Cloud, AI en datasoevereiniteit: wie heeft de controle over je clouddata?
De meeste organisaties werken dagelijks met cloudapplicaties. Documenten, communicatie, AI en andere data worden in anonieme serverparken opgeslagen zonder dat de gebruiker echt weet waar de data blijft.
Het gebruik van Amerikaanse Big Tech door overheden en de verkoop van een Nederlandse hosting partij aan een Amerikaanse investeerder voeden discussie over de noodzaak tot datasoevereiniteit en de afhankelijkheid van Microsoft, Google en Amazon. Maar gelukkig staat alles in Europa, toch?
Inmiddels is er steeds meer onduidelijkheid over het verschil tussen fysieke opslaglocaties en juridische controle. Zo werd een aanklager van het Internationaal Strafhof geblokkeerd in Microsoft 365 op basis van een Amerikaans verzoek, al stond de data fysiek in Europa. Microsoft biedt sinds kort strenger toezicht op de nationaliteit en locatie van supportpersoneel voor Europese gebruikers. Niet alleen waar de data staat, ook wie erbij kan is van invloed op de risico’s rond datamanagement.
De afhankelijkheid van AI groeit. Amerikaanse hyperscalers domineren de markt. AI analyseert documenten, genereert inzichten en helpt bij besluiten. Data wordt steeds vaker actief gebruikt buiten het zicht van organisaties.
Als organisatie draag je verantwoordelijkheid voor de keuzes rondom het gebruik van systemen als Microsoft 365 en ChatGPT. Het is belangrijk om vast te leggen welke leveranciers betrokken zijn, welke gegevensverwerkingen plaatsvinden en waar je informatie precies wordt opgeslagen. Breng in kaart hoe deze systemen met elkaar samenhangen en bepaal de kritieke processen die ervan afhankelijk zijn. Ook is het verstandig om een calamiteitenplan te maken, voor het geval juridische of geopolitieke kwesties ervoor zorgen dat bepaalde diensten tijdelijk niet beschikbaar zijn.
3 vragen die iedere organisatie voor zichzelf zou moeten beantwoorden zijn:
- Welke kernprocessen zijn afhankelijk van buitenlandse cloud- of AI-platformen?
- Hoe neem ik mijn verantwoordelijkheid over deze uitbestede diensten?
- Welke alternatieven heb ik in het geval van een noodsituatie?
Volledige datasoevereiniteit is meestal niet mogelijk. Microsoft vermijden is lastig, omdat veel leveranciers Azure en Microsoft Entra gebruiken en Office 365 de de facto standaard voor productiviteitstools is. Ook Amazon en Google bieden veel infrastructuur. Wel kun je de afhankelijkheid verminderen.
CROP heeft ervoor gekozen de primaire opslag van klantdossiers aan een Europees bedrijf toe te vertrouwen. Voor Identity Management wordt naast Entra ID ook gebruikgemaakt van een Europese leverancier. Ook voor AI vergadertooling heeft CROP gekozen voor een Europese AI aanbieder. Maar de afhankelijkheid van Microsoft blijft in enige mate bestaan, ook bij CROP.
Wij vullen onze verantwoordelijkheid voor informatiebeveiliging onder andere in door assurance rapportages van onze voornaamste leveranciers te bestuderen en af te stemmen welke verantwoordelijkheid de leverancier draagt en welke beheersingsmaatregelen nog steeds onze eigen verantwoordelijkheid zijn.
Iedere organisatie heeft hierin zijn eigen verantwoordelijkheid. Misschien is het een keer een goed onderwerp voor een bestuursvergadering?
Datasoevereiniteit is moeilijk haalbaar, inzicht en verantwoordelijkheid wel.
Wil je meer weten? Neem dan contact op met één van onze IT audit-specialisten.
Neem contact op
