top of page

Opinie: Digitale soevereiniteit – Waarom IT in de boardroom thuishoort

  • alissahilbertz
  • 9 uur geleden
  • 8 minuten om te lezen

Europa staat voor een fundamentele vraag: in hoeverre hebben organisaties nog controle over hun eigen data en IT-infrastructuur? Dat is niet alleen een actuele discussie binnen de overheid, maar ook IT-afdelingen in het bedrijfsleven zijn hier intensief mee bezig en proberen er grip op te krijgen. Veel bedrijven kiezen gemakshalve voor Amerikaanse Cloud providers zoals AWS, Microsoft Azure of Google Cloud. Gemak heeft echter een prijs: Amerikaanse wetgeving zoals de Cloud Act kan ervoor zorgen dat data, zelfs wanneer die buiten de VS is opgeslagen, aan Amerikaanse autoriteiten wordt overgedragen.


Voor vitale sectoren zoals energie, zorg en overheid kan dit desastreuze gevolgen hebben: toegang tot systemen, bedrijfscontinuïteit, de license-to-operate en zelfs fysieke veiligheid staan op het spel.


Ik wil de kanttekening plaatsen dat in mijn adviespraktijk bedrijven niet direct of volledig weggaan bij de hyperscalers. Dat komt doordat er op dit moment nog geen Europese alternatieven zijn die op hetzelfde niveau presteren qua security, Schaal, managed services, etc. als hun Angelsaksische concurrenten. De hoeveelheid geld die deze hyperscalers investeren is enorm.


Sectorbewustzijn: van Zorg tot Retail

In sectoren zoals Healthcare en Financial Services is het besef van deze risico’s al doorgedrongen tot de boardroom. Hier worden IT, security en riskmanagement integraal meegenomen in strategische besluitvorming. Zo kan een ziekenhuis niet simpelweg alle patiëntdata in een Amerikaanse Cloud zetten zonder te weten wie er toegang toe kan krijgen en onder welke omstandigheden. Dezelfde afweging geldt voor banken, pensioenfondsen en verzekeraars, waar de continuïteit van systemen en klantvertrouwen direct gekoppeld is aan digitale veiligheid.


In sectoren zoals Retail en consumentengoederen ligt dat veelal anders. IT wordt menigmaal gezien als kostenpost en valt organisatorisch onder de CFO. Strategische keuzes over data en infrastructuur krijgen nauwelijks aandacht. Dat vergroot de afhankelijkheid van leveranciers en beperkt de flexibiliteit en slagkracht van het bedrijf. Juist hier ligt een kans: het gesprek over digitale afhankelijkheid en strategische keuzes moet nu worden gevoerd, vóórdat de gevolgen voelbaar worden.


hands on tablet with EU flag on display, laying next to a cyber cloud visual

De risico’s van gemak

De aantrekkingskracht van Amerikaanse Cloud providers is begrijpelijk: schaalbaarheid, innovatie, een breed aanbod van SaaS-applicaties (managed services) en betrouwbare infrastructuur. Maar gemak gaat vaak ten koste van controle. Multi Cloud klinkt aantrekkelijk, maar in de praktijk is overstappen tussen platformen (bijvoorbeeld van AWS naar Google Cloud) complex en kostbaar vanwege vendor lock-in. Exit strategieën worden zelden meegenomen bij beslissingen over SaaS-adoptie, terwijl deze cruciaal zijn om grip te houden op data en continuïteit.


De Cloud Act verplicht Amerikaanse providers onder bepaalde omstandigheden data over te dragen aan de Amerikaanse overheid, ongeacht waar de data fysiek is opgeslagen. Voor sectoren die afhankelijk zijn van vitale systemen kan dit direct tot operationele- en reputatierisico’s leiden. Digitale soevereiniteit is daarom geen abstract begrip; het raakt direct aan bedrijfscontinuïteit, veiligheid en onafhankelijkheid. Veel bedrijven denken onterecht beschermd te zijn door Privacy Shield en Safe Harbour, maar die zijn inmiddels al van tafel, en de opvolger, het EU-U.S. Data Privacy Framework staat sterk onder druk.


