BLOG – Elke organisatie streeft naar grip. Grip op data, infrastructuur, compliance en bedrijfscontinuïteit. Zeker in de (semi-)publieke sector is die controle essentieel. Maar wat als je die controle verliest… door te kiezen voor oplossingen die bedoeld zijn om te ontzorgen?
Die paradox zien we vandaag de dag steeds vaker. Hoe moderner en schaalbaarder de it-omgeving wordt ingericht, met backup -as-a-service, security-as-a-service of cloud-firststrategieën, hoe groter de afhankelijkheid van derden. En hoe moeilijker het wordt om in te grijpen als het misgaat. We noemen dat de controleparadox: het gevoel dat alles geregeld is, terwijl je in werkelijkheid steeds minder zelf in handen hebt.
Keerzijde
De massale overstap naar as-a-service-modellen en cloud-first backups lijkt logisch. Het biedt schaalbaarheid, flexibiliteit en minder druk op interne it. Bovendien heb je minder personeel en kennis nodig. Maar dat gemak kent een keerzijde. Je levert ongemerkt controle in op drie vlakken:
- Juridisch
Je data vallen vaak onder een andere jurisdictie, wat betekent dat overheden of toezichthouders toegang kunnen afdwingen, zelfs als de data fysiek in Europe staan. Sterker, zouden ze op verzoek van de overheid toegang tot data en applicaties kunnen blokkeren.
- Operationeel
Als je backup, e-mail of herstelstrategie volledig extern is geregeld, kun je op cruciale momenten vaak niet direct zelf ingrijpen. Denk aan netwerkstoringen, sancties of wijzigingen in service-level agreements (sla’s).
- Technisch
Cloudproviders helpen met certificeringen en contractuele garanties bij wetgeving zoals NIS2 en Dora. Maar dat betekent niet dat je zelf directe controle hebt. Je weet doorgaans niet of de infrastructuur altijd up-to-date is met de gewenste beveiligingsmaatregelen, of wanneer een kritieke patch wordt doorgevoerd. Je vertrouwt op de beloften van je leverancier, terwijl je zelf geen zicht of invloed hebt op hoe data precies wordt opgeslagen, beschermd of hersteld. Immutability, airgap-opslag en fysieke redundantie zijn zelden transparant ingericht, laat staan aantoonbaar onder je eigen regie.
Scenario
De controleparadox is geen hypothetisch scenario. Ze is realiteit en treft organisaties rechtstreeks. In 2021 werd het Duitse Ahrtal getroffen door zware overstromingen. Een ziekenhuis in het rampgebied verloor de toegang tot alle patiëntgegevens, omdat de volledige medische administratie in de cloud stond en de internetverbinding dagenlang uitviel. De zorg kwam letterlijk stil te liggen. Geen toegang betekent geen controle.
Ook op juridisch niveau is controleverlies een tastbare dreiging. In mei 2025 blokkeerde Microsoft op verzoek van de Amerikaanse overheid de mailbox van de hoofdaanklager van het Internationaal Strafhof. Vier rechters van deze instelling staan inmiddels op de Amerikaanse sanctielijst. Amerikaanse technologiebedrijven mogen aan hen geen diensten meer leveren, inclusief toegang tot e-mail en documenten. Wat vandaag software raakt, kan morgen de infrastructuur treffen.
Geen toegang betekent geen controle
Dat het ook anders kan, bewijst een casus uit Düsseldorf. In 2020 werd een ziekenhuis getroffen door een ransomware-aanval die vrijwel alle systemen platlegde. Toch bleven 400 terabyte aan patiëntdata onaangetast, opgeslagen op lokale, hardwarematige worm-systemen van Europese makelij. Dankzij deze onveranderbare en fysiek gescheiden opslagoplossing bleef kritieke informatie veilig en beschikbaar, zelfs toen de rest van het netwerk onbruikbaar was.
Bewustwording
Hoe voorkom je de paradox binnen jouw organisatie? Het antwoord ligt in bewustwording en in de keuzes die je maakt bij het inrichten van je infrastructuur. Organisaties hoeven zeker niet terug naar een volledig on-prem model, maar moeten wel kritisch kijken naar de balans tussen uitbesteden en controle houden. Enkele concrete stappen zijn:
- Hybride infrastructuren combineren cloudvoordelen met lokale controle;
- Immutability en airgap-opslag beschermen data tegen ransomware en menselijke fouten;
- Transparantie in toegang en locatie leiden tot aantoonbare compliance;
- Europese oplossingen voorkomen afhankelijkheid van buitenlandse wetgeving en leveranciers, en resulteren in kortere levertijden en snellere service.
Checkbox
Steeds meer organisaties realiseren zich dat datasoevereiniteit niet ophoudt bij een contract of een checkbox in een sla. Het vraagt om structurele grip. De manier waarop je data opslaat, beveiligt en kunt herstellen, zegt alles over je weerbaarheid – en dus je geloofwaardigheid als publieke of gereguleerde organisatie.
De controleparadox is geen nieuw probleem, maar wordt urgenter naarmate onze afhankelijkheid van cloud- en serviceplatformen toeneemt. Wie de regie terug wil nemen, begint met zicht. En eindigt met keuzes die echte controle mogelijk maken.
