Digitale autonomie vraagt nuance: geen zwart‑witdenken, maar per toepassing een onderbouwde risicoafweging. Dat stelt NLdigital, de branchevereniging voor de digitale sector in Nederland, in een visie op het gebruik van cloud en digitale autonomie.
De vereniging, met leden variërend van grote internationale techbedrijven tot mkb‑dienstverleners en startups, was gevraagd om een schriftelijke inbreng voor een rondetafelgesprek in de Tweede Kamer over de (beoogde) overname van Solvinity door Kyndryl en de gevolgen voor DigiD. Die transactie naar een Amerikaanse leverancier baart de Kamer zorgen. Ook de overheid heeft er moeite mee.
Omdat Kyndryl lid is van NLdigital kan de brancheorganisatie in beginsel geen reactie geven op dit specifieke geval. Wel komt NLdigital met kanttekeningen en suggesties. Solvinity is leverancier van het platform waarop DigiD steunt. Dit platform wordt beheerd door Logius en draait in een overheidsdatacentrum. Het contract hiervoor loopt dit jaar af.
De discussie over digitale autonomie moet gebaseerd zijn op risico’s en beheersmaatregelen, aldus NLdigital. Schadelijk voor die discussie zijn simplificaties zoals ‘binnenland is veilig, buitenland is risicovol’. Verder moet het leveranciersrisico worden beoordeeld. Dat risico gaat over controleverlies. Dit geldt voor beschikbaarheid, integriteit en vertrouwelijkheid. Afhankelijkheden bestaan altijd, ook bij eigen beheer. En de herkomst van een leverancier is geen goede proxy voor risico; jurisdictie en toepasselijk recht zijn relevanter.
Meer controle vraagt investeringen in kennis, beveiliging en schaal. Maximale soevereiniteit zonder middelen kan juist leiden tot lagere veiligheid, zo waarschuwt de vereniging. De juiste balans verschilt per toepassing en dreigingsbeeld.
Scenario’s
NLdigital adviseert organisaties vier soorten scenario’s te doordenken: juridisch, cybersecurity, continuïteit leverancier en geopolitiek/handel. Onder dat laatste vallen sancties zoals de invoerheffingen waarmee de Amerikaanse president Trump dreigt als hij Groenland niet krijgt.
De branchevereniging benadrukt dat moderne beveiliging voortdurende technische verificatie vraagt, niet blind vertrouwen. Digitale autonomie vereist ook verantwoordelijkheid bij de afnemer. Denk ook aan dataclassificatie, toegangsbeheer en encryptiebeheer. Diversificatie kan risico’s spreiden, maar verhoogt soms complexiteit. Exit‑strategieën, interoperabiliteit en contractuele afspraken moeten vanaf het begin worden ingericht.
De discussie over digitale autonomie in de context van verantwoord cloudgebruik verdient beter dan zwart-witframes, houdt NLdigital de Tweede Kamer voor. Niet alles moet per definitie ‘soeverein’ zijn, en geen enkele oplossing is risicoloos. Wat wél werkt is per toepassing een bewuste keuze maken op basis van concrete risico’s en aantoonbare maatregelen, aldus de brancheclub.
dat gaatem niet worden: “nuance: geen zwart‑witdenken, maar per toepassing een onderbouwde risicoafweging.”
Dataclassificatie en per toepassing een onderbouwde risicoafweging.
Wie in het vak zit weet dat die ambitie te hoog is.
We hebben nu eenmaal voor simplification driven IT gekozen.
Allemaal Agile naar cloud anders mis je de boot, dat lukt nog wel.
Weer trug, want tis toch wel erg duur gaat al mis. Men kiest liever voor duur.
En nou dan ook nog moeten weten hoe je IT zooi in mekaar steekt…
Zorg uitspreken gaat nog wel, van dat nou moe Tis allemaal wat he.
Voor de rest gewoon weer lekker afwachten en kijken wat de rest doet.
Ook niets 😉
Nu lopen de tech scalers weer organisaties als NLDigital in te zetten als hun spreekbuis. Weer wollige woorden gebruiken zoals jurisdictie en “toepasselijk recht” om de politiek maar onder druk te zetten om “niets te doen.”
Feit is gewoon dat elk Amerikaans bedrijf direct onder Amerikaans jurisdictie valt en dat wij met onze regeltjes en wetten en contracten daar niets aan kunnen veranderen. Dat betekent dat elk Amerikaans bedrijf per definitie onveilig is. Dat was twintig jaar geleden al zo, maar nu wordt men pas wakker.
Ze roepen op om allerlei onderzoeken te doen en om vervolgens alles bij het oude te laten. Je kan je afvragen of NLDigital echt wel zo Nederlands is als de naam impliceert.