Trump, China en de cloud: Wat betekent dit voor uw digitale soevereiniteit?

De digitale wereld van vandaag wordt steeds complexer en onzekerder.

Oorlogen en dreigingen vanuit China zorgen voor meer geopolitieke spanningen. Het beleid van Trump zette een rem op de internationale handel, die de afgelopen 40 jaar juist bloeide door samenwerking en wereldwijde toeleveringsketens. Nu grenzen vervagen en nationale belangen belangrijker worden, zijn digitale soevereiniteit en autonomie cruciaal voor uw bedrijf om te groeien en te overleven. U moet uw data beschermen, zelf beslissen over uw IT-systemen en zorgen dat uw bedrijfsprocessen blijven draaien zonder inmenging van buitenaf. Dit is een topprioriteit geworden. Deze blogpost, gebaseerd op gesprekken met onze klanten en onze samenwerking met Microsoft, gaat dieper in op deze thema’s en de rol van de cloud.

Waarom de cloud? Een terugblik

Voordat we het over soevereiniteit hebben, kijken we eerst naar de redenen waarom organisaties zoals die van u naar de cloud zijn overgestapt. De cloud stimuleert economische groei en verbetert IT-diensten omdat:

• De cloud dingen beter en goedkoper regelt dan uw bedrijf zelf kan.
• De cloud flexibel is: u kunt makkelijk op- en afschalen bij drukte of rust.
• De cloud geavanceerde cybersecurity biedt.
• U zich geen zorgen hoeft te maken over IT en zich kunt focussen op uw core business.

U heeft ook te maken met uitdagingen, zoals oude systemen, verouderde beveiliging en schaduw-IT. Daarom is het belangrijk om moderne databeveiligingsmaatregelen te nemen, zeker nu Gen-AI opkomt. Het Microsoft Digital Defense Report van 2024 laat zien dat bij 80% van de bedrijven de systemen zo zijn ingericht dat belangrijke onderdelen kwetsbaar zijn voor aanvallen.

Digitale autonomie: Wat is het?

Digitale autonomie is een vrij nieuw begrip. Wat houdt het precies in voor u? Digitale autonomie bestaat uit 3 belangrijke elementen:

1. Datasoevereiniteit: Dit gaat over wie toegang heeft tot uw bedrijfsdata. De regel is dat data valt onder de wet- en regelgeving van het land waar het is opgeslagen. De belangrijkste vraag hierbij is: kan iemand anders mijn data zien?
2. Resilience (weerbaarheid): In een onzekere wereld is het cruciaal om snel te herstellen van incidenten en u aan te passen aan veranderingen. Dit betekent dat de business moet blijven draaien, ook bij rampen of cyberaanvallen.
3. Strategische autonomie: Dit is de vrijheid om zelf beslissingen te nemen, zonder invloed van leveranciers, overheden of anderen. De hamvraag hier is: kan ik altijd bij mijn data?

Wat is soevereiniteit?

De traditionele definitie van soevereiniteit is de hoogste macht binnen een staat. Het gaat om het vermogen van een staat om zichzelf te besturen en zich te verdedigen. Digitaal betekent dit dat u uw data beschermt en zorgt voor rechtmatige toegang.

Microsoft’s commitment aan databescherming

Microsoft beschermt al meer dan 10 jaar klantdata en garandeert dat uw data van u blijft. Er is uitgebreide documentatie en openheid over hun beveiligingsprocessen. Ze hebben een perfecte staat van dienst in de Europese publieke sector. Als een geheimhoudingsbevel Microsoft verbiedt om u te informeren over een overheidsverzoek om toegang tot uw data, zal Microsoft juridische stappen ondernemen om dit bevel aan te vechten. Microsoft zal u compenseren voor schade als gevolg van het openbaar maken van uw persoonsgegevens in strijd met de AVG. Zulke verzoeken worden streng getoetst volgens de hoogste juridische normen in de VS.

Uit data-aanvragen voor zakelijke klantdata in de eerste helft van 2024 blijkt dat van de 27.000 verzoeken minder dan 1% (166) juridische eisen aan klantdata betroffen. Van deze 166 verzoeken gaf Microsoft data aan de Amerikaanse overheid over één niet-Amerikaanse klant wiens data buiten de VS was opgeslagen. Deze klant zat niet in de EU/EFTA. Er waren geen andere gevallen waarin bedrijfsdata zonder toestemming werd gedeeld over de grens.

Kortom, Microsoft neemt de bescherming van uw klantdata serieus en heeft de volgende principes en maatregelen:

• De klant bezit zijn eigen data (cross-cloud commitment).
• Uitgebreide documentatie en transparantie over de beveiliging.
• Een uitstekende staat van dienst in de Europese publieke sector.
• De belofte om juridische stappen te nemen tegen geheimhoudingsbevelen die klanten verbieden te informeren over overheidsverzoeken om toegang tot hun data.
• Compensatie voor klanten bij schade door het openbaar maken van persoonsgegevens in strijd met de AVG.
• Strenge controle van verzoeken volgens de hoogste juridische normen (nauwkeurig omschreven, minst beperkende middelen, dwingend overheidsbelang).

