Op welke manier organiseert je bedrijf de opslag van belangrijke data? Huur je een deel van een extern datacenter of heb je servers op je eigen terrein? Of, een heel andere mogelijkheid, heb je een abonnement op een cloudservice van bijvoorbeeld Google? Realiseer je dat deze keuzes gevolgen kunnen hebben voor je soevereiniteit en misschien zelfs voor het voortbestaan van je organisatie.
Door Peter Passenier / Beeld Shutterstock
Voor Amsterdam Trade Bank was 2022 een slecht jaar. In maart viel Rusland Oekraïne binnen en meteen stond de bank in een slecht daglicht. “Het ging om een Nederlands bedrijf”, vertelt Wout van Heeswijk, “maar het was ook deels eigendom van entiteiten in Rusland. En het interessante was: dat leidde tot een juridische uitspraak in de Verenigde Staten. Daar besloot de rechter dat Microsoft de banden met de bank moest verbreken. Opeens hadden ze daar in Amsterdam geen toegang meer tot hun automatiseringsmiddelen. Vrij snel daarna gingen ze failliet.”
Nee, Van Heeswijk vertelt dit verhaal niet als waarschuwing voor de Russische connectie. Hij is cto bij Fairbanks International Group uit Baarn, een bedrijf dat leidend is in het leveren van private cloudoplossingen aan grote internationale ondernemingen. En het trieste einde van de Amsterdam Trade Bank benadrukt volgens hem het belang van soevereiniteit.
“Als je als organisatie kiest voor een cloudoplossing, sta je voor enkele keuzes. Ten eerste kun je gaan voor een publieke oplossing: dan neem je gewoon een abonnement bij een aanbieder als Google. Dat werkt voor de meeste bedrijven uitstekend, maar het is geen optie als je bijvoorbeeld te maken hebt met zeer privacygevoelige data. In zo’n geval is het verstandig om te kiezen voor een andere optie: private clouddiensten. Dan is die cloud echt van jou.”
De keerzijde is: je weet niet wie er het datacenter inkomt
Off-premise of on-premise
Maar kies je voor zo’n private clouddienst, dan sta je alweer op een tweesprong. Want wordt het off-premise of on-premise? “Off-premise is het gemakkelijkst”, vertelt Van Heeswijk. “Dan huur je een deel van een extern datacenter en hoef je je geen zorgen te maken over gebouwbeheer, koeling, redundante stroomvoorziening en alle andere technische rompslomp. Maar er is een keerzijde: je delegeert toegangscontrole aan het datacenter en je hebt geen totale controle over wie er daar naar binnenloopt.
Dus als je gevoelig bent voor bedrijfsspionage of deel uitmaakt van de vitale infrastructuur, kies je voor on-premise. Dan staat dat datacenter gewoon op je eigen bedrijfsterrein. Jij bepaalt wie er wanneer naar binnen mag en dus heb je volledige soevereiniteit. Althans… over je data.” Die laatste toevoeging is belangrijk. Want volgens Van Heeswijk moeten we het begrip ‘soevereiniteit’ niet te smal definiëren. “Kijk bijvoorbeeld naar die Amsterdam Trade Bank. Daar kwamen ze niet alleen in de problemen door de opslag van hun data, maar ook doordat ze geen systemen meer hadden om die data te ontsluiten. Als je een Word-document op je computer hebt staan, kun je daar niets mee als je geen toegang hebt tot Word. Dat maakt soevereiniteit zo complex: je moet je ook afvragen over welke as je het gaat meten.”
Drie assen
Die genoemde assen vallen volgens Van Heeswijk uiteen in drie soorten:
- Datasoevereiniteit: “Waar zijn je data opgeslagen?”, vraagt Van Heeswijk. “Is dat binnen Europa, dan moet je niet alleen voldoen aan de relevante Europese wetgeving, maar geniet je ook de bijbehorende bescherming. Als de FBI of een andere niet-Europese inlichtingendienst een onderzoek start, kunnen ze jouw data daar niet onmiddellijk voor gebruiken.”
