Zoals de komst van de computer een nieuw tijdperk inluidde, heeft ook de cloud onze digitale wereld fundamenteel veranderd. Vandaag de dag weten de meeste mensen niet meer waar hun gegevens precies worden opgeslagen. Dit is onder andere waar het begrip ‘digitale soevereiniteit’ over gaat: bewust stilstaan bij wie er controle heeft over jouw digitale infrastructuur en data en wat je doet als systemen uitvallen. In een tijd van geopolitieke spanningen zoals de oorlog in Oekraïne en verslechterde internationale verhoudingen, is die onafhankelijkheid relevanter dan ooit. Dit zijn onze 6 tips voor jou.
Wat kun jij doen?
1. Word bewust, voer een risicoanalyse uit
Om werkelijk de situatie onder controle te hebben of krijgen, adviseren we om het aan te pakken als een risicoanalyse. Bepaal als organisatie (of als privépersoon uiteraard) eerst waar de belangrijkste informatie opgeslagen is om zo je belangrijkste aandachtsgebied te bepalen. Kijk vervolgens wie er toegang toe heeft en wat er gebeurt als die toegang wegvalt. Ben je bijvoorbeeld een moderne kennisorganisatie, dan zal het antwoord waarschijnlijk zijn: bij Microsoft of Google in de cloud. Maar ben je bijvoorbeeld een logistieke dienstverlener, dan kan jouw belangrijkste data wel eens heel ergens anders in zitten. Want wat als je barcodescanners in het magazijn het ineens niet meer doen? Hoe kan je dan verder? Het gaat dus om het goed identificeren van risico’s en daar voor jezelf passende oplossing bij te bedenken.
2. Focus je op de kroonjuwelen van jouw organisatie
Mocht je mitigerende maatregelen hebben gevonden, kijk dan ook naar wat je het zelf als organisatie waard vindt en bepaal je RPO (Recovery Point Objective) en RTO (Recovery Time Objective) in een breder perspectief. Wat kan helpen is je echt te concentreren op de vitale informatie/informatiesystemen van je organisatie. Wat kan je doen als dat systeem uitvalt? Iedereen zal begrijpen dat investeringen aan de ene kant gepaard gaan met het schrappen van uitgaven aan de andere kant. Maar dat hoeft niet erg te zijn. Als de huidige AI-tools niet beschikbaar worden, valt de organisatie dan om? Meestal niet en je kan best een tijd zonder. De RTO voor AI-tooling mag voor de meeste organisaties maar zo drie maanden zijn. Maar drie maanden niet factureren kan het einde van jouw organisatie betekenen. Denk dus hybride en focus op de kroonjuwelen.
3. Focus op herstellen in plaats van verplaatsen
Stel dat je jouw Microsoft clouddata uit de Microsoftomgeving wil halen. Dan is een voor de hand liggende oplossing om een eigen persoonlijke server (VPS) in een Nederlands datacenter te huren. Oplossing gevonden zou je zeggen? Niet echt, want als je in dat datacenter ook afhankelijk bent van Microsoftservers en -diensten (waarop bijvoorbeeld Windows of SharePoint draait) dan ben je eigenlijk weinig opgeschoten. De afhankelijkheid is er dan alsnog. Dit geldt ook voor nog diepere technische lagen. Als de software die je wilt gebruiken leunt op bijvoorbeeld .NET Framework of is geschreven in C#, dan ben je in veel gevallen nog steeds afhankelijk van Microsoft. Voor de echte technici onder ons; ja, we weten dat we hier kort door de bocht gaan, maar jullie snappen de essentie. In feite moet je dan teruggaan naar de daadwerkelijke taal (en makelaardij) van je chips en processoren. En misschien ook weer uit de oude doos, maar kijk naar het OSI-model. Op deze manier verplaatsen heeft dus niet veel zin. Pak daarom het risico operationeel goed en grondig aan en beheers de impact. Dat vraagt een fundamenteel andere benadering. Zorg ervoor dat je jouw belangrijkste digitale processen, infrastructuur en informatie altijd binnen acceptabele tijd op een andere manier kan voortzetten en dat de middelen die daarvoor nodig zijn, zoals back-up, onafhankelijk beschikbaar zijn. Dat is dus portabiliteit (overdraagbaarheid) en geen soevereiniteit. Kijk daarbij naar de hele keten en niet alleen naar een onderdeel van die keten.
