9min Privacy & Compliance

Digitale soevereiniteit: van modewoord tot zakelijke noodzaak

Een man met kort, donker haar draagt een wit overhemd en donkere blazer, glimlachend voor een beige achtergrond.
Digitale soevereiniteit: van modewoord tot zakelijke noodzaak

Digitale soevereiniteit is uitgegroeid tot meer dan alleen een IT-kwestie en staat nu hoog op de agenda van de directie. Dit wordt voor een groot deel gevoed door geopolitieke zorgen. Hoewel geopolitiek het onderwerp in de schijnwerpers heeft gezet, draait digitale soevereiniteit in de kern om één ding: het bedrijf draaiende houden, wat er ook gebeurt.

Wanneer kritieke systemen uitvallen, brengt dat altijd kosten met zich mee. Voor kantoorproductiviteitssuites komen die kosten tot uiting in verloren uren en gemiste deadlines. Voor financiële diensten, gezondheidszorg, overheid of kritieke infrastructuur kunnen storingen essentiële diensten verstoren, het vertrouwen ondermijnen en directe financiële en maatschappelijke gevolgen hebben. Deze kosten zijn kwantificeerbaar en toezichthouders eisen in toenemende mate dat organisaties de onderliggende risico’s begrijpen en beperken.

Daarom kan digitale soevereiniteit het best worden begrepen als een kwestie van bedrijfscontinuïteit en operationele veerkracht. Het gaat om het verminderen van afhankelijkheden: van specifieke leveranciers die onder buitenlandse regelgeving opereren die in strijd kan zijn met lokale wetgeving, van systemen met ondoorzichtige architecturen en van single points of failure in de tech stack.

Open source als basis voor soevereiniteit

Transparantie vormt de kern van elke geloofwaardige soevereiniteitsstrategie. Je kunt niet op een zinvolle manier controleren wat je niet kunt inspecteren. Open source is daarom een natuurlijke basis voor soevereiniteit, omdat het inzicht biedt in de softwarestack. Organisaties kunnen begrijpen welke technologie in hun omgevingen draait, hun beveiligingsstatus grondiger beoordelen en voorkomen dat ze gebonden zijn aan closed source-implementaties.

Die transparantie helpt bij het opbouwen van vertrouwen bij interne risicomanagers, externe auditors en toezichthouders. Het helpt organisaties ook om voorop te blijven lopen op het gebied van innovatie. Tegenwoordig vinden de meeste cruciale innovaties op het gebied van infrastructuur en cloud-native computing hun oorsprong in open communities, met bijdragen van niet alleen individuele ontwikkelaars, maar ook grote technologiebedrijven.

Dat gezegd hebbende, is niet alle open source gelijk. Er is een groot verschil tussen ruwe communitycode en open source die geschikt is voor bedrijven. Open source voor bedrijven bouwt voort op innovatie binnen de community, maar voegt daar de focus op beveiliging, levenscyclusbeheer, compliance en technische ondersteuning aan toe die bedrijfskritische workloads vereisen.

Voor het leveren van open source-oplossingen die geschikt zijn voor bedrijven is het volgende nodig:

  • Speciale teams voor productbeveiliging en compliance.
  • Een duidelijke productlevenscyclus.
  • Uitgebreide tests en certificering met hardware- en softwarepartners.
  • Voortdurende bijdragen aan upstream-gemeenschappen.

Een soevereine technologieaanpak: platform, draagbaarheid en mensen

Digitale soevereiniteit is geen binaire toestand. Verschillende workloads, teams en industrieën bevinden zich op verschillende punten in een soevereiniteitsspectrum. Elke serieuze soevereiniteitsstrategie heeft daarom drie pijlers:

1. Platform

De technologische basis moet een robuuste, commercieel ondersteunde open source-distributie zijn die is gehard voor beveiliging. Dit omvat:

  • Voortdurende beveiligingswerkzaamheden: voortdurende bugfixes en patches door toegewijde teams.
  • Compliance-mogelijkheden: afstemming op sectorspecifieke regelgeving (bijv. FSI, gezondheidszorg).
  • Voorspelbare levenscyclus: opties voor ondersteuning op lange termijn en upgradepaden.
  • Open source-garantie: juridische waarborgen en vrijwaring met betrekking tot intellectueel eigendom.

2. Overdraagbaarheid

Soevereiniteit gaat over de keuze waar workloads worden uitgevoerd. Een consistente platformarchitectuur maakt implementatie mogelijk in on-premise datacenters, regionale private clouds en wereldwijde publieke clouds (Open Hybrid Cloud). Dit zorgt voor:

  • Toepassingsportabiliteit: geen noodzaak om code te herschrijven bij het opnieuw in evenwicht brengen van de infrastructuur.
  • Consistente bedrijfsvoering: uniforme beleidsregels en beveiligingsmaatregelen voor het hele bedrijf.
  • Minder afhankelijkheid van één provider: mogelijkheid om workloads te verplaatsen als risico- of kostenprofielen veranderen.

