Dit is een vraag die we tegenwoordig steeds vaker van cliënten krijgen. De aanleiding ligt meestal in de huidige geopolitieke ontwikkelingen en de berichtgeving daarover. We zijn inmiddels allemaal bekend met de (juridische) grenzen van de Europese Economische Ruimte (EER) onder de AVG, maar het vraagstuk van digitale soevereiniteit reikt verder dan dat. Het gaat nadrukkelijk over (ongewenste) afhankelijkheden van technologie en leveranciers in het algemeen. Wat betekent dit voor u als organisatie? En, wat kunt u hier concreet mee? In deze blog leest u er meer over.
In de praktijk worden de begrippen digitale autonomie en digitale soevereiniteit vaak door elkaar heen gebruikt. Afhankelijk van welk stuk (van wie) u leest over dit onderwerp, kan de betekenis verschillen.
In algemene zin draait digitale soevereiniteit om de mate waarin u als organisatie grip heeft op uw IT- en OT‑landschap en op de data die daarin wordt verwerkt. Denk hierbij onder meer aan inzicht, controle en de mogelijkheid om van systeem en bijbehorende leverancier te wisselen als u dat wilt. In die zin lijkt digitale soevereiniteit op het ideale huwelijk: u weet wat u aan elkaar heeft, de verhoudingen zijn evenwichtig, afspraken worden nagekomen, er kunnen geen ongenode ‘derden’ opduiken die de boel ontregelen en als u het onderling niet meer zo gezellig heeft dan kunt u zonder al teveel kleerscheuren uit elkaar gaan.
Om maar meteen duidelijk te zijn: digitale soevereiniteit is (wederom net als een geslaagd huwelijk overigens) geen thema dat u even snel afvinkt. De meeste processen binnen organisaties zijn inmiddels immers sterk verweven met systemen die worden beheerd door een beperkt aantal grote leveranciers, waardoor een snelle overstap complex en vaak niet direct realistisch is. Daar komt bij dat het aanbod van alternatieven vaak (nog) beperkt is en dat veel organisaties een relatief zwakke onderhandelingspositie hebben ten opzichte van de grote (internationaal opererende) leveranciers. Digitale soevereiniteit vraagt daarom om een strategische, meerjarige aanpak. Om deze aanpak te kunnen realiseren is het belangrijk dat uw organisatie scherp krijgt:
Een praktische manier om dit onderwerp aan te pakken, is door digitale soevereiniteit onderdeel te laten uitmaken van het bestaande risicomanagementproces binnen uw organisatie. Veel organisaties zijn namelijk al gewend om op technisch vlak voor de thema’s privacy en cybersecurity te werken met risicoanalyses, mitigerende maatregelen (juridisch én technisch) en bestuurlijke besluitvorming. Daarbij is vaak al duidelijk welke processen (en daarmee de ondersteunde systemen) bedrijfskritisch zijn voor uw organisatie. Voor deze bedrijfskritische processen en systemen zult u dus als eerste in kaart willen brengen wat de huidige afhankelijkheidsrisico’s zijn en naar welke niveau van digitale soevereiniteit u (in stappen van bijvoorbeeld 5 en 10 jaar) toe wilt werken. Om dit gedocumenteerd vast te leggen, kunt u gebruik maken van bestaande modellen zoals het ‘Cloud Sovereignty Framework’ van de Europese Commissie of het Nederlandse ‘Soevereiniteit clouddiensten: Toetsingsinstrument’ van DICTU.
Tot slot geef ik u graag nog één tip mee: pak dit onderwerp op voordat u nieuwe samenwerkingen aangaat en niet pas als de samenwerking al staat. In de ‘wittebroodsweken’ is de bereidheid om elkaar tegemoet te komen nu eenmaal het grootst, inclusief mooie contractuele beloftes voor onderwerpen zoals sleutelbeheer, data portabiliteit, change of control en exit strategieën. (Maar daar laten we de huwelijksmetafoor dan ook echt bij ;) ).
Heeft u vragen over digitale soevereiniteit, het uitvoeren van risicoanalyses op dit gebied of het voeren van contractonderhandelingen met leveranciers? Wij denken graag met u mee. Neem gerust contact met ons op met Michelle Wijnant, advocaat IT, Privacy & Cybersecurity.
Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Schrijf u dan in voor onze nieuwsbrief!
