BLOG – Elke organisatie streeft naar grip. Grip op data, infrastructuur, compliance en bedrijfscontinuïteit. Zeker in de (semi-)publieke sector is die controle essentieel. Maar wat als je die controle verliest… door te kiezen voor oplossingen die bedoeld zijn om te ontzorgen?
Die paradox zien we vandaag de dag steeds vaker. Hoe moderner en schaalbaarder de it-omgeving wordt ingericht, met backup -as-a-service, security-as-a-service of cloud-firststrategieën, hoe groter de afhankelijkheid van derden. En hoe moeilijker het wordt om in te grijpen als het misgaat. We noemen dat de controleparadox: het gevoel dat alles geregeld is, terwijl je in werkelijkheid steeds minder zelf in handen hebt.
Keerzijde
De massale overstap naar as-a-service-modellen en cloud-first backups lijkt logisch. Het biedt schaalbaarheid, flexibiliteit en minder druk op interne it. Bovendien heb je minder personeel en kennis nodig. Maar dat gemak kent een keerzijde. Je levert ongemerkt controle in op drie vlakken:
- Juridisch
Je data vallen vaak onder een andere jurisdictie, wat betekent dat overheden of toezichthouders toegang kunnen afdwingen, zelfs als de data fysiek in Europe staan. Sterker, zouden ze op verzoek van de overheid toegang tot data en applicaties kunnen blokkeren.
- Operationeel
Als je backup, e-mail of herstelstrategie volledig extern is geregeld, kun je op cruciale momenten vaak niet direct zelf ingrijpen. Denk aan netwerkstoringen, sancties of wijzigingen in service-level agreements (sla’s).
- Technisch
Cloudproviders helpen met certificeringen en contractuele garanties bij wetgeving zoals NIS2 en Dora. Maar dat betekent niet dat je zelf directe controle hebt. Je weet doorgaans niet of de infrastructuur altijd up-to-date is met de gewenste beveiligingsmaatregelen, of wanneer een kritieke patch wordt doorgevoerd. Je vertrouwt op de beloften van je leverancier, terwijl je zelf geen zicht of invloed hebt op hoe data precies wordt opgeslagen, beschermd of hersteld. Immutability, airgap-opslag en fysieke redundantie zijn zelden transparant ingericht, laat staan aantoonbaar onder je eigen regie.
Scenario
De controleparadox is geen hypothetisch scenario. Ze is realiteit en treft organisaties rechtstreeks. In 2021 werd het Duitse Ahrtal getroffen door zware overstromingen. Een ziekenhuis in het rampgebied verloor de toegang tot alle patiëntgegevens, omdat de volledige medische administratie in de cloud stond en de internetverbinding dagenlang uitviel. De zorg kwam letterlijk stil te liggen. Geen toegang betekent geen controle.
Ook op juridisch niveau is controleverlies een tastbare dreiging. In mei 2025 blokkeerde Microsoft op verzoek van de Amerikaanse overheid de mailbox van de hoofdaanklager van het Internationaal Strafhof. Vier rechters van deze instelling staan inmiddels op de Amerikaanse sanctielijst. Amerikaanse technologiebedrijven mogen aan hen geen diensten meer leveren, inclusief toegang tot e-mail en documenten. Wat vandaag software raakt, kan morgen de infrastructuur treffen.
Geen toegang betekent geen controle
Dat het ook anders kan, bewijst een casus uit Düsseldorf. In 2020 werd een ziekenhuis getroffen door een ransomware-aanval die vrijwel alle systemen platlegde. Toch bleven 400 terabyte aan patiëntdata onaangetast, opgeslagen op lokale, hardwarematige worm-systemen van Europese makelij. Dankzij deze onveranderbare en fysiek gescheiden opslagoplossing bleef kritieke informatie veilig en beschikbaar, zelfs toen de rest van het netwerk onbruikbaar was.
Bewustwording
Hoe voorkom je de paradox binnen jouw organisatie? Het antwoord ligt in bewustwording en in de keuzes die je maakt bij het inrichten van je infrastructuur. Organisaties hoeven zeker niet terug naar een volledig on-prem model, maar moeten wel kritisch kijken naar de balans tussen uitbesteden en controle houden. Enkele concrete stappen zijn:
- Hybride infrastructuren combineren cloudvoordelen met lokale controle;
- Immutability en airgap-opslag beschermen data tegen ransomware en menselijke fouten;
- Transparantie in toegang en locatie leiden tot aantoonbare compliance;
- Europese oplossingen voorkomen afhankelijkheid van buitenlandse wetgeving en leveranciers, en resulteren in kortere levertijden en snellere service.
Checkbox
Steeds meer organisaties realiseren zich dat datasoevereiniteit niet ophoudt bij een contract of een checkbox in een sla. Het vraagt om structurele grip. De manier waarop je data opslaat, beveiligt en kunt herstellen, zegt alles over je weerbaarheid – en dus je geloofwaardigheid als publieke of gereguleerde organisatie.
De controleparadox is geen nieuw probleem, maar wordt urgenter naarmate onze afhankelijkheid van cloud- en serviceplatformen toeneemt. Wie de regie terug wil nemen, begint met zicht. En eindigt met keuzes die echte controle mogelijk maken.
Axel Bootink, ceo Comex
Het verhaal dat tijdens overstromingen in het Ahrtal in 2021 een ziekenhuis alle toegang tot patiëntgegevens verloor doordat medische administratie volledig in de cloud was opgeslagen en de internetverbinding dagenlang uitviel is ongefundeerd. Er is geen bekend, betrouwbaar verslag dat dit bevestigt. Wel waren er problemen in de communicatie met hulpverleners doordat noodstroomvoorzieningen weigerden of niet voorzien waren.
Cloud en toegankelijkheid zijn bij rampen daarom betere vrienden dan een Duitse oplossing die zich presenteert als een veilig archiefopslagsysteem en niet als een high-performance NAS of SAN. Want paradox zit in het oude principe van 3 kopieën op 2 verschillende media waarvan er 1 off-site is zodat je bij rampen een uitwijk hebt, het plan B van de back-up. Want manier waarop je de data opslaat, beveiligt en kunt herstellen zegt namelijk niks over je weerbaarheid als 90% van de data irrelevante archiefdata is. De relevantie van de data gaat om de de waarde voor het proces want financiële rapportages van 7 jaar oud hebben geen Recovery Time Objective (RTO) van enkele uren.
bijzonder om een lokale overstroming met cloudrisico’s te verbinden.
ik knuffel graag servers, maar niet onder water.
Daarna de manke vergelijking met een ransomware aanval.
onduidelijk waarom je in cloud geen immutable backup zou kunnen maken.
Als je wilt kun je het Brick en Cube as a Service noemen, werkt ook als het regent.
Buiten-Europese afhankelijkheid is wel een punt.
Controleparadox is echter niet weg, want waarom zou je Comex wel vertrouwen ?