Axel Bootink, ceo Comex
Het verhaal dat tijdens overstromingen in het Ahrtal in 2021 een ziekenhuis alle toegang tot patiëntgegevens verloor doordat medische administratie volledig in de cloud was opgeslagen en de internetverbinding dagenlang uitviel is ongefundeerd. Er is geen bekend, betrouwbaar verslag dat dit bevestigt. Wel waren er problemen in de communicatie met hulpverleners doordat noodstroomvoorzieningen weigerden of niet voorzien waren.
Cloud en toegankelijkheid zijn bij rampen daarom betere vrienden dan een Duitse oplossing die zich presenteert als een veilig archiefopslagsysteem en niet als een high-performance NAS of SAN. Want paradox zit in het oude principe van 3 kopieën op 2 verschillende media waarvan er 1 off-site is zodat je bij rampen een uitwijk hebt, het plan B van de back-up. Want manier waarop je de data opslaat, beveiligt en kunt herstellen zegt namelijk niks over je weerbaarheid als 90% van de data irrelevante archiefdata is. De relevantie van de data gaat om de de waarde voor het proces want financiële rapportages van 7 jaar oud hebben geen Recovery Time Objective (RTO) van enkele uren.
De ziekenhuizen in kwestie zijn de Niederrhein ziekenhuizen in Manderscheid en met name in Bad Neuenahr, een plaats die extreem zwaar door de overstromingen getroffen is. In beide ziekenhuizen kon de zorg tijdelijk niet voortgezet worden. In Manderscheid kon in samenwerking met T-Systems een noodverbinding gelegd worden, maar in Bad Neuenahr was dit pas na de tweede poging met een radioantenne mogelijk. Het feit dat de PACS-data on-premise op een hoger gelegen verdieping stond, heeft het dataverkeer over de radioantenne significant verlaagd. Zie bijv. hier https://www.nexus-ag.de/unternehmen/news/artikel/hochwasserhilfe-zusammen-mit-drv-klinik-in-bad-neuenahr
En inderdaad is het belangrijk je data niet alleen op de primaire locatie te hebben, maar ter voorkoming van dataverlies door rampen ook op een tweede, op afstand gelegen locatie. Geldt voor alle soorten opslag. Maar in dit geval ging het helemaal niet om het verlies van data, maar om het verlies van de toegang tot de data. Het is prima dat de data er nog zijn in de cloud, maar als ik niet bij de voor een operatie nodige informatie kan komen, kan ik de operatie niet doorvoeren.
Financiële data van enkele jaren geleden heb je waarschijnlijk inderdaad niet a la minuut nodig, maar de vraag of de medische data van enkele jaren geleden, die in een statisch archief staan, relevant of irrelevant zijn, zou je misschien toch de patiënt op de operatietafel moeten stellen.
bijzonder om een lokale overstroming met cloudrisico’s te verbinden.
ik knuffel graag servers, maar niet onder water.
Daarna de manke vergelijking met een ransomware aanval.
onduidelijk waarom je in cloud geen immutable backup zou kunnen maken.
Als je wilt kun je het Brick en Cube as a Service noemen, werkt ook als het regent.
Buiten-Europese afhankelijkheid is wel een punt.
Controleparadox is echter niet weg, want waarom zou je Comex wel vertrouwen ?
Oude controle paradox van Juvenalis gaat om quis custodiet ipsos custodes doordat de controle uitbesteed is en de slager zijn eigen vlees keurt. Het antwoord op de vraag hoe deze paradox te voorkomen geldt een OFAC lijst waar al 6 personen op staan want ICC controleert staten en individuen maar wordt zelf gecontroleerd door haar eigen interne en politieke mechanismen. En een bewustwording hiervan leidt tot de ongemakkelijke waarheid want Europese oplossingen veranderen niks aan wie de controleur controleert.
Neem bijvoorbeeld de paradox van verplichte dataminimalisatie met een GDPR en de bewaarplicht van WBGO. Want 400 terabyte aan patiëntdata die onaangetast opgeslagen wordt op de hardwarematige worm-systemen van Europese makelij moet wel transparant gemaakt worden vanwege het recht op inzage. Datasoevereiniteit als individueel recht gaat om een controle op de eigen gegevens. Afhankelijkheid van cloud- en serviceplatformen hierin lijkt me hierin geen probleem want het is twijfelachtig of de gearchiveerde patiëntdata kritieke informatie in het klinische proces betreft. Aanname zonder verificatie is een medische misser en wat betreft het overbrengen van medische archieven is de cloud een oplossing want als je patiënt overleden is dan wil je corpus digitalis niet lokaal begraven. Of juist wel als je een fout gemaakt hebt en dit in het archief probeert te verstoppen met de eigen interne en politieke mechanismen.
Spijkers op laag water zoeken omdat je alleen maar een hamer hebt is niet een sterke opinie, zeker niet als hardwarematige worm-systemen van Europese makelij verdronken zijn. Je kunt dan maar beter de worm-systemen van Japanse makelij hebben die voor data portabilteit zorgen zonder vendor lock. Want de vendor-neutrale archiefsystemen bieden niet alleen een individuele datasoevereiniteit door inzage maar maken ook een dossieroverdracht mogelijk. Iets wat gruwelijk mis ging tijdens een pandemie toen bleek dat elektronische gegevensoverdracht niet mogelijk was.