Digitale soevereiniteit: dit is waarom het belangrijk is | Base27

Als organisatie gebruik je dagelijks software van veelal grote Amerikaanse techbedrijven. Denk aan Gmail voor e-mails en Microsoft Office voor het maken en delen van bestanden. Handig, vertrouwd en vanzelfsprekend. Maar wat als de wetgeving aan de andere kant van de wereld verandert? Of als een politieke beslissing plotseling invloed heeft op de toegankelijkheid van jouw eigen data?

Steeds meer organisaties stellen zichzelf deze vragen. Dat is niet zonder reden. De afhankelijkheid van Amerikaanse big tech brengt risico’s met zich mee die je niet altijd zelf in de hand hebt. Digitale soevereiniteit biedt hiervoor het antwoord: grip op je eigen digitale omgeving, ongeacht wat er buiten Europa gebeurt. In dit blog leggen wij uit wat het precies inhoudt, waarom het nu zo belangrijk is en hoe jouw organisatie de eerste stap kan zetten.

In dit blog:

• Wat is digitale soevereiniteit?
• Waarom is digitale afhankelijkheid een risico?
• Hoe word je digitaal onafhankelijk van de big tech?

Wat is digitale soevereiniteit?

Digitale soevereiniteit, ook wel digitale onafhankelijkheid genoemd, betekent dat je als organisatie zelf de controle houdt over je digitale infrastructuur, technologieën en data. Je bepaalt zelf:

• Waar je data wordt opgeslagen.
• Wie toegang heeft tot jouw data.
• Welke software en systemen jouw organisatie gebruikt.
• Onder welk rechtsstelsel jouw informatie valt.

Concreet houdt het in dat een organisatie bewust kiest voor technologie waarbij data onder Europese of Nederlandse wetgeving valt. Bij voorkeur is data hierbij opgeslagen op Europese servers. 

Wat zijn pijlers van digitale soevereiniteit?

Hoewel er geen universele definitie van deze pijlers bestaat, worden in de praktijk doorgaans drie kernaspecten gehanteerd:

1. Dataregie: Je weet waar jouw data staat, wie hierbij kan en onder welke wetgeving het valt.
2. Technologische onafhankelijkheid: Je bent niet volledig afhankelijk van één leverancier of het buitenland voor kritieke systemen.
3. Juridische controle: De wet- en regelgeving die op jouw data van toepassing is, is voorspelbaar en in lijn met Europese normen zoals de AVG. 

Waarom is digitale afhankelijkheid een risico?

Veel organisaties gebruiken dagelijks producten van Amerikaanse big tech. Op het eerste gezicht lijkt dat geen probleem, maar achter die gebruiksvriendelijke interfaces schuilt de CLOUD Act en geopolitieke onzekerheden die organisaties kwetsbaar maken. Hieronder gaan we hier verder op in.

De CLOUD Act: jouw data is niet altijd van jou

De Amerikaanse CLOUD Act (Clarifying Lawful Overseas Use of Data Act) uit 2018 geeft de Amerikaanse autoriteiten het recht om toegang te eisen tot data die wordt beheerd door Amerikaanse bedrijven, ook wanneer deze buiten de VS is opgeslagen. Dit geldt dus ook voor data die jij als Nederlandse organisatie opslaat bij een Amerikaans cloudbedrijf zoals Google. Ook wanneer de servers fysiek in Amsterdam staan.

In de praktijk betekent dit: een derde partij kan onder bepaalde omstandigheden toegang krijgen tot jouw bedrijfsgegevens, zonder dat jij daar direct iets over te zeggen hebt.

Geopolitieke onzekerheid vergroot de afhankelijkheid

Naast juridische risico’s spelen ook geopolitieke ontwikkelingen een rol. Wisselend beleid, handelsconflicten of politieke beslissingen aan de andere kant van de wereld hebben direct gevolgen op de beschikbaarheid, kosten of voorwaarden van diensten waarop jouw organisatie dagelijks vertrouwt. Organisaties die sterk afhankelijk zijn van één leverancier of één land hebben weinig handelingsvrijheid als dat gebeurt.

Wat staat er op het spel?

Voor organisaties die werken met gevoelige informatie, zoals persoonsgegevens, bedrijfsgeheimen of vertrouwelijke klantdata, zijn dit serieuze risico’s. Je voldoet misschien aan de AVG, maar als jouw data tegelijkertijd onder de CLOUD Act valt is de bescherming ervan minder solide dan je misschien vooraf wel denkt. Daarom is digitale onafhankelijkheid zo belangrijk. Het geeft zekerheid over de beveiliging van de belangrijkste data.