De Amerikaanse Big Tech bedrijven pompen enorme hoeveelheden geld (honderden miljarden) in het door ontwikkelen van hun Cloud proposities  die daarop draaien. De voorsprong op Europese partijen is dan ook gigantisch. Hier scoren Amerikaanse hyperscalers sterk: hun managed services voor AI, data-analyse en omnichannel integraties zijn volwassen en kant-en-klaar inzetbaar. Er is juist veel vraag naar producten die steeds meer ontzorgen (managed services) wellicht ook mede aangewakkerd door de grote schaarste aan IT-personeel. Europese Cloud providers lopen hierin aantoonbaar achter: hun platformdiensten zijn beperkter. Europese alternatieven zijn er wel maar vooral op infrastructuur (IaaS). En ook op die architectuurlaag kunnen zij zich niet volledig meten met hun Amerikaanse tegenpartijen. Zo missen ze vaak de schaal en het ecosysteem van een hyperscaler en zijn ze minder redundant (beperkte spreiding van Availability Zones).


Als je dan toch wilt kiezen voor een Europese aanbieder, wat zijn dan de mogelijkheden? Een paar opties (niet limitatief):


OVHCloud (Frankrijk)

Franse hyperscaler/hostingbedrijf met meerdere data-centers/regio’s in Europa (Frankrijk en andere EU-locaties). Voordelen zijn dat de datacenters zich in de EU bevinden en een groot netwerk (beperkt latency voor EU-gebruikers). Nadelen zijn dat het niet zo redundant is als de hyperscalers. Daarnaast is hun fysieke infrastructuur (servers, storage, netwerkapparatuur) grotendeels afkomstig van wereldwijde leveranciers (Intel, AMD, Nvidia, Cisco, Dell, etc.) . Dat maakt dat de onderliggende technologie-stack niet 100% vrij is van buitenlands afhankelijkheden.

 

 Scaleway (Frankrijk; Iliad Group)

Franse aanbieder van European Cloud Services. Scaleway heeft meerdere Availability Zones en verschillende datacenters verspreid over Europa: in Frankrijk (Parijs), Nederland (Amsterdam) en Polen (Warschau). De kosten zijn vaak lager dan bij de Amerikaanse hyperscalers als het gaat om basisinfrastructuur. Naast eerdergenoemde nadelen (minder managed services) is er minder keuze in geavanceerde AI-diensten, diepgang van compliance-features of internationale certificeringen.


Hetzner (Duitsland / Finland)

Hetzner is een Duits bedrijf met eigen datacenters in Duitsland (Nürnberg, Falkenstein) en Helsinki (Finland). Voordelen zijn  duidelijkheid over fysieke eigendom van datacenters en de mate van kostenefficiëntie vergeleken met de hyperscalers. Alle cloudprogramma’s  en hostingdiensten zijn GDPR-compliant en voldoen aan de strengste Europese data beveiligingsstandaarden. Naast de concentratie in slechts een paar landen worden voor non-EU backups/colocatie soms derden partijen buiten de EU gebruikt (colocatie buiten de EU in de VS (Ashburn, Hillsboro) en Singapore. Supportreacties kunnen variëren. Voor gebruikers / applicaties met grote gebruikersgroepen in Azië, Latijns-Amerika, etc., zijn de EU-locaties van Hetzner minder ideaal (i.v.m. latency).


IONOS (1&1 IONOS, Duitsland)

Duitse hosting/cloud provider met datacenters in o.a. Frankfurt en Berlijn (via partners zoals Equinix). Ook in andere Europese landen zijn datacenters aanwezig, zoals Parijs, Logroño (Spanje), Londen en in de VS (bijv. Las Vegas, Newark). Voor EU-souvereine workloads kun je dus kiezen voor een EU-locatie. Wereldwijd zijn er meerdere datacenters, waarvan een deel zelf in eigendom is (overige gehuurd/colocatie met derden). Ook zijn er mogelijkheden tot contractuele garanties rondom data residency. De volwassenheid van managed services blijft vooralsnog achter bij de hyperscalers. Ook hier geldt dat er componenten gebruikt worden van buiten Europa (hardware, software).

