Van afhankelijkheid naar bewuste regie  
Digitale soevereiniteit:

Geopolitieke spanningen, discussies over extraterritoriale wetgeving en de dominante positie van Amerikaanse hyperscalers: digitale soevereiniteit is in korte tijd van nicheterm uitgegroeid tot strategisch speerpunt in veel boardrooms. Maar wie het reduceert tot een anti-Amerikaans sentiment, mist volgens Conclusion de kern. “Digitale soevereiniteit draait om het kennen van je afhankelijkheden en het accepteren van de risico’s die daarbij horen.”

 

Organisaties die jarenlang vol vertrouwen workloads naar de cloud verschoven, vragen zich steeds vaker af: wat gebeurt er als die toegang wegvalt? Wat als de prijzen substantieel stijgen? En wat als onze data in verkeerde handen valt of we onze eigen data niet meer kunnen bereiken?

 

De kern is simpel, stelt Lucas Jellema, CTO van Conclusion: weet je welke afhankelijkheden je hebt? En ken en accepteer je de risico’s als gevolg van die afhankelijkheden? “De huidige geopolitieke context heeft het onderwerp weliswaar zichtbaarder gemaakt, maar de onderliggende discussie is niet nieuw. Je zou bijna zeggen dat we Trump dankbaar moeten zijn: niet om wat hij doet, maar omdat organisaties nu opnieuw gedwongen worden na te denken over hun afhankelijkheden van leveranciers, technologie, partners, middelen, locaties en zelfs medewerkers. IT-architecten hebben afhankelijkheden en risico’s al langer benoemd, maar ze vonden daar niet altijd gehoor voor bij directies. In het huidige klimaat, met NIS2, geopolitieke spanningen en concrete incidenten, is risicobewustzijn eindelijk ook op bestuursniveau doorgedrongen.”

Nergens is de urgentie van digitale soevereiniteit concreter dan daar waar processen niet mógen uitvallen. Binnen Conclusion Mission Critical houdt CTO Jochem van Lierop zich dagelijks bezig met digitale omgevingen waar continuïteit geen abstract begrip is, maar een harde randvoorwaarde. “Mission critical betekent voor ons: processen die niet stil mogen vallen. Denk aan NS-treinen die stoppen met rijden, Eneco dat geen stroom meer levert, of Rijkswaterstaat dat de connectiviteit naar bruggen, tunnels en sluizen verliest. Als die systemen uitvallen, zijn de gevolgen onmiddellijk voelbaar.”

 

Dat vraagt volgens Van Lierop om architectuurkeuzes waarin continuïteit structureel is ingebouwd: meerdere fysiek gescheiden datacenters of een combinatie van private en publieke cloud, fysiek gescheiden locaties, redundante netwerkverbindingen en uitgewerkte failover-scenario’s. “Je ontwerpt voor het scenario dat je hoopt nooit mee te maken. Twee servers in dezelfde ruimte is geen redundantie; zelfs twee servers in hetzelfde gebouw is dat niet. Tegelijkertijd moet je realistisch blijven; je kunt altijd een extremer scenario bedenken, maar de vraag is wat proportioneel is. Dat beantwoord je door afhankelijkheden in kaart te brengen, te analyseren wat stuk kan gaan en wat de gevolgen zijn, en vervolgens vast te stellen welke restrisico’s acceptabel zijn.”

 

Soevereiniteit voegt daar nu een extra dimensie aan toe. Het gaat volgens Van Lierop niet alleen om technische beschikbaarheid, maar ook om de vraag wie uiteindelijk zeggenschap heeft. “Als je alles in één cloudomgeving onderbrengt, maak je een keuze. Misschien is die keuze verdedigbaar, maar je moet je wel realiseren dat je daarmee een afhankelijkheid introduceert die impact kan hebben op continuïteit, prijsstelling en juridische controle.” 

Voor Conclusion blijft het niet bij analyse. De organisatie beschikt al langer over bouwblokken die nu in het licht van soevereiniteit nadere betekenis krijgen. Zo biedt Conclusion private cloudomgevingen die volledig op Nederlandse bodem draaien, verspreid over meerdere datacenters. Deze omgevingen vallen onder Nederlandse jurisdictie en Nederlands eigenaarschap, benadrukt Van Lierop. “Dat betekent dat je niet onder extraterritoriale wetgeving valt die buiten Nederland wordt afgedwongen. Voor organisaties met een verhoogde zorgplicht – zoals zorginstellingen, financiële instellingen en beheerders van vitale infrastructuur – is dat geen juridisch detail, maar een wezenlijke randvoorwaarde. Zij moeten kunnen aantonen dat data beschikbaar, beschermd en onder controle blijft, ook wanneer geopolitieke verhoudingen veranderen.”

