Tijdens de afgelopen EU Open Source Policy Summit in Brussel stonden de thema’s AI-ontwikkeling en digitale autonomie hoog op de agenda. Wij spraken met een van de paneldeelnemers: James Lovegrove, Director EMEA Government Affairs bij de enterprise open source-leverancier Red Hat.
Of ik nu in Brussel ben, in Parijs of in Dubai, ik merk steeds hetzelfde spanningsveld over het thema soevereiniteit: iedereen voelt dat het belangrijk is, maar bijna niemand hanteert tot op heden een scherp, werkbaar kader. Het gevolg is dat beslissingen over cloud, software en data nog te vaak worden gestuurd door kosten en comfort – tot een geopolitieke schok of een sanctie die ineens laat zien hoe afhankelijk we nu daadwerkelijk zijn.
Om deze discussie te visualiseren, kunnen we de analogie gebruiken van Maslows piramide van behoeften. Maslow biedt immers een nuttige les die in de digitale wereld vaak wordt vergeten: zonder in de fundamentele behoeften te voorzien, kom je niet aan hogere ambities toe. Dit was ook een van de inspiraties voor Red Hats Sovereignty Readiness assessment tool – die ontwikkeld is door Red Hatter Chris Jenkins en als open source beschikbaar is via GitHub.
Datacontinuïteit: de eerste behoefte
Maslows onderste laag gaat over de basisbehoeften als voedsel, water en onderdak. In een digitale context zie ik daar een duidelijke parallel met data- en informatiesoevereiniteit. Heel simpel geformuleerd: waar staat data feitelijk, onder welk rechtsstelsel valt het en wie kan er – nu of via (juridische) omwegen – toegang toe krijgen.
Zeker in de publieke sector is het essentieel dat gevoelige informatie binnen de gekozen jurisdictie blijft. Dat geldt ook voor banken, energieleveranciers en zorginstellingen: hun bedrijfskritieke informatie is de zuurstof van hun organisatie. Als zij niet precies weten waar informatie leeft en aan welke regels die is onderworpen, ontbreekt voor hen het digitale equivalent van voedsel en onderdak.
Belangrijk is hier het onderscheid tussen data en informatie. Data is de ruwe opslagvorm; informatie is wat je eruit afleidt en hoe je die inzet in besluitvorming. Digitale soevereiniteit op deze laag betekent dat een organisatie zelf (niet de IT-leverancier) de spelregels bepaalt rond opslag, classificatie, encryptie en toegang.
Open source speelt daarin een cruciale rol. Als de onderliggende platformlaag open is, heeft een organisatie meer keuzevrijheid waar workloads draaien en hoe data wordt beheerd. Zo voorkom je bovendien dat één commerciële partij de feitelijke toegangspoort tot je informatie wordt. Leveranciers van open source-platforms zijn doorgaans immers geen dataproviders.
Technologische soevereiniteit: veiligheid, vrijheid en beïnvloedbaarheid
In Maslows hiërarchie volgen na de basisvoorzieningen de lagen rond veiligheid, vrijheid en stabiliteit. In een IT-context kunnen we ook die behoeften vertalen naar soevereiniteit: in hoeverre heb je controle over en invloed op de technologie waarop je organisatie draait?
Om dit te faciliteren heb je drie dingen nodig: je hebt altijd toegang tot de onderliggende broncode; de ontwikkeling van die technologie vindt plaats in open source-repositories, onder onafhankelijke foundations met gedegen governance; en er is geen enkele vendor die de ontwikkeling of licentievoorwaarden in zijn eentje kan gijzelen. Jij hebt dus platforms waarop je infrastructuur, applicatieontwikkeling en automation-diensten draaien, en jij kan de stekker eruit trekken en migreren naar een andere oplossing wanneer je dat wilt.
Operationele soevereiniteit: wat als je leverancier morgen verdwijnt?
De bovenste laag van onze digitale piramide van Maslow gaat over operationele soevereiniteit: de vraag of kritieke systemen kunnen blijven functioneren als er iets fundamenteels verandert, zoals een leveranciersrelatie of de geopolitieke context.
Stel dat je relatie met je huidige leverancier onder druk komt te staan – door prijsverhogingen, slechtere service of geopolitieke spanningen. Wat gebeurt er dan met jouw systemen? Het antwoord ligt in open source en copyleft-licentie. Klanten hebben daarmee juridisch recht op de broncode. Dat betekent dat zijzelf, of andere partijen, onderhoud en doorontwikkeling kunnen overnemen. Continuïteit is dan niet meer exclusief gekoppeld aan de (leveranciers)naam op het contract, maar verankerd in een breder ecosysteem.
Los van de relatie met leveranciers moeten organisaties ook rekening houden met macro-economische en geopolitieke verschuivingen. Grootschalige handelsbeperkingen of door beleid opgelegde blokkades van software lijken onwaarschijnlijk, juist vanwege de economische schade die ze zouden veroorzaken. Toch vormen ze een zogenoemd tail risk – een klein maar potentieel zeer impactvol restrisico – dat je bij kritieke infrastructuur niet kunt negeren. Voor organisaties waarvoor continuïteit absoluut essentieel is, worden dit soort scenario’s dan ook met dezelfde nauwkeurigheid meegenomen als ieder ander systeemrisico. Precies voor die organisaties worden opties ontwikkeld zoals in de EU gehoste code-repositories en support die uitsluitend wordt geleverd door in de EU gevestigde engineers.
Van “open standaarden” naar “open source, tenzij”
In mijn dagelijkse werk in en rond het Europees Parlement valt me één ding steeds weer op. In vrijwel elk debat over digitale soevereiniteit hoor ik termen als “open standaarden” en “open manieren van werken” voorbij komen. Maar het woord “open source” hoor ik nauwelijks. Tijdens een recente plenaire sessie sprak ik negentien Europarlementariërs; geen van hen nam de term spontaan in de mond.
Dat is heus geen muggenziften. Open standaarden zonder concrete open source-implementaties kunnen nog steeds leiden tot sterke afhankelijkheid van een klein aantal leveranciers. Er is daarom een ‘open source, tenzij’-benadering nodig. Open source – ténzij je hard kunt aantonen dat het in een specifieke use case niet kan of niet wenselijk is.
Digitale soevereiniteit is daarmee geen exclusief IT-dossier. Ja, de CIO is in mijn Maslow-analogie primair verantwoordelijk voor de basislaag – data en informatie. Maar het raakt governance, juridische risico’s, reputatie, commerciële flexibiliteit en geopolitieke exposure. De hele board moet mede-eigenaar worden van de keuzes die hier gemaakt worden.
Niet nog een hype, maar een kans om het nu goed te doen
Voor mij komt digitale soevereiniteit uiteindelijk neer op drie simpele maar ongemakkelijke vragen. Weet je waar je meest kritieke data en informatie zich bevinden, onder welke jurisdictie die vallen, en wie er via welke route bij kan? Heb je aantoonbare keuzevrijheid in de technologie waarop kernprocessen draaien? En kun je met overtuiging stellen dat je belangrijkste systemen blijven functioneren als morgen een leverancier wegvalt of de geopolitieke context kantelt?
Als je aarzelt bij het antwoord op één van die vragen, zijn de onderste lagen van je digitale Maslow-piramide nog niet op orde. En dan is digitale soevereiniteit plots geen abstract buzzword meer, maar een existentiële vraag: wie heeft daadwerkelijk de controle over de digitale toekomst van je organisatie – jij, of iemand anders?
Dit is een ingezonden bijdrage van Red Hat. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.