Dit is wat u moet onthouden over data- en cloudsoevereiniteit

Data is enorm waardevol voor alle organisaties, het is een belangrijke bron voor de digitale economie en volgens de Europese Commissie is het ‘het fundament van ons Europese industriële concurrentievermogen’. Maar de waarde van data wordt bepaald door hoe data-eigenaren het beschermen en gebruiken.

De uitdagingen rondom het beheer en opslaan van gevoelige en belangrijke data nemen toe. De hoeveelheid zeer gevoelige data die op dit moment in de cloud wordt gehost, neemt ook toe. Volgens IDC is bij 64% van de organisaties in EMEA de hoeveelheid gevoelige data toegenomen en 63% heeft al vertrouwelijke en geheime data in de public cloud opgeslagen. Om deze zeer gevoelige data – financiële, persoonlijke, nationale of cruciale informatie – te beheren, is datasoevereiniteit nodig. Hierbij is informatie gebonden aan privacywetten en governance-structuren binnen een land, sector of organisatie. Het feit dat zulke belangrijke data wordt opgeslagen in public clouds zou ervoor moeten zorgen dat organisaties nadenken over hun toekomstige cloudstrategie en de noodzaak van soevereine clouds.

Tot op heden is er echter geen standaarddefinitie of Europese certificering om een cloud als ‘soeverein’ te bestempelen. Er is zelfs geen gemeenschappelijke terminologie: ‘sovereign cloud versus trusted cloud’. Wat wel glashelder is, zijn de belangrijkste vereisten voor vertrouwelijke en gevoelige data, zoals controle over data en metadata, residency en blootstelling aan externe jurisdictie. Er moeten afspraken worden gemaakt over datasoevereiniteit, zodat organisaties begrijpen hoe ze de controle over hun data kunnen houden en het juiste platform kunnen kiezen om hun data op te hosten en op een veilige manier te innoveren.

Buiten de technische teams wordt dit echter niet altijd begrepen. Hier volgen vijf belangrijke aandachtspunten waarmee u de waarde van een veilige datastrategie aan kunt tonen en kunt uitleggen waarom er geen datasoevereiniteit is zonder cloudsoevereiniteit.

1) Classificatie van data bepaalt de cloudkeuze

Klantinformatie wordt tegenwoordig niet meer opgeslagen in één monolithische database. Daarom is het essentieel dat organisaties hun data en applicaties beheren in een multi-cloudomgeving, waarbij de applicatie, workload en het soort data bepalen welke cloud er wordt gebruikt. Uit ons onderzoek blijkt dat bijna de helft van de organisaties (47%) begrijpt dat het gebruik van meerdere clouds hen zal helpen uitdagingen op het gebied van security en privacy aan te pakken – en dat ze tegelijkertijd hun data beter kunnen verzilveren. De organisaties die dit niet omarmen, zullen achterop raken.

Hoewel organisaties tegenwoordig vaak verschillende clouds gebruiken om hun data en applicaties te beveiligen en beheren, zien we dat organisaties met het oog op soevereiniteit hun gebruik herzien, waarbij ze een mix van clouds gebruiken met verschillende niveaus van controle en certificering. Dit hangt af van het soort data, bijvoorbeeld het volume, de gevoeligheid, het kritieke karakter en de exploiteerbaarheid; de prioriteiten van de data-eigenaar, zoals privacy en economisch voordeel; en regelgeving. Datasoevereiniteit begint daarom met de classificatie van data, om te zorgen voor specifieke garanties en mogelijkheden wat betreft data residency, databescherming, interoperabiliteit en portabiliteit. Organisaties kunnen vervolgens de beste clouds voor de taak kiezen, van soevereine private clouds tot soevereine public clouds en trusted public clouds – waarbij ervoor moet worden gezorgd dat ze voldoen aan de regels voor soevereiniteit en jurisdictie.

Tot nu toe vertrouwden organisaties erop dat cloudproviders hun beloften inzake datasoevereiniteit nakomen. Helaas blijkt uit recent onderzoek door toezichthouders dat niet alle providers gelijk zijn, sommige worden zelfs publiekelijk onderzocht om er zeker van te zijn dat zij de plank niet misslaan. In Duitsland wordt één provider onderzocht op naleving van de AVG en een andere heeft recent een nieuwe belofte op het gebied van digitale soevereiniteit gedaan, waardoor sommige klanten vraagtekens zetten bij hun prestaties tot nu toe.

Daarom is het belangrijk dat beslissers er niet automatisch van uitgaan dat alle wereldwijde hyperscale cloudproviders datasoevereiniteit ondersteunen, aangezien het portfolio, de data en applicaties beperkt zijn tot wat in een regio kan worden uitgevoerd. De fysieke locatie van data is niet voldoende om aan soevereiniteit te voldoen. Voor bijna alle data is juridische controle vereist, wat niet per definitie bereikt kan worden met een data resident cloud, met name voor Amerikaanse of wereldwijde cloudproviders die onder de CLOUD Act en FISA regulering vallen. De flow en het beheer van data zijn ook belangrijk, net als de consumentenrechten in het land waar u de data verzamelt. Het kan een ongelofelijk verwarrend web zijn om te ontwarren en te begrijpen.

