Waarom is Data Soevereiniteit ineens belangrijk?
De aanhoudende geo politieke onzekerheid van de laatste jaren heeft ervoor gezorgd dat Data Soevereiniteit een belangrijk thema is geworden. Dit geldt met name als het om data en AI toepassingen gaat. Door de opkomt van AI is het de verwachting dat data strategisch en operationeel een steeds belangrijkere rol gaat spelen in bedrijven. Het zelfde geldt voor de AI modellen die toegang hebben tot deze data en/of ermee getraind worden.
Wat is data soevereiniteit?
Data-soevereiniteit is het principe dat data onderworpen is aan de wetten en jurisdictie van het land waar deze is opgeslagen of gegenereerd. Het houdt in dat organisaties volledige controle en zeggenschap moeten hebben over hun eigen data, inclusief opslaglocatie, toegang en verwerking. Dit is nodig om te kunnen voldoen aan de genoemde regelgeving. Vroeger werd data met name opgeslagen op servers binnen data centers van het bedrijf zelf. Met de opkomst van de cloud is dat niet langer het geval. Doordat data en AI toepassingen voornamelijk in de cloud draaien, is de afhankelijkheid van Big Tech leveranciers enorm groot. Europa is sterk afhankelijk van Amerikaanse cloud providers (AWS, Azure, Google Cloud). Deze bieden garanties over hoe met de data wordt omgegaan en waar deze wordt opgeslagen. Internationale wetgeving zorgt er echter voor dat hier juridische dilemma’s kunnen ontstaan, wat risico’s met zich mee brengt wat betreft toegang tot data en daarmee voor de continuiteit van Europese bedrijven.
Zo legt de Europese GDPR strikte regels op voor verwerking en grensoverschrijdende overdracht van persoonsgegevens. EU‑data blijven onder GDPR vallen, ook als ze buiten de EU worden verwerkt. De Amerikaanse CLOUD Act geeft Amerikaanse autoriteiten de mogelijkheid om via gerechtelijk bevel toegang te eisen tot data die in beheer is van Amerikaanse providers, ook als die data in europa opgeslagen ligt. Dit kan tot juridische dillemma’s leiden voor Europese bedrijven die gebruik maken van Amerikaanse cloud providers en de cloud providers zelf.
Tot voorkort was het ondenkbaar dat bepaalde cloud diensten van het ene moment op het andere niet meer toegankelijk zouden zijn. Echter, door toenemende geopolitieke conflicten en toenemende economische en andere sanctie maatregelen over een weer, is dit op dit moment een stuk minder ondenkbaar. Dit alles zorgt ervoor dat datasoevereiniteitsrisico’s van Europese bedrijven toenemen.
Hoe kunnen data soevereiniteits risico’s verlaagd worden?
Het hebben van een exit strategie
Als gewerkt wordt met externe cloud leveranciers, is het in de eerste plaats belangrijk om een exit strategie te hebben. Als het scenario zich voor zou doen dat van leverancier gewisseld moet worden, moet dit mogelijke zijn. Dit houdt in dat:
- er contractuele afspraken moeten zijn over hoe en onder welke voorwaarden de data kan worden overgezet naar bijvoorbeeld een andere leverancier.
- er sprake moet zijn van een formaat dat ook op andere platforms kan worden gebruikt, of dat bekend is hoe dit kan worden omgezet naar een ander formaat.
- de data na omzetting nog steeds bruikbaar moet zijn door alle toepassingen binnen het bedrijf, of dat bekend moet zijn hoe deze toepassingen eventueel kunnen worden aangepast hiervoor.
Om het bovenstaande mogelijk te maken zou bijvoorbeeld gekozen kunnen worden voor open source technologie. Ook andere architectuur keuzen kunnen een positieve of negatieve invloed hebben op de data soevereiniteit.
Kiezen voor europese providers
Europese bedrijven zouden kunnen kiezen voor europese cloud dienstverleners, om conflicterende wetgeving te voorkomen. Uitdaging hierbij is dat bestaande Europese cloud diensten lang niet zoveel functionaliteiten kunnen bieden als de Amerikaanse hyperscalers.
Het encrypten van data
Het encrypten van data ‘at rest’ met eigen encrypie sleutels, die niet bekend zijn bij de cloud provider, kan ervoor zorgen dat data nooit door de cloudprovider gelezen kan worden. Dit brengt echter ook al snel beperkingen met zich mee, bijvoorbeeld als deze data wel op servers van diezelfde cloudprovider verwerkt dient te worden. Kortom ook hier liggen architecturele uitdagingen.
Focus op wendbaarheid
Voor de meeste bedrijven is het op dit moment onhaalbaar om de afhankelijkheid van hyperscalers volledig te elimineren. Door na te denken over een eventuele exit strategie kan voorkomen worden dat men op de lange termijn voor onoplosbare verrassingen komt te staan. Het voorkomen van (vendor) lock-in situaties is per definitie een strategie die in het huidige snel wijzigende technische data landschap voordelen kan hebben. Simpele architectuur keuzen kunnen de wendbaarheid een stuk vergroten ten op zicht van andere keuzes die vaak onbewust en uit gemakzucht genomen worden. Voorbeelden hiervan zullen binnenkort op deze site behandeld worden.