 

KPN CloudNL

KPN CloudNL is de soevereine cloud oplossing van KPN, bedoeld voor Nederlandse organisaties die eisen dat data & applicaties in Nederland worden bewaard, onder Nederlandse wetgeving. KPN CloudNL is een “virtual private cloud” (VPC) / private cloud-omgeving in Nederlandse datacenters. KPN garandeert dat in CloudNL alle data en applicaties gehost worden in Nederlandse datacenters, met beheer door KPN medewerkers. KPN noemt niet altijd de exacte locaties, maar er zijn aanwijzingen dat KPN meerdere datacenters in NL gebruikt (bijv. Aalsmeer, Almere, Eindhoven, Groningen, Oude Meer (Schiphol) en Rotterdam). KPN CloudNL is beperkt voor een globale schaal (minder beschikbaarheid van datacenters/regio’s in meerdere landen) en mogelijk mindere performance buiten Nederland. In relatie tot hyperscalers kennen ze een kleinere community/ecosysteem, minder investeringen in R&D en een kleiner globaal bereik.


many small neon figurines with various clouds above them, linked to one another.

Er zijn dus best wel Europese alternatieven. Naast bovengenoemde partijen zijn er bijvoorbeeld ook nog Deutsche Telekom/T-Systems, Orange, Outscale (Dassault Systèmes), etc. Ook in Nederland zijn er alternatieven naast KPN CloudNL, bijv. Fundaments, Interconnect, Eurofiber Cloud Infra, SURF HPC Cloud, etc.

 

Vooralsnog blijft het een tradeoff tussen hoge availability, veel managed services, AI-capabilities enerzijds (Big Tech) en hoge compliance-vereisten, data soevereiniteit en strenge (Nederlandse) regelgeving anderzijds (Europese aanbieders).

 

Ontegenzeggelijk gaan er steeds meer geluiden op om als Europese gemeenschap ‘los te komen’ van de Amerikaanse Hyperscalers. Daar gaan we veel initiatieven op zien. Anderzijds lopen Europese spelers nog enorm achter qua investeringen, Schaal, etc. Die achterstand is niet zomaar in te lopen. Het is goed te vermelden dat de US clouds dan wel minder veilig zijn t.o.v. de Amerikaanse overheid, maar juist op security controls lopen ze mijlenver voorop, denk dan bijvoorbeeld aan het kunnen instellen van security policies waarmee best practices worden afgedwongen.

 

Wat wel steeds meer gemeengoed wordt is een bewuste keuze maken tussen aanbieders en het accepteren dan wel mitigeren van de risico’s die daarbij horen. Men kan nog steeds wel (bewust) kiezen voor Amerikaanse cloud partijen en toch alvast stappen zetten in een verminderde afhankelijkheid van deze partijen zodat je toch meer grip krijg niet Europese cloud afhankelijkheid.


Hoe krijg je grip op Cloud afhankelijkheid? Welke stappen kan je zetten richting Europese Cloud soevereiniteit?  


Begin met deze 7 stappen:


  1. Analyseer kritische data en risico’s

    Een dataclassificatie is de eerste stap. Welke applicaties en datasets zijn cruciaal voor de bedrijfsvoering? Wat is de impact als deze data niet beschikbaar is, of onder dwang wordt overgedragen? Bepaal ook de risk appetite: hoe groot is het risico dat je bereid bent te nemen en welke maatregelen zijn nodig om dit te beperken? Men ka hier eventueel de workloads splitsen: laat compute (tijdelijk) draaien bij een hyperscaler maar sla gevoelige data op bij een Europese provider. Denk ook aan het verplaatsen van DNS en identity management. Identity- & access management en DNS kunnen ook bij Europese spelers ondergebracht worden (het onbereikbaar worden door het blokkeren van DNS en/of identity wordt vaak vergeten), Tenslotte kan men ook nog monitoring, logging en SIEM naar een Europees alternatief brengen.


  2. Breng IT naar de boardroom

    IT raakt mensen en merk. Beslissingen over data en platforms hebben invloed op HR, marketing en compliance. Betrek deze afdelingen bij strategische keuzes en zorg dat IT een structurele plek krijgt in de boardroom. Alleen dan kan technologie een versterkende kracht zijn in plaats van een verborgen risico.