Hoe wordt je digitaal onafhankelijk van big tech?

Digitale onafhankelijkheid opbouwen is geen kwestie van alles in één keer omgooien. Het is een bewust en stapsgewijs proces. Hieronder geven we je een praktische strategie om de digitale soevereiniteit te realiseren.

1. Inventariseer de huidige tools en systemen: De eerste stap is om inzicht te verkrijgen in de tools en systemen die jouw organisatie gebruikt. Waar staat welke data opgeslagen? En welke tools en systemen zijn van leveranciers buiten Europa?
   
   Denk ook na over ‘shadow IT’: welke IT systemen worden door medewerkers gebruikt die niet algemeen bekend zijn binnen of aangeboden worden door de eigen organisatie? Denk aan tools als Miro, MailChimp of Trello.
   
   
2. Voer een risicobeoordeling uit: Niet alle afhankelijkheden zijn even risicovol. Beoordeel per systeem en tool hoe gevoelig de data is die verwerkt wordt en wat de gevolgen zijn als de toegang wegvalt, andere toegang krijgen tot de data of voorwaarden worden gewijzigd.
   
   
3. Kies voor Europese alternatieven: Er zijn steeds meer kwalitatieve Europese alternatieven beschikbaar voor tools en systemen die traditioneel door Amerikaanse bedrijven worden aangeboden. Bij het selecteren van nieuwe software of leveranciers is het verstandig om bewust te kiezen voor partijen die:
   
    - Gevestigd zijn in de EU of Nederland.
    - Data opslaan op Europese servers.
    - Vallen onder de AVG en andere Europese regelgevingen.
   
   
4. Migreer: Maak een plan voor de migratie van de huidige ‘big tech‘ oplossingen naar Europese alternatieven:
   
   - Amazon Web Services: Scaleway (Frankrijk), Cyso Cloud (Nederland).
   - Gmail: Mailbox (Duitsland),Soverin (Nederland).
   - Microsoft Office: LibreOffice (Duitsland), OnlyOffice (Letland).
   - Cloudopslag: PixelUnion (Nederland)
   - Zoekmachines: Startpage (Nederland)
   
   Meer Europese alternatieven voor big tech zijn te vinden op deze pagina van de Consumentenbond. Daarnaast bestaat ook de website “European alternatives” die een overzicht geeft van Europese alternatieven voor populaire diensten.
   
   
5. Stel een beleid op: Digitale soevereiniteit is geen eenmalige actie, maar een structureel onderdeel van informatiebeveiliging. Leg vast welke eisen jouw organisatie stelt aan leveranciers op het gebied van datalocatie en wetgeving. Zo worden toekomstige keuzes consistent gemaakt.
   
   
6. Gebruik een Europese ISMS software als fundament: Een Information Security Management System (ISMS) software helpt je om al deze stappen gestructureerd aan te pakken en te borgen. Binnen een ISMS software kun je:
   
   - Leveranciersvoorwaarden bepalen en monitoren
   - Beleid gestructureerd vastleggen en borgen
   - Risico’s rondom leveranciersafhankelijkheid systematisch vastleggen.
   - Beheersmaatregelen definiëren en opvolgen.
   - Aantonen dat jouw organisatie voldoet aan normen zoals de ISO 27001.
   - Interne en externe audit voorbereiden.

Begin vandaag met jouw digitale onafhankelijkheid

Digitale soevereiniteit is geen abstract ideaal, het is een concrete en urgente uitdaging voor elke organisatie die werkt met gevoelige informatie. De afhankelijkheid van buitenlandse technologie brengt juridische, operationele en geopolitieke risico’s met zich mee die steeds moeilijker te negeren zijn. 

Base27 is een Nederlandse ISMS software die jouw organisatie helpt om grip te krijgen op informatiebeveiliging, risico’s te beheersen en aantoonbaar compliant te zijn. De tool bundelt alle functies voor risicobeheer, beleid, maatregelen en compliance in één overzichtelijk systeem. Geen losse tools, geen dubbel werk maar één platform dat jouw informatiebeveiliging draagt.

Uiteraard wordt Base27 volledig aangeboden op basis van Europese dienstverleners!