Digitale autonomie vraagt nuance: geen zwart‑witdenken, maar per toepassing een onderbouwde risicoafweging. Dat stelt NLdigital, de branchevereniging voor de digitale sector in Nederland, in een visie op het gebruik van cloud en digitale autonomie.
De vereniging, met leden variërend van grote internationale techbedrijven tot mkb‑dienstverleners en startups, was gevraagd om een schriftelijke inbreng voor een rondetafelgesprek in de Tweede Kamer over de (beoogde) overname van Solvinity door Kyndryl en de gevolgen voor DigiD. Die transactie naar een Amerikaanse leverancier baart de Kamer zorgen. Ook de overheid heeft er moeite mee.
Omdat Kyndryl lid is van NLdigital kan de brancheorganisatie in beginsel geen reactie geven op dit specifieke geval. Wel komt NLdigital met kanttekeningen en suggesties. Solvinity is leverancier van het platform waarop DigiD steunt. Dit platform wordt beheerd door Logius en draait in een overheidsdatacentrum. Het contract hiervoor loopt dit jaar af.
De discussie over digitale autonomie moet gebaseerd zijn op risico’s en beheersmaatregelen, aldus NLdigital. Schadelijk voor die discussie zijn simplificaties zoals ‘binnenland is veilig, buitenland is risicovol’. Verder moet het leveranciersrisico worden beoordeeld. Dat risico gaat over controleverlies. Dit geldt voor beschikbaarheid, integriteit en vertrouwelijkheid. Afhankelijkheden bestaan altijd, ook bij eigen beheer. En de herkomst van een leverancier is geen goede proxy voor risico; jurisdictie en toepasselijk recht zijn relevanter.
Meer controle vraagt investeringen in kennis, beveiliging en schaal. Maximale soevereiniteit zonder middelen kan juist leiden tot lagere veiligheid, zo waarschuwt de vereniging. De juiste balans verschilt per toepassing en dreigingsbeeld.
Scenario’s
NLdigital adviseert organisaties vier soorten scenario’s te doordenken: juridisch, cybersecurity, continuïteit leverancier en geopolitiek/handel. Onder dat laatste vallen sancties zoals de invoerheffingen waarmee de Amerikaanse president Trump dreigt als hij Groenland niet krijgt.
De branchevereniging benadrukt dat moderne beveiliging voortdurende technische verificatie vraagt, niet blind vertrouwen. Digitale autonomie vereist ook verantwoordelijkheid bij de afnemer. Denk ook aan dataclassificatie, toegangsbeheer en encryptiebeheer. Diversificatie kan risico’s spreiden, maar verhoogt soms complexiteit. Exit‑strategieën, interoperabiliteit en contractuele afspraken moeten vanaf het begin worden ingericht.
De discussie over digitale autonomie in de context van verantwoord cloudgebruik verdient beter dan zwart-witframes, houdt NLdigital de Tweede Kamer voor. Niet alles moet per definitie ‘soeverein’ zijn, en geen enkele oplossing is risicoloos. Wat wél werkt is per toepassing een bewuste keuze maken op basis van concrete risico’s en aantoonbare maatregelen, aldus de brancheclub.