2) Veilige data stimuleert het succes

Data is ongetwijfeld de motor van succes en beslissers weten dat. Een mooi voorbeeld is McDonald’s, dat bezoekersdata gebruikte om de effectiviteit van zijn iconische Piccadilly Circus-billboards te beoordelen en besloot zijn marketinguitgaven te gebruiken voor kleinere, gepersonaliseerd advertenties. Dit leidde tot meer bezoekers op de gewenste locaties en uiteindelijk tot meer verkoop.

Uit onderzoek dat we eerder dit jaar hebben uitgevoerd, blijkt dat tegen 2024 95% van de organisaties in EMEA hun data zal zien als belangrijke stimulans voor hun inkomsten, waarbij 46% het ziet als een belangrijke bron van inkomsten – wat op dit moment 29% is. En aangezien de ‘datamarkt’ al 2,9 miljard dollar bedraagt en hier tegen 2027 nog eens meer dan 4 miljard dollar bij komt, is het niet vreemd dat meer bedrijfsleiders hierin mee willen. Volgens de Europese Commissie is de verwachting dat de data-economie in Europa tegen 2025 ervoor zal zorgen dat het BBP van 2,6% naar 4,2% zal groeien.

Tegelijkertijd zijn organisaties zich ervan bewust dat ze voorzichtig om moeten gaan met hun datastrategieën om privacy van klanten te waarborgen. De bezorgdheid onder consumenten neemt toe. Er komen veel nieuwe regelgevingen aan, zoals DORA, waarmee moeilijk te harmoniseren regelgeving en rapportagenormen in het bankwezen binnen de EMEA kunnen worden geharmoniseerd. Maar zelfs met deze vereenvoudiging in het verschiet kan het voor bedrijven die internationaal actief zijn ingewikkeld zijn om aan deze regelgeving te voldoen.

3) Lokale wetgeving hoeft geen belemmering te zijn

Hoewel de waarde van data duidelijk is, heeft men vaak begrijpelijke bedenkingen bij de regelgeving. De wetten rondom datasoevereiniteit verschillen van land tot land. Meer dan 100 landen hebben hun eigen standaarden over hoe data moet worden behandeld en opgeslagen binnen hun soevereine grenzen. Bovendien veranderen deze voortdurend. Organisaties die deze wetten overtreden, kunnen boetes van honderden miljoenen dollars krijgen en door de consument als onbetrouwbaar worden gezien. Meta heeft bijvoorbeeld een boete van 390 miljoen euro gekregen van de Irish Data Protection Commission, na haar inbreuken op de privacy op Facebook en Instagram.

De meeste mensen (87%) zijn bereid weg te gaan bij een bedrijf als er een datalek plaatsvindt – hun vertrouwen is net zo waardevol als valuta. Dus hoe kunnen bedrijven klantdata verzamelen zonder het vertrouwen van hun klanten te schaden? Dit hangt af van het vermogen van een bedrijf om data die zich in meerdere clouds bevindt te delen, monetariseren en beschermen.

4) Bouw relaties op met een netwerk

Bedrijven zouden relaties op moeten bouwen met een van de nieuwe wereldwijde netwerken van soevereine cloudproviders die samenwerken om te zorgen dat data beschermd wordt, compliant is en binnen een nationaal grondgebied blijft. Samenwerken met een entiteit die zowel nationale als lokale partners heeft, garandeert dat een bedrijf aan niche-eisen voldoet. Het zorgt er ook voor dat beslissers de juiste cloud kunnen kiezen voor een specifieke dataclassificatie, met betere governance rondom datamobiliteit. Deze gespecialiseerde clouds worden beheerd door een soevereine entiteit, zodat ze zijn vrijgesteld van controle door buitenlandse rechtbanken. Met een soevereine cloud wordt data beheerd door nationale burgers met de relevante nationale veiligheidsmachtigingen.

Naarmate meer bedrijven hun data monetariseren om inkomsten te genereren, worden soevereine clouds een integraal onderdeel van een “cloud-smart”-strategie, waardoor bedrijven hun bedrijfsactiviteiten in meerdere clouds kunnen runnen om hun eindklant beter van dienst te zijn en strategisch voordeel te behalen. Als het management geen idee heeft wat datasoevereiniteit inhoudt, zorg er dan voor dat iedereen de vijf punten uit dit artikel begrijpt. Vertrouwen is essentieel, zowel tussen B2C als B2B. Zorg dat uw datastrategie niet strandt door verkeerde aannames over datasoevereiniteit.

5) Datasoevereiniteit stimuleert innovatie

Soevereiniteit is zo belangrijk omdat het ervoor zorgt dat bedrijven hun data op een innovatieve manier kunnen gebruiken en nieuwe digitale diensten kunnen leveren. Historisch gezien is er een gebrek aan vertrouwen in de cloud, wat leidt tot een gebrek aan innovatie. Enkele van de grootste en belangrijkste bedrijven die data genereren, zoals de financiële sector en de gezondheidszorg, gebruiken nog steeds niet de public cloud vanwege vrees voor privacy. Hierdoor zijn ze minder goed in staat om te innoveren en het betekent dat ze niet profiteren van andere voordelen van cloudtechnologie, zoals kostenbesparing, flexibiliteit en schaalbaarheid. Daarom is het cruciaal dat we leren van de fouten uit het verleden en vanaf start zorgen voor soevereine data. Soevereine cloud wordt tegenwoordig steeds meer gezien als een belangrijke enabler voor ‘datagedreven’ innovatie.

Door: Robert van Schayk (foto), Director Enterprise Public Netherlands, VMware