BLOG – De roep om meer ict-autonomie klinkt onweerlegbaar. Minder afhankelijk van Amerikaanse hyperscalers. Meer grip op data. Minder geopolitiek risico. Maar het debat adresseert het verkeerde risicotype.
Het geopolitieke scenario – ‘een buitenlandse regering draait de knop om’ – is een laagfrequent, extreem scenario. Het risico bestaat, maar is zeldzaam en speculatief. De dagelijkse werkelijkheid van it-onveiligheid is anders: phishing, misconfiguraties, identity-sprawl, trage patching, tokenmisbruik, gebrekkige detectie en respons. Operationele zwakte waardoor systemen daadwerkelijk omvallen, ook nog steeds na conformeren aan 25 jaar NIS, GDPR, Dora, enz.
Toch richten we ons beleid op het zeldzame risico en niet op het structurele. Dat is geen toeval. Ons bestuurlijk systeem wordt afgerekend op zichtbare calamiteiten, niet op onzichtbare gemiste kansen. Regelgeving minimaliseert aantoonbare schade, maar verandert ook kansverdelingen. Innovatie is geen lineair proces, het is een staartverschijnsel. Doorbraken ontstaan uit variatie, experiment en een hoge fouttolerantie. Wie variatie dempt, dempt de kans op nieuw succes. Dat zie je niet terug want gemiste successen laten geen sporen na.
We richten ons beleid op het zeldzame risico en niet op het structurele
De Europese halfgeleidergeschiedenis laat zien hoe dat werkt. Ambitieuze programma’s halen zelden hun oorspronkelijke doel maar de opgebouwde competenties blijken later ook veel waardevoller dan het beoogde resultaat. Toevallige combinaties van mensen, technologie en marktkansen leveren uiteindelijk de doorbraken op. Juist die toevalligheid moet meer onderdeel van het mechanisme worden gemaakt.
Drempels
Als we vandaag autonomie definiëren als het systematisch uitsluiten van bestaande aanbieders, stapelen we drempels in een ecosysteem dat leeft van doorlaatbaarheid. Subsidie- en aanbestedingsregimes verschuiven risico’s naar ondernemers, terwijl beslissingsmacht richting toetsingskaders van overheden verschuift. Private investeerders worden risicomijdend als exit-scenario’s juridisch verstarren. Groei wordt ‘bet-the-company’, omdat terugschalen juridisch en financieel onvoorspelbaar of zelfs voorspelbaar onhaalbaar is.
Ict-autonomie dreigt zo het verkeerde probleem te lossen en oude problemen weer te introduceren. Voorstanders van strengere kaders hebben een valide punt: zonder regulering ontstaan machtsconcentraties en systeemrisico’s. Maar regulering die uitsluitend schade wil voorkomen, zonder systematisch te toetsen wat zij aan kansruimte vernietigt, is bijziend voor haar eigen keerzijden.
Minder afhankelijk
De kernvraag rond ict-autonomie is dus niet: hoe worden we minder afhankelijk maar verschuiven we afhankelijkheid niet ook naar een systeem dat minder schaal, minder incidentervaring en minder herstelvermogen heeft? Veiligheid is niet alleen juridische soevereiniteit. Veiligheid is operationele competentie. Die ontstaat door jarenlange innovatie en de noodzaak om te overleven. Dat vermogen kopieer je niet bij voorbaat door leveranciers te nemen. Wie niet innoveert, kan niet falen. Wie niet groeit, hoeft niet te herstructureren. Beleid lijkt zo te werken terwijl de kansruimte krimpt.
Misschien moeten we autonomie niet definiëren als uitsluiting, maar als het vergroten van keuzevrijheid, experimenteerruimte en terugschakelbaarheid. Dat is wellicht een ongemakkelijke gedachte in een tijd waarin maximale controle als grootste deugd geldt.
Rob Koelmans, directeur MetaMicro Automatisering
Blij met disaster recovery, ook al gaan disasters altijd om laagfrequent, extreem scenario. Operationele competentie wordt een uitdaging als je geen uitwijk voor je verdwenen Datacenter meer hebt. In het Zuid-westen hadden ze het wel even gehad met hun verlangen naar de eindeloze zee.
Deltawerken waren niet gratis, maar dan heb je ook wat. Not because its easy but because its hard. Met die ervaring, geboren uit angst voor risico, werd Nederland trouwens exporteur van waterzut-kennis.
Wat betreft die ict-autonomie gaat het tegenwoordig niet meer om welke maatregelen worden getroffen, maar eigelijk gewoon dat er ook maar iets gebeurt.
Je moet schieten, anders kun je niet scoren.
Je moeten bouwen, anders kun je niet wonen.
Dat geldt ook voor cloud en hosten.
Bij gemeenten werd gedwongen zelf wiel uitvinden uiteindelijk ook een Common Ground.
“autonomie niet definiëren als uitsluiting” en ook kijken naar “gemiste kansen” lijkt ze zowiezo een mooi uitgangspunt. Maar ik durf weinig meer te zeggen over “keuzevrijheid, experimenteerruimte en terugschakelbaarheid” versus
“maximale controle”, want jack-in-the-box lijkt tegenwoordig steeds meer de doos van pandora.