3. Mensen

Het is ook van belang wie toegang heeft tot ondersteuningsgegevens en logboeken. Voor veel gereguleerde omgevingen wordt verwacht dat:

  • Technische ondersteuning wordt geleverd door geverifieerde lokale burgers.
  • Ondersteunend personeel fysiek op lokaal grondgebied werkt.
  • Diagnostische gegevens binnen de regio blijven en niet worden vermengd met andere rechtsgebieden.

AI als katalysator voor soevereiniteit

Kunstmatige intelligentie vereist toegang tot grote hoeveelheden gevoelige gegevens, wat vragen oproept over ingezetenschap en bestuur. Soevereine AI is in de eerste plaats een discussie over infrastructuur en gegevenscontrole:

  • Infrastructuur: door jurisdicties gecontroleerde omgevingen om AI uit te voeren.
  • Gegevens: gegarandeerde residentie en wettig gebruik van trainings-/inferentiegegevens.
  • IP-beheer: Beheer van risico’s rond modellen met behoud van innovatiesnelheid.

Een pragmatische aanpak houdt vaak in dat bestaande open modellen worden aangepast, terwijl de omringende infrastructuur en gegevensomgeving soeverein blijven.

Een pragmatische beleidsaanpak van soevereiniteit

Europese instellingen hebben een leidende rol op zich genomen op het gebied van digitale regelgeving, maar beleidsmakers moeten een evenwicht vinden tussen strategische doelstellingen en operationele realiteiten:

  1. Soevereiniteit kent natuurlijke grenzen: wereldwijde toeleveringsketens zijn nauw met elkaar verweven; absolute geografische uitsluiting is moeilijk te realiseren.
  2. Risicotolerantie varieert: missiekritieke defensiesystemen vereisen strengere beperkingen dan interne samenwerkingstools.
  3. Pragmatisme boven impulsieve reacties: in plaats van algehele verboden moeten organisaties risico’s kwantificeren en transitiepaden ontwerpen die de veerkracht versterken.

Soevereiniteit als enabler

Achter de krantenkoppen gaan echte operationele vragen schuil over infrastructuurcontrole, gegevensopslag en veerkracht van diensten. Open source, met name distributies op bedrijfsniveau, biedt een manier om deze vragen aan te pakken. In combinatie met een open hybride cloudarchitectuur en regionaal verankerde ondersteuning geeft het organisaties een zinvolle keuze over hun digitale toekomst.

Digitale soevereiniteit: van modewoord tot zakelijke noodzaak

Digitale soevereiniteit is uitgegroeid tot meer dan een nicheonderwerp voor IT en staat nu hoog op de agenda van de directie. Dit wordt voor een groot deel gevoed door geopolitieke zorgen. Hoewel geopolitiek het onderwerp in de schijnwerpers heeft gezet, draait digitale soevereiniteit in de kern om één ding: het bedrijf draaiende houden, wat er ook gebeurt.

Wanneer kritieke systemen uitvallen, brengt dat altijd kosten met zich mee. Voor kantoorproductiviteitssuites komen die kosten tot uiting in verloren uren en gemiste deadlines. Voor financiële diensten, gezondheidszorg, overheid of kritieke infrastructuur kunnen storingen essentiële diensten verstoren, het vertrouwen ondermijnen en directe financiële en maatschappelijke gevolgen hebben. Deze kosten zijn kwantificeerbaar en toezichthouders eisen steeds vaker dat organisaties de onderliggende risico’s begrijpen en beperken.

Daarom kan digitale soevereiniteit het best worden begrepen als een kwestie van bedrijfscontinuïteit en operationele veerkracht. Het gaat om het verminderen van afhankelijkheden: van specifieke leveranciers die onder buitenlandse regelgeving opereren die in strijd kan zijn met lokale wetgeving, van systemen met ondoorzichtige architecturen en van single points of failure in de tech stack.

Open source als basis voor soevereiniteit

Transparantie vormt de kern van elke geloofwaardige soevereiniteitsstrategie. Je kunt niet op een zinvolle manier controleren wat je niet kunt inspecteren. Open source is daarom een natuurlijke basis voor soevereiniteit, omdat het inzicht biedt in de softwarestack. Organisaties kunnen begrijpen welke technologie in hun omgevingen draait, hun beveiligingsstatus grondiger beoordelen en voorkomen dat ze gebonden zijn aan closed source-implementaties.

Die transparantie helpt bij het opbouwen van vertrouwen bij interne risicomanagers, externe auditors en toezichthouders. Het helpt organisaties ook om voorop te blijven lopen op het gebied van innovatie. Tegenwoordig vinden de meeste cruciale innovaties op het gebied van infrastructuur en cloud-native computing hun oorsprong in open communities, met bijdragen van niet alleen individuele ontwikkelaars, maar ook grote technologiebedrijven.

