Soevereiniteit.
Het woord soevereiniteit is bijna niet meer weg te denken uit het maatschappelijke debat over Cloud en Big-tech. Soevereiniteit is overal, maar de betekenis is nergens hetzelfde — en juist die verwarring maakt ons kwetsbaar. Het is jammer dat de discussie vaak verzandt in semantiek en onoverbrugbare tegenstellingen, want het leidt ons af van het werkelijke doel: het vinden van passende en realistische oplossingen die onze collectieve digitale afhankelijkheid beheersbaar maken.
In dit kader spreek ik liever over ‘beschikkingsmacht’. Waar soevereiniteit voor velen te abstract blijft, gaat beschikkingsmacht over de heel concrete bevoegdheid om over een goed, vermogen of zaak te beschikken; zoals verkopen, bezwaren of gebruiken naar eigen goeddunken. Het omvat zowel de juridische bevoegdheid (het eigendom) als de feitelijke controle (de macht) daarover.
Door de bril van ‘beschikkingsmacht’ wordt het zakelijke perspectief op Cloud en Big-tech kraakhelder. De kernvraag is simpel: waar wringt de schoen als we de controle over specifieke IT-functies, capaciteiten en informatie verliezen? En bovenal: is dat verlies juridisch, bestuurlijk of operationeel acceptabel?
Het perspectief van ‘beschikkingsmacht’ maakt kritische vragen stellen makkelijker. Neem het verwerken van persoonsgegevens in een Amerikaans SaaS-product. Als organisatie ben je wettelijk verantwoordelijk. De burger moet zijn privacy-rechten bij jóú kunnen uitoefenen. Kun je die belofte nog wel nakomen als je de feitelijke controle over de data kwijt bent? Het antwoord laat zich raden.
Tegelijkertijd helpt dit perspectief om ingewikkelde discussies te nuanceren. Er zullen altijd informatiestromen zijn waarbij het verlies van beschikking minder kritiek is, of waarbij een andere mix van Cloud-diensten, alternatieve werkwijzen of maatregelen zo worden ingericht dat het verlies op een specifieke deelfunctie geen direct risico meer vormt.
Als handreiking adviseer ik met de bril van beschikkingsmacht te kijken naar de aandachtsgebieden in het ROT-model (Recht, Organisatie, Techniek) van Brenno de Winter. Hiermee kun je gerichte vragen stellen over het bestaande landschap.
Ik geef enkele voorbeelden:
Recht (Juridische beschikkingsmacht)
Hebben we het juridische recht om controle op te eisen?
- Exit-clausules: Wetten als DORA, NIS2 en de CRA schrijven voor om exit-clausules op te nemen. Wordt de leverancier contractueel verplicht mee te werken aan een succesvolle exit en zijn de kosten hiervan vooraf vastgelegd?
- Jurisdictie en toegang: Valt de data onder de bescherming van de AVG, of heeft een buitenlandse mogendheid (via de Cloud Act of FISA Section 702) voorrang op jouw beschikkingsmacht?
- Afdwingbaarheid: Is het contract onderworpen aan Nederlands of Europees recht? Zonder een bevoegde rechter binnen de EU zijn contractuele afspraken vaak een tandeloze papieren tijger.
- Data-eigendom: Is onomstotelijk vastgelegd dat alle data, inclusief door het systeem gegenereerde metadata, jouw onvervreemdbare eigendom zijn?
Organisatie (Bestuurlijke beschikkingsmacht)
Zijn we als organisatie in staat om regie te voeren?
- Regie en kennis: Hebben we intern nog voldoende kennis om de dienst te begrijpen? Als alle expertise bij de leverancier zit, is er feitelijk geen sprake meer van beschikkingsmacht.
- Plan-B strategie: Is er een alternatieve leverancier of scenario in kaart gebracht? Een exit-clausule is waardeloos als de organisatie technisch of operationeel nergens heen kan.
- Leveranciersmanagement: Wordt er periodiek getoetst of de leverancier nog voldoet aan de eisen, of is het verworden tot ‘get-it and forget-it’ dienstverlening?
Techniek (Operationele beschikkingsmacht)
Kunnen we data en processen feitelijk verplaatsen?
- Interoperabiliteit: Maakt de leverancier gebruik van open standaarden? Bij gesloten, leverancier-specifieke formaten is ‘beschikken’ technisch onmogelijk.
- Data-portabiliteit: Hoe snel kunnen we data extraheren? Is de infrastructuur berekend op een migratie zonder onacceptabele downtime?
- Sleutelbeheer: Wie beheert de encryptiesleutels? Heb je deze zelf in handen (Hold Your Own Key) of heb je gegarandeerde toegang via noodprocedures (break-the-glass)?
Tot slot
Digitale soevereiniteit is geen ideologisch luxeartikel, maar een keiharde zakelijke randvoorwaarde. Door de discussie te verplaatsen van het abstracte ‘soevereiniteit’ naar de concrete ‘beschikkingsmacht’, wordt de opgave beheersbaar. Het gaat er niet om dat we de Cloud de rug toekeren, maar dat we bewust bepalen op welke onderdelen we de regie nooit uit handen mogen/willen geven.
Of het nu gaat om de rechten van burgers onder de AVG of de operationele weerbaarheid onder DORA. Gebruik het ROT-model als een kompas voor een gezonde digitale toekomst. Want pas als je juridisch, bestuurlijk en technisch kunt beschikken over je eigen IT-landschap, ben je werkelijk soeverein.
Hebt u vragen naar aanleiding van dit artikel. We staan u graag te woord. Neem vandaag nog contact met ons op.