verstoring van primaire processen.

Om de puzzel goed te kunnen leggen is het nodig om inzicht op te bouwen: welke processen zijn kritiek, waar staat data, hoe lopen afhankelijkheden? Ook is het belangrijk risico’s te duiden: wat kunnen we dragen, wat niet? Waar sturen we op en wat willen we nooit uit handen geven? En om dit vervolgens om te zitten in keuzes, het liefst opgeknipt in kleine stappen. Om gericht te leren en gecontroleerd aan te passen. Geen groots programma, maar een overzichtelijke eerste stap die inzicht en richting geeft. Van daaruit groeit vanzelf het vermogen om grotere keuzes te maken. 

Vijf vragen voor aan iedere bestuurstafel

Datasoevereiniteit ontwikkelt zich snel tot bestuurlijk dossier. Het raakt aan de continuïteit van dienstverlening, de betrouwbaarheid van digitale ketens, de mogelijkheid om verantwoord AI in te zetten en aan de besluitvorming. Bestuurders hoeven geen techniek te beheersen, maar moeten wel het vermogen hebben om scenario’s te overzien, kritieke keuzes te herkennen en duidelijke kaders te stellen.

Vijf vragen die iedere bestuurder vandaag al kan stellen:

  • Welke processen zijn het meest kwetsbaar als een leverancier uitvalt? Wat is dan de impact op ons als organisatie en op onze klanten, medewerkers en de maatschappij?
  • Welke data beschouwen wij als strategisch en waar staat die data?
  • Welke afhankelijkheden zijn bewust gekozen en welke zijn ongepland ontstaan?
  • Hoe digitaal geletterd is ons leiderschap? Begrijpen we de risico’s die we besturen?
  • Wat is een eerste kleine stap die ons morgen meer regie geeft? 

SeederDeBoer & Datasoevereiniteit

Datasoevereiniteit vraagt om keuzes die je niet elke dag maakt. Keuzes die raken aan continuïteit, risico’s en publieke verantwoordelijkheid.

Juist daarom helpt het om er niet alleen naar te kijken. SeederDeBoer ondersteunt organisaties bij het scherp krijgen van die keuzes en het organiseren van regie.

Wil je hierover sparren of eens samen naar jullie situatie kijken? Neem gerust contact op. 

Meer weten? Neem contact op met Pim!

Pim van der Lienden

Verder lezen