4. Betrek je IT-partner actief
Heb je ook inzicht wie en wat er nodig zijn om weg te bewegen van een afhankelijkheid? Heb je de IT deels of geheel uitbesteed? Is jouw kroonjuweel een applicatie met bijbehorende data die volledig bij de applicatieleverancier ligt, bijvoorbeeld een Elektronisch CliëntenDossier? Of is een IT-partner verantwoordelijk voor het in stand houden van de infrastructuur en de back-up? Praat dan met je IT-dienstverlener en ga samen de uitdaging aan om tot goede risicobeheersing te komen. Uiteindelijk is jouw organisatie eigenaar van de informatie en het meest gebaat bij beschikbaarheid van deze informatie. Dat maakt dat jij alle recht hebt dit gesprek met de IT-partner of applicatieleverancier aan te gaan en afspraken te maken over continuïteit bij een calamiteit.
5. Denk strategisch, van aanbesteding tot exit
Vaak komen we in aanbestedingen en PvE’s (Programma van Eisen) allerlei cloud-eisen tegen die redelijk eenzijdig en beperkt worden benoemd. En op papier kan er van alles worden vastgelegd, maar wat betekent dit dan in de praktijk? Is het beantwoorden van de vraag: “Staat de data binnen de EU?” met “Ja”, wel een voldoende antwoord?
Zo zien we veelal dat belangrijke software zoals Veeam prima aan deze eis voldoen. Wat we minder goed weten is dat Veeam voorheen in Russische handen is geweest. Pas in 2020 is dit verkocht aan een Amerikaans private equity bedrijf (Insight Partners). Daarmee willen we overigens zeker niet suggereren dat dit slechte of gevaarlijke software is. Maar ook al belooft Veeam dat de data bijvoorbeeld in de EU staat (wat technisch overigens zo is): is dat voor jou als organisatie voldoende om eventuele risico’s tegen te gaan?
In de aanbesteding mag je best wat extra aandacht vragen voor soevereiniteit, portabiliteit en risico’s om tegemoet te komen aan je eigen behoeftes en de continuïteit van jouw organisatie.
6. Wees realistisch
We horen vaak dat organisaties een vendor lockin willen voorkomen. We snappen deze uitspraak en vinden het ook verstandig hier bewust over na te denken. Maar enige realiteitszin is hierin wel geboden. Want wat hebben we ons inmiddels laten overkomen? Bijna geen enkele organisatie durft (om verschillende redenen) af te stappen van Microsoft Office, want dat zijn we immers gewend. En om nog maar wat te noemen, wie durft Google.com te verbannen voor bedrijfsmatig gebruik? Is dit dan geen vendor lockin? De andere kant van dit onderwerp is dat je samenwerking met andere organisaties lastiger maakt als je je afzet tegen de grote vendoren; digitaal communiceren en informatie uitwisselen zal daarmee lastiger worden. Om nog maar niet te spreken over de drempel die jouw medewerkers zullen ervaren als ze met relatief onbekende software moeten werken.
Tot slot
Moet je nu je IT-strategie 180 graden wijzigen en weer terug naar bijvoorbeeld infrastructuur, servers en systemen binnen de ‘veilige’ muren van je eigen bedrijfspand? Of extremer nog: terug naar papier? Nee. Maar we adviseren om een hybride strategie te kiezen die bij jouw risico’s en ambities past. Digitale soevereiniteit is geen doel op zich, maar een middel om grip te houden op wat van jou is en bij te dragen aan de continuïteit van jouw organisatie. En dat begint vandaag.
Ook klaar voor vooruitgang?
Zet de volgende stap met een partner die écht begrijpt wat telt.
- Jouw kritische IT-kennispartner: verantwoordelijk voor resultaat
- Specialist in maatschappelijke en mensgerichte organisaties
- Unieke werkwijze & methodiek voor grip en zekerheid van
de juiste keuzes - Award-winning specialist in de thema’s van nu
- Verzekerd van een vast team en persoonlijk aanspreekpunt