 

Soevereiniteit stopt bovendien niet bij infrastructuur of jurisdictie. De vraag wie daadwerkelijk controle heeft, wordt pas zichtbaar in de dagelijkse operatie: wie beheert de omgeving, wie reageert bij incidenten, en hoe kort zijn de lijnen wanneer het spannend wordt? Binnen het bredere Conclusion-ecosysteem is het Conclusion Enablement dat zich richt op managed services, cloud- en werkplekoplossingen en het continu verbeteren en beheren van IT-omgevingen. Ook daar krijgt soevereiniteit praktische betekenis, benadrukt CTO Marcel Stangenberger.

 

“Neem de groeiende vraag naar lokale service centers. De keuze voor lokale aanwezigheid draait niet om taal alléén; het gaat om directe bereikbaarheid, kennis van de lokale organisatie en processen en snelheid in besluitvorming. In kritieke situaties wil je geen overdracht via meerdere tijdzones, maar korte lijnen met mensen die de omgeving door en door kennen, die weten wat de systemen voor de organisatie betekenen en die dus de impact van verstoringen direct kunnen inschatten.”

 

Diezelfde logica geldt voor SaaS-omgevingen, waar afhankelijkheid vaak minder zichtbaar maar minstens zo reëel is. Conclusion helpt organisaties om daar grip te houden op hun data; niet door SaaS te vermijden, maar door aanvullende maatregelen te nemen. Stangenberger: “Een back-up alleen is niet genoeg; je moet je data zeer frequent veiligstellen en in een werkbaar formaat kunnen terughalen, zodat je daadwerkelijk kunt doorwerken als toegang wordt beperkt. Ons onderscheidend vermogen als groep schuilt dan ook niet in één product of dienst, maar in de combinatie van architectuur, infrastructuur en operatie. En: in het vermogen om per workload, keten, proces of dataset de juiste balans te vinden tussen innovatiekracht, controle, kosten en de inspanning die een transitie vraagt.”

Soevereiniteit is volgens de drie CTO’s nadrukkelijk geen afrekening met hyperscalers. De innovatiekracht van partijen als Microsoft en AWS staat buiten kijf, benadrukt Van Lierop. “Hun platforms leveren schaal en functionaliteit die voor veel organisaties essentieel zijn. Het zou onverstandig zijn om dat te negeren. Maar als je kernprocessen volledig bouwt op één cloudplatform, creëer je een strategische afhankelijkheid. Het gaat erom die afhankelijkheden en de daaraan verbonden risico’s expliciet te maken en ze bewust te accepteren."

 

Dat geldt voor cloudinfrastructuur, maar steeds nadrukkelijker ook voor AI. De snelheid waarmee organisaties AI-diensten in hun processen verweven, introduceert nieuwe afhankelijkheden met hetzelfde patroon: snelheid en gemak gaan voor zorgvuldige architectuur-afwegingkeuze. Het risico zit niet alleen in uitval, maar ook in onverwachte prijsstijgingen, veranderend modelgedrag of het wegvallen van een leverancier. Van Lierop: "Mission critical processen ontwerp je nooit op één enkele leverancier, technologie of platform. Waarom zou je dat met je AI-fundament wel doen?" Stangenberger plaatst dat in een bredere context: “Soevereiniteit draait uiteindelijk om de vraag: kun je doorwerken als het erop aankomt? Dat vereist grip op je data, je omgeving én je mensen.”

Of de publieke aandacht voor soevereiniteit over enkele jaren weer afneemt, is minder relevant dan de structurele beweging die het onderwerp momenteel in gang zet. Het dwingt organisaties om opnieuw naar hun digitale fundament te kijken; niet vanuit angst, maar vanuit een analyse van afhankelijkheden en risico’s. Digitale soevereiniteit draait om weten waar je afhankelijk bent én waar je dat niet wilt zijn, benadrukt Jellema. “Als je dát scherp hebt, kun je innovatie en controle prima combineren.”