Grip op data is geen rem op innovatie

In gesprekken met bestuurders valt mij op dat zij vaak spreken over cloud en risico’s. Maar sommige keuzes blijven opvallend onderbelicht. Bijvoorbeeld waar data juridisch terechtkomen en wie daar uiteindelijk invloed op heeft. Het probleem is niet dat die keuzes niet gemaakt worden, maar dat ze zelden als samenhangend geheel worden afgewogen. De gevolgen zijn dan vaak later zichtbaar. Dus waar begin je als je dit goed wilt regelen?

Meestal gaat het niet mis door onwil. Dit soort keuzes ontstaat vaak verspreid door de organisatie. IT maakt cloudkeuzes, legal bewaakt de regels, inkoop kiest leveranciers en security weegt de risico’s. Los van elkaar zijn dat logische besluiten. Samen bepalen ze wel waar data belanden en wie daar de controle over heeft. Zonder samenhang blijft dat vaak onduidelijk, ook als een organisatie op papier volwassen oogt.

Versnippering vergroot het risico

Versnippering maakt organisaties voorspelbaar kwetsbaar. Als zij cloud, security en leverancierskeuzes los van elkaar maken, zonder juridische consequenties integraal mee te wegen, is er niemand die het geheel overziet. Dat is vergelijkbaar met een gebouw waarvan iedereen alleen zijn eigen toegangsdeur beveiligt, terwijl niemand zicht heeft op alle ingangen samen. Aanvallers spelen daarop in door bestaande toegangen in de keten te misbruiken. Het probleem is dan niet een ontbrekende maatregel, maar het gebrek aan overzicht. En dat verklaart waarom schade bij indirecte aanvallen via leveranciers structureel groter is dan bij directe incidenten.

Acceptatiegraad

Volledig loskomen van grote cloudplatforms is voor de meeste organisaties geen realistische optie. Maar zodra data en systemen onder een ander rechtsgebied vallen, verschuift de zeggenschap over die data. Leveranciers kunnen dat niet volledig blokkeren. Het risico zit dus niet in beschikbaarheid of beveiliging, maar in wie uiteindelijk mag beslissen wat er met die data gebeurt. De vraag voor bestuurders is daarom niet of ze compliant zijn, maar of ze bereid zijn deze afhankelijkheid te accepteren.

Vijf vragen die elke organisatie zich nu moet stellen

In gesprekken met bestuurders merk ik dat datasoevereiniteit pas echt gaat leven wanneer je het concreet maakt. Voor veel organisaties komt dat neer op vijf kernvragen:

1.Welke data en systemen moeten altijd onder Europese controle blijven?

Niet alle data zijn even gevoelig. Maar sommige processen en datasets zijn zo kritisch dat verlies van zeggenschap onacceptabel wordt. Het gaat om systemen waarvan beschikbaarheid, integriteit of vertrouwelijkheid direct raken aan continuïteit, veiligheid of wettelijke verantwoordelijkheid. Juist daar is externe afhankelijkheid geen technisch risico, maar een bestuurlijke keuze.

2. Wie heeft uiteindelijk toegang tot onze data en infrastructuur?

Bij datarisico’s ligt de focus vaak op technische beveiliging. Maar wie uiteindelijk iets over data te zeggen heeft, wordt niet alleen door techniek bepaald. Juridische toegang, oftewel het recht om data op te eisen, is geen datalek. Het kan wel doorslaggevend zijn voor wie uiteindelijk zeggenschap heeft over die data. Daarom is bij het beoordelen van risico’s niet alleen de beveiliging relevant, maar ook het rechtsgebied waaronder data en leveranciers vallen.

3. Wat gebeurt er als een leverancier wordt overgenomen of onder druk komt te staan?

Wie denkt dat contracten grip bieden, vergist zich. De overname van Solvinity door het Amerikaanse Kyndryl liet opnieuw zien hoe fragiel die grip is. Zonder technische wijziging en zonder incident verschoof de zeggenschap naar een ander rechtsgebied. Dat is geen theoretisch risico, maar de realiteit van afhankelijkheid.

4. Hebben we zicht op risico’s bij leveranciers en partners?

Veel aanvallen beginnen niet bij de organisatie zelf, maar bij een kleinere leverancier met toegang tot kritieke systemen. Dat zagen we bij grootschalige ketenincidenten waarbij één kwetsbare schakel honderden organisaties tegelijk raakte. Niet omdat die organisaties hun beveiliging niet op orde hadden, maar omdat ze geen zicht hadden op wat er buiten hun directe controle gebeurde.

5. Is onze beveiliging een geheel, of een verzameling losse oplossingen?

Wat ik vaak zie, is dat organisaties meer security-tools hebben dan overzicht. Alerts verdwijnen in silo’s, verantwoordelijkheden zijn versnipperd en besluitvorming kost tijd. Tegen de tijd dat het beeld compleet is, is de schade vaak al aangericht.