De opkomst van soevereine Nederlandse en Europese cloudinitiatieven past bij de groeiende behoefte van organisaties om kritischer te kijken naar dataopslag. Dat is een goede ontwikkeling. De afhankelijkheid van Amerikaanse technologie is in veel sectoren te groot geworden. De vraag is niet óf organisaties hun cloudstrategie moeten heroverwegen, maar hoe. Daarbij moet het debat niet gaan over Amerikaanse aanbieders versus Europese, maar om risicomanagement. En dit risicomanagement hangt af van het type data.
Baseer risicomanagement op inhoud data
Steeds vaker klinkt de vraag: kies je voor Amerikaanse cloudaanbieders zoals Microsoft en Google, of voor een Nederlands of Europees alternatief? Dat lijkt een principekwestie, en deels is het dat ook, maar de kern moet liggen bij risicomanagement: wat is het risico als deze data in verkeerde handen vallen?
Een salarissysteem met persoonsgegevens vraagt om een andere afweging dan een marketingdatabase. Een ziekenhuis met patiëntendossiers kent andere risico’s dan een retailer met verkooprapportages. En een gemeente die een burgerportaal beheert, heeft andere belangen dan een logistiek bedrijf met internationale ketens.
Drie niveaus van risicomanagement
Grofweg kunnen organisaties kiezen uit drie vormen van cloudinitiatieven die het risicomanagement beïnvloeden. Grote Amerikaanse aanbieders zoals Microsoft en Google zijn vaak de meest pragmatische keuze dankzij hun schaal, beveiligingsinvesteringen en innovatietempo. Op het gebied van security lopen zij vaak voor.
Voor organisaties die meer Europese controle willen, zijn er initiatieven zoals de Open Cloud Alliantie, een samenwerkingsverband van Nederlandse aanbieders waaronder KPN, Centric en Uniserver. Ook partijen als OVHcloud vallen in deze categorie. Hier is sprake van Europees eigendom en Europese dataopslag, maar zonder volledige onafhankelijkheid van Amerikaanse wetgeving.
Voor de meest gevoelige toepassingen ontstaan daarnaast omgevingen die volledig losstaan van Amerikaanse contractuele afhankelijkheden. Zoals de soevereine cloud die KPN met het Duitse Schwarz Digits ontwikkelt of de Belgian Critical Cloud.
Als bedrijven in Amerika gevestigd zijn of in Nederland opereren, maar onder het Amerikaanse recht vallen, bijvoorbeeld een Amerikaanse aanbieder met servers in Europa, is het juridische risico reëel. De impact daarvan verschilt per systeem en per dataset.
Cloudsoevereiniteit is geen keuze tussen kampen
Wanneer organisaties cloudsoevereiniteit blijven benaderen als een keuze tussen kampen, dreigt sentiment de discussie te domineren. Digitale weerbaarheid begint niet bij de leverancierskeuze, maar bij een scherpe afweging van data, regelgeving en risico. Kies dus niet vanuit een land, maar vanuit een kader. Daaruit kan de beslissing volgen dat Amerikaanse cloudbedrijven niet wenselijk zijn voor de data die opgeslagen moeten worden.