De Microsoft EU Data Boundary

De Microsoft EU Data Boundary (EUDB) is een oplossing waarmee u uw klantdata, gepseudonimiseerde persoonsgegevens in systeemlogs en Professionele Services Data kunt opslaan en verwerken binnen de EU. Dit geldt voor Microsoft 365, Azure, Power Platform en Dynamics 365 online services, zoals staat in de Product Terms. De EU Data Boundary versterkt Microsoft’s toezeggingen op het gebied van data residency voor klant- en persoonsgegevens die worden opgeslagen en verwerkt in de EU en de EFTA.

Soevereiniteit: Afwegingen en technologie

Er is een duidelijk spanningsveld tussen de voordelen van de cloud en uw behoefte aan soevereine controle. De cloud biedt schaalbaarheid, innovatie, cybersecurity, betrouwbaarheid, kostenbesparing, flexibiliteit en redundancy. Maar er is ook een keerzijde: uw behoefte aan controle over soevereiniteit, residency en operations.

Microsoft biedt een Sovereign Control Portfolio om workloads te beschermen tegen toegang van buitenaf met geavanceerde soevereiniteits- en encryptiecontroles, zoals confidential computing en Azure Managed HSMs. Daarnaast zijn er Sovereign Guardrails & Guidance in de vorm van architecturen, beleid, templates en tooling om u te helpen bij het creëren van conforme architecturen en het beantwoorden van soevereiniteitsvraagstukken. Compliance & Transparency worden gegarandeerd door lokale beleidspakketten en meer openheid in de operations van de omgeving. Microsoft Cloud for Sovereignty helpt overheden bij hun digitale transformatie door te voldoen aan compliance-, security- en beleidseisen.

Dit omvat verschillende technologieën en oplossingen:

• Sovereign Landing Zones
• Azure Key Value Managed Hardware Security Module (HSM)
• Azure Confidential Computing (ACC)
• Azure Customer Lockbox
• Azure Boost
• Azure Government Cloud (alleen VS)
• MS Cloud for Sovereignty (wereldwijde oplossing)
• Virtual Data Embassy (beveiligde cloudomgevingen voor gevoelige workloads)
• Azure Virtual Enclaves
• Azure Sovereign Regions (Bleu – Frankrijk, Delos – Duitsland)
• Azure Hybrid (Azure Local/ Azure Arc) (voor gedistribueerde locaties met cloud management)

Operationele soevereiniteit en resiliente infrastructuur

Microsoft investeert fors in een resiliente infrastructuur met 65+ Azure Regions en 300+ datacenters wereldwijd, verbonden door 442.000+ km aan fiber en onderzeese kabels. Regions zijn sets van datacenters dicht bij elkaar, verbonden door een snel netwerk. Availability Zones zijn fysiek gescheiden locaties binnen een regio. Region pairs bieden redundantie en business continuity binnen dezelfde regio. Geographies (geo’s) zijn afzonderlijke markten van twee of meer regio’s die data residency en compliancegrenzen behouden. Microsoft heeft 17+ datacenters in Europa en heeft de afgelopen 16 maanden meer dan 20 miljard USD geïnvesteerd in AI en cloudinfrastructuur in Europa.  

Business continuity, dependencies en exit-strategie

Een belangrijk aspect van digitale soevereiniteit is het waarborgen van business continuity en het in kaart brengen van dependencies. Het ontwikkelen en testen van business continuity plannen en een exit-strategie is essentieel voor u. Microsoft biedt gratis egress voor klanten die Azure verlaten en hun data meenemen. Daarnaast zijn er sterke contractuele clausules en uitgebreide beveiligingsmaatregelen voor de bescherming van uw klantdata. Microsoft heeft bewezen juridische stappen te nemen tegen overheidsverzoeken.

Waar te beginnen?

Microsoft en Intwo adviseren u om de volgende stappen te nemen op weg naar digitale soevereiniteit:

• Voer een organisatorische digital sovereignty risk analysis uit op basis van waarschijnlijkheid en impact.
• Bereid business continuity plannen en een exit-strategie voor en test deze.
• Begrijp de technologische en architecturale opties.
• Identificeer kritieke assets, applicaties en data en breng dependencies in kaart.
• Ontwerp met een balans tussen het acceptabele risiconiveau en de acceptabele vermindering van voordelen.

Afsluiting

Digitale soevereiniteit is cruciaal voor uw organisatie in de huidige digitale wereld. De cloud biedt veel voordelen op het gebied van flexibiliteit, innovatie en cybersecurity, maar roept ook vragen op over data sovereignty, resilience en strategic autonomy. Microsoft biedt verschillende oplossingen, zoals de EU Data Boundary, om aan deze eisen te voldoen en benadrukt het belang van transparantie en databescherming. U moet de voordelen van de cloud afwegen tegen de noodzaak van soevereine controle en een goede risicoanalyse, business continuity plan en exit-strategie ontwikkelen.

Heeft uw organisatie moeite met digitale soevereiniteit en zoekt u hulp om hiermee om te gaan? Neem dan contact op met Intwo. Onze experts hebben de kennis en ervaring om uw organisatie te helpen bij het ontwikkelen van een strategie die past bij uw specifieke behoeften en compliance-eisen. Zo kunt u profiteren van de cloud, met de zekerheid dat uw digitale soevereiniteit gewaarborgd is.