Actueel — Blog
Voor CIO’s, CTO’s, beleidsmakers en architecten binnen overheidsorganisaties is onder andere cloud een kritiek onderdeel van de infrastructuur. Tijdens het Congres Soevereiniteit & Overheid op 26 maart jl. georganiseerd door iBestuur, samen met Binnenlands Bestuur en Gemeente Amsterdam, stond de vraag centraal hoe je grip houdt op afhankelijkheden, risico’s en keuzes in de fase van uitvoering.
Cloudsoevereiniteit vraagt geen paniekreacties, maar volwassen governance, transparantie en aantoonbare controle. Dit is de kernboodschap die PQR die dag neerzette, samen met Nabeel Siddigie van Eraneos. In een actieve workshopsessie presenteerde Nabeel zes concrete stappen waarmee overheidsorganisaties cloudsoevereiniteit kunnen bereiken.
Van abstract begrip naar bestuurlijke opdracht
Een van de belangrijkste inzichten van de dag is dat er geen eenduidige definitie van soevereiniteit is, maar dat het de overheid gaat over autonomie en controle. In de praktijk draait het om zelfbeschikkingsrecht. Ben je als organisatie daadwerkelijk in controle over data, diensten, cruciale systemen en besluitvorming?
In het kort een uitleg welke verschillen er zijn in definities:
- De term soevereiniteit gaat over het vermogen van een staat of entiteit om zelfstandig besluiten te nemen en uit te voeren zonder ongewenste externe inmenging.
- Digitale soevereiniteit zoomt in op controle over data, technologie en digitale operaties: waar data staat, wie erbij kan en hoe makkelijk je kunt overstappen van leverancier.
- Cloudsoevereiniteit is specifieker en richt zich op volledige controle over cloudworkloads en data, óók als je afhankelijk bent van een cloudleverancier. Daarbij spelen naast techniek ook juridische en operationele factoren mee, zoals locatie en buitenlandse wet- en regelgeving.
In de workshop van PQR met Nabeel pakten we met name cloudsoevereiniteit beet en werd duidelijk dat cloudsoevereiniteit niet binair is. Het is een spectrum, waarin juridische, organisatorische en technische maatregelen samenkomen. Wat steeds terugkwam in de discussies tijdens de workshop: het echte spanningsveld zit zelden in technologie, maar juist in governance, juridische borging en sterk en stabiel opdrachtgeverschap. Of zoals een deelnemer het verwoordde: “Als je niet weet wat je hebt, begin je nergens.”
Geen reflex, maar een risicogebaseerde strategie
Opvallend was dat deelnemers nadrukkelijk afstand namen van het idee dat cloudsoevereiniteit betekent dat je morgen afscheid neemt van hyperscalers. Integendeel. De strategische reactie is geen reflexmatige migratie, maar het gecontroleerd verhogen van volwassenheid.
Daarbij is het EU Cloud Sovereignty Framework een belangrijk referentiepunt. De kern: organisaties moeten transparantie, omkeerbaarheid en governance kunnen aantonen. Niet op papier, maar in de praktijk. Dit vraagt om een gedisciplineerde, risicogebaseerde aanpak: weten waar je afhankelijkheden zitten, wat het kost om eruit te stappen en welke belangen je écht moet beschermen.
Zes samenhangende stappen naar cloudsoevereiniteit
Tijdens de sessie werkte Nabeel met een zes-perspectievenmodel dat logisch opgebouwd is en sterk resoneerde bij de deelnemers. Er zijn zes stappen te doorlopen, in willekeurige volgorde, om gecontroleerd meer soeverein te worden:
1. Inventariseer cloudapplicaties en afhankelijkheden
De basis hiervan is inzicht. Niet alleen welke applicaties in de cloud draaien, maar ook inzicht in:
- Data- en ketenafhankelijkheden
- Kritieke primaire processen
- Gevoeligheid en classificatie van data
Zonder deze feitelijke basislijn is elke discussie over autonomie theoretisch.
2. Voer een scenario-gebaseerde risicoanalyse uit
Cloudsoevereiniteit begint bij het expliciet maken van risico’s: continuïteit, vendor lock-in, compliance en geopolitieke onzekerheden. Daarbij hoort ook inzicht in de Total Cost of Exit. Niet om direct te vertrekken, maar om bestuurlijk afgewogen keuzes te kunnen maken.
3. Formaliseer de transitiestrategie
Op basis van risico’s en impact ontstaat een realistische roadmap. Niet alles tegelijk, maar gefaseerd. Juridische kaders, inkoop, architectuur en operatie moeten hierin samen optrekken.
4. Kies voor toekomstbestendige sourcing
Contracten zijn geen bijzaak. Exit-afspraken, interoperabiliteit, open standaarden en eigenaarschap horen structureel thuis in inkoop- en sourcingstrategieën. Dat vermindert lock-in en verhoogt de wendbaarheid.
5. Veranker governance
Een belangrijke conclusie uit de workshop: cloudsoevereiniteit is geen project, maar een continu governancevraagstuk. Dat vraagt leiderschap, duidelijke eigenaarschap, beleidsmatige borging én structurele vertaling naar IT.
6. Borg jurisdictionele controle
Tot slot werd benadrukt hoe belangrijk het juridische kader is: waar staat de data, onder welke wetgeving valt deze en welke afspraken zijn gemaakt over toegang en rechtspraak? Voor de overheid is dit geen detail, maar een kernvoorwaarde.
Wat deze workshop duidelijk maakte: sterk opdrachtgeverschap
De kracht van de workshop zat in de interactie. Beleidsmakers, architecten en bestuurders spraken met elkaar over dezelfde vraagstukken, ieder vanuit zijn rol. Dat leverde één gedeeld inzicht op: cloudsoevereiniteit vraagt volwassen opdrachtgeverschap. Niet alles zelf willen doen, niet alles uitbesteden, maar bewust kiezen wat je beschermt, beheerst en controleert.
Vooruitblik: van inzicht naar actie
Het Congres Soevereiniteit en Overheid liet zien dat de discussie volwassen wordt. De volgende stap is de afspraken gaan operationaliseren, dus handelen: rust brengen in keuzes, regie organiseren en governance versterken.
Die dialoog zetten we voort tijdens GovTech Day op 11 juni, waar PQR opnieuw de kennispartner in is. Niet met blauwdrukken, maar met praktische inzichten die helpen om vandaag betere beslissingen te nemen voor morgen.
Hoe ver is jouw organisatie al met aantoonbare cloudsoevereiniteit – en welke stap verdient nu jouw aandacht? Neem contact op, wij begeleiden je eenvoudig naar elk te nemen stap.
Geplaatst door