De Amerikaanse cloud providers lopen het risico om meer dan $300 miljard per jaar (!) aan omzet te verliezen als Europese landen hun workloads bij hen weghalen.
Het is daarom ook niet vreemd dat zij hun “partners” (minions) opdracht geven om hier elke week een stukje te schrijven over data soevereiniteit met de strekking dat wij ons geen zorgen moeten maken, achterop raken, kansen missen en ons over de verkeerde dingen zorgen maken als wij verhuizen.
Het gaat om veel geld, dus gaat u er maar vanuit dat volgende week weer een minion een soortgelijk stukje gaat schrijven.
Wat zijn in godsnaam minions? Zie jij Microsoft als de slechterik uit een kinderserie of zo? 😄
Keutelboer, hier nog een minion artikel van 27 augustus j.l.
https://www.computable.nl/2025/08/27/europese-regels-drijven-digitale-infrastructuur-in-handen-van-niet-europese-giganten/
Risicotype is een leuke want never waste a good crisis is de roep om ICT-autonomie een marketingstrategie waar geopolitieke spanningen ons in een andere hoek verven. En hierbij zorgen zeldzame risico’s met een lage kans van optreden en beperkte impact in de risico-analyse voor een lage prioriteit. Want het bestuurlijk systeem wordt niet afgerekend op zichtbare calamiteiten maar op vermijdbare fouten met een grote financiële impact. Niet de gemiste kansen tellen maar de voorspelbare uitkomsten want het gaat niet om aanbestedingen maar uitbestedingen.
Hierin gaat de operationele competentie van continuïteit niet (alleen) om ICT-autonomie want schaalbaarheid van een systeem zegt nog niks over de veerkracht van een organisatie. Prijs in verhouding tot kwaliteit maakt de variatie interessant want MetaMicro Automatisering kan als muis niet wat de olifanten kunnen. Het verschuiven van afhankelijkheid gaat tenslotte om de uitbesteding van operationele competenties in het onderhoud. Veiligheid is een operationele competentie door verandering want gesloten systeem van mainframe had minder risico’s dan de open systemen waarmee de ruimte voor kansen groter werd.
Uitsluiting is goed want de ongemakkelijke gedachte van wantrouwen begint met controle, een goedkopere leverancier is een momentopname als de garanties beperkt zijn. Zo is het herstelvermogen gereguleerd vanuit een duurzaamheidsgedachte, jarenlange zekerheid over de kwaliteit is een innovatie op kosten want een ongeplande en vroegtijdige vervanging is duur. Regulering die opportunisme wil voorkomen is niet blind voor de langere termijn want innovatie op kosten scheelt groei in belastingen. Je moet dus niet schieten maar raak schieten want er zit een verschil tussen doeltreffend en doelmatig.
Zo zit er ook een verschil tussen bouwen (greenfield) en verbouwen (brownfield) als het om een keuzevrijheid gaat, het hergebruik van een gebouw door er een andere bestemming aan te geven gaat om een slim gebruik van de beschikbare ruimte. Herdefiniëren als modewoord vraagt om de kunstenaars die in een rotsblok een beeld zien, jack-in-the-box ziet alleen maar valsheidsscores. En Rob ziet zijn eigen beperkingen niet als directeur van een BV zonder personeel want controle als maximale deugd gaat om een toekomstplanning. Want terug naar een typering in de risico’s is verlies aan kennis geen zeldzaam risico maar een bestuurlijke erosie die ons afhankelijk maakt van een externe arbeid.
Operationele competenties ontstaan niet door jarenlange innovatie en de noodzaak om te overleven maar door inzichten, kennis van systemen is namelijk wat anders dan productkennis zoals ik leerde op uitnodiging van Microsoft. Want vooruitziend werd me in Redmond een toekomst geschetst die beter dan de voorspellingen van Nostradamus was. Never waste a good crisis hadden we er een pandemie voor nodig want ik was
al plaats- en tijdonafhankelijke werken gewend omdat calamiteiten om de kansenruimte gaan. Het moet anders om te overleven gaat vooral om de noodzakelijke aanpassingen in de kosten, de rode innovatie van bezuiniging zonder in te leveren op kwaliteit want het wegnemen van de beloning op innovatie raakt steeds meer organisaties.
Van bestuurder naar ondernemer is er zoiets als risico-adoptie, de financiële voorspelbaarheid met durfkapitaal gaat om marketingstrategie want schaal is kassa. Winstgedreven wijs ik op de hoek van de geopolitieke spanningen want jack-in-the-box heeft een voorkeur voor Duitse model maar profiteert van het Angelsaksische model. Zelf heb ik een voorkeur voor wie het kleine niet eert doet het grote verkeerd want de groei gaat om ervaring. Sneller groeien dan je controle leidt tot een afstraffing want we willen voorspelbare uitkomsten, niet onhaalbare beloften.