Dat gezegd hebbende, is niet alle open source gelijk. Er is een groot verschil tussen ruwe communitycode en open source die geschikt is voor bedrijven. Open source voor bedrijven bouwt voort op innovatie binnen de community, maar voegt daar de focus op beveiliging, levenscyclusbeheer, compliance en technische ondersteuning aan toe die bedrijfskritische workloads vereisen.

Voor het leveren van open source-oplossingen die geschikt zijn voor bedrijven is het volgende nodig:

  • Speciale teams voor productbeveiliging en compliance.
  • Een duidelijke productlevenscyclus.
  • Uitgebreide tests en certificering met hardware- en softwarepartners.
  • Voortdurende bijdragen aan upstream-gemeenschappen.

Een soevereine technologieaanpak: platform, draagbaarheid en mensen

Digitale soevereiniteit is geen binaire toestand. Verschillende workloads, teams en industrieën bevinden zich op verschillende punten in een soevereiniteitsspectrum. Elke serieuze soevereiniteitsstrategie heeft daarom drie pijlers:

1. Platform

De technologische basis moet een robuuste, commercieel ondersteunde open source-distributie zijn die is gehard voor beveiliging. Dit omvat:

  • Voortdurende beveiligingswerkzaamheden: voortdurende bugfixes en patches door toegewijde teams.
  • Compliance-mogelijkheden: afstemming op sectorspecifieke regelgeving (bijv. FSI, gezondheidszorg).
  • Voorspelbare levenscyclus: opties voor ondersteuning op lange termijn en upgradepaden.
  • Open source-garantie: juridische waarborgen en vrijwaring met betrekking tot intellectueel eigendom.

2. Overdraagbaarheid

Soevereiniteit gaat over de keuze waar workloads worden uitgevoerd. Een consistente platformarchitectuur maakt implementatie mogelijk in on-premise datacenters, regionale private clouds en wereldwijde publieke clouds (Open Hybrid Cloud). Dit zorgt voor:

  • Toepassingsportabiliteit: geen noodzaak om code te herschrijven bij het opnieuw in evenwicht brengen van de infrastructuur.
  • Consistente bedrijfsvoering: uniforme beleidsregels en beveiligingsmaatregelen voor het hele bedrijf.
  • Minder afhankelijkheid van één provider: mogelijkheid om workloads te verplaatsen als risico- of kostenprofielen veranderen.

3. Mensen

Het is ook van belang wie toegang heeft tot ondersteuningsgegevens en logboeken. Voor veel gereguleerde omgevingen wordt verwacht dat:

  • Technische ondersteuning wordt geleverd door geverifieerde lokale burgers.
  • Ondersteunend personeel fysiek op lokaal grondgebied werkt.
  • Diagnostische gegevens binnen de regio blijven en niet worden vermengd met andere rechtsgebieden.

AI als katalysator voor soevereiniteit

Kunstmatige intelligentie vereist toegang tot grote hoeveelheden gevoelige gegevens, wat vragen oproept over ingezetenschap en bestuur. Soevereine AI is in de eerste plaats een discussie over infrastructuur en gegevenscontrole:

  • Infrastructuur: door jurisdicties gecontroleerde omgevingen om AI uit te voeren.
  • Gegevens: gegarandeerde residentie en wettig gebruik van trainings-/inferentiegegevens.
  • IP-beheer: Beheer van risico’s rond modellen met behoud van innovatiesnelheid.

Een pragmatische aanpak houdt vaak in dat bestaande open modellen worden aangepast, terwijl de omringende infrastructuur en gegevensomgeving soeverein blijven.

Een pragmatische beleidsaanpak van soevereiniteit

Europese instellingen hebben een leidende rol op zich genomen op het gebied van digitale regelgeving, maar beleidsmakers moeten een evenwicht vinden tussen strategische doelstellingen en operationele realiteiten:

  1. Soevereiniteit kent natuurlijke grenzen: wereldwijde toeleveringsketens zijn nauw met elkaar verweven; absolute geografische uitsluiting is moeilijk te realiseren.
  2. Risicotolerantie varieert: missiekritieke defensiesystemen vereisen strengere beperkingen dan interne samenwerkingstools.
  3. Pragmatisme boven impulsieve reacties: in plaats van algehele verboden moeten organisaties risico’s kwantificeren en transitiepaden ontwerpen die de veerkracht versterken.

Soevereiniteit als enabler

Achter de krantenkoppen gaan echte operationele vragen schuil over infrastructuurcontrole, gegevensopslag en veerkracht van diensten. Open source, met name distributies op bedrijfsniveau, biedt een manier om deze vragen aan te pakken. In combinatie met een open hybride cloudarchitectuur en regionaal verankerde ondersteuning geeft het organisaties een zinvolle keuze over hun digitale toekomst.

Lees ook: Red Hat lanceert Sovereign Support voor EU-organisaties