- Operationele soevereiniteit: die is volgens Van Heeswijk onder andere gekoppeld aan jurisdictie: wie kan mij de toegang ontzeggen? “Dit zag je bij de Amsterdam Trade Bank. Daar werkten ze met een systeem van Microsoft, een Amerikaans bedrijf dat valt onder de jurisdictie van de rechter in de Verenigde Staten.”
- Technologische soevereiniteit: maar dat verhaal illustreert volgens hem ook het belang van de derde as, de technologische soevereiniteit. “Ook al zou je alles privaat hebben en on-premise, dan is het nog steeds de vraag met welke technologie jouw data zijn gemaakt en of je die data kunt blijven gebruiken. In het geval van de Amsterdam Trade Bank was dat niet het geval, en ze gingen failliet.”
> LEES OOK: Bedrijven dreigen te verdrinken in datagroei
Closed source of open source
Met dat verhaal in het achterhoofd staat de werkgever met gevoelige data alweer voor een keuze. Want kiest hij voor closed source of open source? “Closed source lijkt het simpelst”, vertelt Van Heeswijk. “De leverancier zegt iets als: ‘Hier is het. Als je iets nieuws wilt of een update nodig hebt, kan dat via mij.’ Voor heel veel bedrijven is dat een prima model, maar het leidt wel tot afhankelijkheid. Want je bent overgeleverd aan licentievoorwaarden van die leverancier. Kijk bijvoorbeeld naar een grote aanbieder van VM-technologie. Voor de duidelijkheid: met die technologie kun je je computer voorzien van allerlei virtuele machines. En in die virtuele laag kun je bijvoorbeeld nieuwe software uitproberen, zonder dat dit je oorspronkelijke computer beïnvloedt. Ook gebruiken grote bedrijven het om hun hardware efficiënter te laten draaien.”
Heel handig natuurlijk, maar er is een probleem. “Die grote aanbieder heeft nu besloten om over te gaan op een abonnementsmodel”, zegt Van Heeswijk. “En dat is voor de gebruiker twee à drie keer zo duur. Heel vervelend, want als je daar niet in meegaat, trekt die aanbieder de stekker eruit. Dan heb je bijvoorbeeld geen toegang tot updates en krijg je te maken met permanente beveiligingsproblemen. En bedenk wel: die VM-laag is te vergelijken met de funderingen van je gebouw: als die het laat afweten, ben je nergens.”
> LEES OOK: Waarom de huidige cloudbeveiliging in 2025 verouderd raakt?
Software en broncode
Vandaar dat andere bedrijven kiezen voor open source. Want volgens Van Heeswijk biedt dat een groot voordeel. “Met dit model krijg je niet alleen de software, maar ook de broncode. De software is namelijk niet gegenereerd door één bedrijf, maar door meerdere organisaties die er gezamenlijk voor zorgen dat die software blijft bestaan. Je zou het inderdaad kunnen vergelijken met Wikipedia, maar er is wel een belangrijk verschil. Bij open source kan niet iedereen zomaar van alles wijzigen: je moet daarvoor eerst een verzoek indienen. En het grote voordeel is dat je niet bent overgeleverd aan licentievoorwaarden van derden.”
Van wie willen we precies afhankelijk zijn en op welke manier?
Leren van Duitsland
Tot slot gaan we terug naar het jaar 2020, naar het begin van de coronapandemie. Want toen zag je volgens Van Heeswijk een interessant verschil tussen Nederland en Duitsland. “Toen wij op onze scholen overschakelden op online lesgeven, ging dat via Zoom of Teams. Maar in Duitsland lag dat heel anders: daar bouwden ze hun eigen systemen. Natuurlijk was dat voor hen ook een veel realistischer optie, want het is een groot land. Maar er speelde ook iets anders mee: Duitsers hechten meer aan hun soevereiniteit. En ik denk dat wij daar wat van kunnen leren. Nee, ik heb geen enkele politieke ambitie, maar ik heb wel een advies aan de Nederlandse wetgever. Die kan die autonomie en soevereiniteit wel wat meer benadrukken, en daar ook duidelijkere lijnen in trekken. Van wie willen we precies afhankelijk zijn? En op welke manier? En ja, kijk daarbij af en toe eens naar onze oosterburen.”
Volg Security Management op LinkedIn