In de technologiebranche besteden we vaak een jaar aan het bespreken en plannen van belangrijke veranderingen voordat ze daadwerkelijk op de markt verschijnen. Dus als 2025 het jaar was waarin iedereen het over datasoevereiniteit had, zou 2026 wel eens het jaar kunnen zijn waarin iedereen er daadwerkelijk mee begint.
Volgens IDC zijn ‘infrastructuurveranderingen’, waaronder datasoevereiniteit en encryptie, de grootste zorgen op het gebied van beveiliging en privacy, zelfs groter dan ransomware. Uit onderzoek van Veeam blijkt bovendien dat driekwart van de IT-besluitvormers soevereiniteit een belangrijk thema vindt.
Desondanks begrijpen te veel organisaties en managers vaak niet wat datasoevereiniteit werkelijk inhoudt. En deze misvattingen of regelrechte mythes hebben grote gevolgen.
Locatie en beheer
Datasoevereiniteit wordt vaak vanaf het begin verkeerd begrepen. Organisaties moeten oppassen dat ze controle over data niet gelijkstellen aan de locatie ervan, maar aan wie uiteindelijk de eigenaar is en de infrastructuur beheert waarop de data draaien. Dat zijn twee verschillende dingen. Met andere woorden, dataresidentie is niet hetzelfde als datasoevereiniteit. Hoewel het opslaan van data binnen nationale of regionale grenzen een zekere mate van compliance en risicobeheersing biedt, garandeert het geen controle over toegang, governance of blootstelling.
Eigendom en wetgeving zijn net zo belangrijk als locatie. Data die bijvoorbeeld in een lokaal datacenter worden gehost, maar beheerd worden door een buitenlandse hyperscaler, kunnen nog steeds onderworpen zijn aan de nationale wetgeving van de provider, ongeacht waar de server zich fysiek bevindt. Dit kan een vals gevoel van soevereiniteit creëren. Plannen die zich uitsluitend richten op lokalisatie kunnen organisaties kwetsbaar maken voor externe factoren die ze juist dachten te beperken.
Dat wil niet zeggen dat elke organisatie datasoevereiniteit verkeerd aanpakt en dat elke strategie een volwaardig digitaal fort moet zijn. Er zijn verschillende niveaus van soevereiniteit. Maar zoals met alles, is het onmogelijk om de juiste keuze te maken als je de opties niet kent en begrijpt.
Bovendien is volledige isolatie noch realistisch, noch wenselijk. Dat zou betekenen dat data volledig genationaliseerd worden en dat men zich terugtrekt uit wereldwijde cloud-ecosystemen. Zo werkt de wereld nu eenmaal niet meer. In de onderling verbonden digitale economie blijven organisaties afhankelijk van wereldwijde platformen om aan verwachtingen van klanten te voldoen, te schalen en concurrerend te blijven. Het doel moet zijn autonomie in plaats van volledige isolatie. Het gaat erom controle (en veerkracht) te behouden binnen een wereldwijd ecosysteem, in plaats van je er volledig uit terug te trekken.
Simpel gezegd: soevereiniteit is iets wat je moet opbouwen, het is niet iets waar je zomaar op over kunt stappen.
Plannen voor de hele levenscyclus
De tweede misvatting is dat datasoevereiniteit gaat om opslag. Soevereiniteitsplannen moeten de hele datalevenscyclus omvatten. Controle moet beginnen vanaf het moment dat data worden aangemaakt en tot het moment dat deze worden verwijderd. En hoe dat er precies uitziet, zal zich gedurende de levenscyclus ontwikkelen.
Elke fase kent verschillende risico’s. Daarnaast zal het verzamelen, verwerken, delen en analyseren van data vaak systemen, leveranciers en rechtsgebieden overstijgen. Daarom moet databeheer continu en adaptief zijn, in plaats van pas te beginnen nadat de data zijn opgeslagen.
Verwerking is misschien wel de fase waarin soevereiniteit het gemakkelijkst verloren gaat. Zelfs als data lokaal worden opgeslagen, kan de verwerking of uitvoering ervan gemakkelijk buiten de soevereine zone plaatsvinden. Dit is niet per se een probleem, maar organisaties moeten dit wel begrijpen en er rekening mee houden. Het moet een bewuste keuze zijn.
Net als verwerking zijn ook back-up en herstel regelmatig een zwak punt in de soevereiniteitsstrategie als het niet correct wordt geïmplementeerd. Replicatie, onveranderlijke back-ups en (de nog vaker over het hoofd geziene) locaties voor noodherstel moeten voldoen aan dezelfde wettelijke normen en vereisten en als primaire data.
Als laatste moet er voldoende aandacht worden besteed aan het bewaren van data. Dit is vooral cruciaal naarmate datavolumes blijven groeien als gevolg van AI. Ongecontroleerde retentie kan bijvoorbeeld leiden tot hoge kosten en complexiteit. Dat wil echter niet zeggen dat je data zomaar kunt verwijderen. Gegevens moeten wettelijk gezien gedurende een bepaalde periode worden bewaard. Daarna is geverifieerde vernietiging essentieel om de soevereiniteitscirkel te sluiten.
Inzicht in de datalevenscyclus en de bijbehorende risico’s is essentieel om de volgende stap in de soevereiniteitsstrategie te bepalen: hoeveel soevereiniteit is geschikt voor jouw organisatie.
Soevereiniteit is een balanceeroefening
Datasoevereiniteit is, net als dataresilience of een hybride cloudstrategie, een balanceeroefening. Waar dat evenwicht ligt, verschilt per organisatie. Het is een afweging tussen controle, kosten en mogelijkheden en elk bedrijf moet zelf bepalen waar die balans ligt.
Maximale controle is mogelijk, maar daar hangt een prijskaartje aan. Een volledig soevereine, lokaal beheerde oplossing biedt de sterkste juridische en operationele zekerheid, maar is ook erg duur. Daartegenover kan het prioriteren van controle de mogelijkheden beperken. Als je bijvoorbeeld afstapt van wereldwijde hyperscalers, stap je ook af van direct beschikbare schaalbare oplossingen, geavanceerde beveiligingsplatforms en wereldwijde dreigingsinformatie. Dit zorgt voor risico-asymmetrie: je kunt lokaal voldoen aan regelgeving, maar als je te geïsoleerd bent zonder tools of informatie, loop je uiteindelijk toch meer risico.
Om deze keuze te maken moeten organisaties alle feiten kennen en afzetten tegen hun unieke factoren en prioriteiten. Vaak gaat het niet om wel of geen soevereiniteit, maar de mate waarin. Bepaal waar soevereiniteit de risico’s daadwerkelijk vermindert en waar het (onbedoeld) nieuwe risico’s kan introduceren. Uiteindelijk draait datasoevereiniteit niet om het trekken van harde grenzen, maar om het maken van weloverwogen keuzes en het herzien daarvan naarmate de balans verschuift.
Door Andre Troskie, EMEA Field CISO bij Veeam Software