  3. Weeg soevereiniteit met beschikbaarheid en managed services

    Europese providers zoals OVHcloud (Frankrijk), Deutsche Telekom (Duitsland) etc. bieden end-to-end encryptie en datacenters binnen Europa. Dit kan de afhankelijkheid van Amerikaanse providers aanzienlijk verminderen. Daarnaast speelt de fysieke locatie van servers een rol: datacenters in Noord-Europa, bijvoorbeeld Zweden en Finland, profiteren van lagere energiekosten door koelere temperaturen, stabielere energienetwerken en een gunstiger klimaat voor duurzaam serverbeheer. Voor vitale sectoren kan een Europese leverancier het verschil betekenen tussen controle behouden of verliezen. Bedenk dat Europese alternatieven ook een vorm van vendor lock-in kennen; er is veelal niet zomaar te switchen tussen Europese aanbieders. Ook moet je deze keuze zeer bewust nemen: denk aan (verminderde) beschikbaarheid, minder of het ontbreken van managed services, etc.


  4. Investeer in bewustwording

    Vooral in minder gereguleerde sectoren, zoals retail, is kennisdeling cruciaal. Organisaties moeten investeren in capability building, CIO-structuren opbouwen en awareness creëren over de strategische implicaties van IT. Alleen zo wordt IT gezien als strategische partner in plaats van een kostenpost. Bewustwording betekent ook het documenteren en oefenen van een exit-strategie.


  5. Kies hybride modellen

    Niet alles hoeft in de Cloud. Een hybride model, waarbij bedrijfskritische applicaties on-premise draaien en minder kritische workloads in de Cloud, biedt zowel flexibiliteit als veiligheid. Ook kunnen hybride modellen bestaan uit een Multi Cloud oplossingen waarbij Europese aanbieders gecombineerd worden met hyperscalers.


  6. Open source en sectorale samenwerking: een perspectief voor de toekomst

    Open source wordt vaak genoemd als manier om Big Tech te vermijden. Het vereist wel expertise en onderhoud, maar biedt tegelijkertijd mogelijkheden voor innovatie en onafhankelijkheid. Interessant zijn sectorale samenwerkingen: in de energiesector bouwen bedrijven gezamenlijk veilige, afgeschermde Cloud omgevingen, zodat data en infrastructuur binnen Europa blijven.


    Dergelijke samenwerkingen kunnen uitgroeien tot nieuwe open source-ecosystemen, met gedeelde standaarden en veilig beheer. Dit vergroot niet alleen de onafhankelijkheid, maar creëert ook ruimte voor Europese innovatie en concurrentiepositie, en maakt organisaties minder kwetsbaar voor geopolitieke risico’s.


  7. Maak een weloverwogen keuze

    Weeg zorgvuldig het gebruik van managed services en SaaS applicaties af tegen traditionele IaaS modellen. Het gebruik van traditionele IaaS in combinatie met IAC (Infrastructure as Code) zorgt ervoor dat een snelle overstap tussen verschillende Cloud aanbieders beter mogelijk wordt. Dit komt de flexibiliteit ten goede en geeft extra wendbaarheid aan de te kiezen oplossingsrichting.


Conclusie: digitale soevereiniteit als strategisch vraagstuk

Digitale soevereiniteit is geen ver-van-je-bedshow. Wie de regie over IT en data wil behouden, moet nu keuzes maken: data classificeren, platforms kritisch evalueren, Europese alternatieven onderzoeken en IT een structurele plek in de boardroom geven. Alleen met volwassen Cloud governance en een goed begrip van risico’s kan technologie een versterkende kracht blijven.


Organisaties die hier nu mee aan de slag gaan, bouwen niet alleen aan continuïteit en veiligheid, maar positioneren zich ook strategisch in een tijd waarin controle over data en infrastructuur steeds belangrijker wordt. Europese alternatieven, hybride modellen en open source-samenwerking zijn geen theoretische opties, maar concrete stappen om digitale autonomie te versterken. Dat hoeft niet altijd in grote stappen; ook vandaag kan men al beginnen met eenvoudige stappen richting een meer soevereine toekomst! Wie wacht, verliest regie en uiteindelijk flexibiliteit, innovatie en strategisch voordeel.


portrait of Niels van Lieshout, Technology Director IG&H

Niels van Lieshout

Principal Director Technology

T: +31 650657444


 
 
bottom of page