61 procent van de Neder­landse organi­sa­ties zet digitale soeve­rei­ni­teit hoog op de agenda en wil ‘in control’ zijn over hun data. Toch missen veel organi­sa­ties het inzicht en de samen­hang om die controle daadwer­ke­lijk te reali­seren. Dit blijkt uit een rondvraag van IT-bedrijf Cegeka onder 35 grote organi­sa­ties in de maakin­du­strie, finan­ciële sector en overheid. “Veel organi­sa­ties wekken de indruk dat ze hun digitale soeve­rei­ni­teit op orde hebben. Maar zo blijkt, digitale soeve­rei­ni­teit leeft aan de bestuurs­tafel en verdampt in de uitvoe­ring”, aldus Hanin el Farissi, expert digitale soeve­rei­ni­teit bij Cegeka.

Uit de rondvraag blijkt dat 74 procent van de organi­sa­ties digitale soeve­rei­ni­teit belang­rijk vindt bij strate­gi­sche IT-keuzes. Toch beschikt nog niet eens de helft (46%) over basis­mo­ni­to­ring van hun IT-omgeving, en werkt slechts een minder­heid met geïnte­greerde of proac­tieve obser­va­bi­lity. “Hierdoor hebben veel organi­sa­ties onvol­doende zicht op hun data- en IT-landschap. Dit terwijl inzicht in datastromen, afhan­ke­lijk­heden en afwij­kingen cruciaal is om risico’s te ontdekken en beheers­baar te maken”, zegt El Fariss

Daarnaast wijst El Farissi op het EU Cloud Sovereignty Frame­work. “Dit frame­work laat zien dat digitale soeve­rei­ni­teit heel veelzijdig is. Door die complexi­teit vinden organi­sa­ties het lastig om digitale soeve­rei­ni­teit te reali­seren.” Ook ontbreken vaak de juiste tools en processen om daadwer­ke­lijk inzicht te creëren en digitaal soeve­rein te zijn, merkt El Farissi. “Je kunt pas duide­lijke beslis­singen nemen als je weet wat je hebt, en waar het staat. Alleen basis­mo­ni­to­ring volstaat niet.” Het grootste strui­kel­blok bij het gebruiken van obser­va­bi­lity-tools is dan ook het gebrek aan mensen met kennis en kunde en het rekening houden met inter­na­ti­o­nale regel­ge­vingen, blijkt uit het onderzoek. 

Risicobesef groot, maar grip klein

Daarnaast blijkt uit de rondvraag dat bijna de helft van de organi­sa­ties (48%) externe leveran­ciers – bijvoor­beeld cloud­pro­vi­ders – als een risico ziet voor compli­ance en security. Dit staat haaks op wat organi­sa­ties volgens het onder­zoek zeggen te doen: beperkte monito­ring van data, versnip­perde data gover­nance en sterke afhan­ke­lijk­heid van uitbe­stede securitydiensten.

Vooral op het gebied van data‑governance is de volwas­sen­heid beperkt. Slechts één derde van de organi­sa­ties beschikt over een uitge­breid data‑governance‑model. Veelge­noemde uitda­gingen zijn datakwa­li­teit, het ontbreken van een single source of truth en het voorkomen dat gevoe­lige data onbedoeld bij externe partijen terecht­komt. “Organi­sa­ties weten waar de risico’s zitten als het gaat om compli­ance en security, maar kunnen deze risico’s onvol­doende volgen, sturen en indammen”, aldus El Farissi. 

Exitstrategie vaak een ‘geruststellend document’

Verder blijkt dat veel organi­sa­ties een exitstra­tegie hebben: een plan om data veilig over te zetten naar een ander systeem of een andere leveran­cier. Maar in de praktijk zijn veel exitstra­te­gieën zelden getest of niet goed uitvoer­baar. Organi­sa­ties hebben vaak wel contrac­tuele afspraken en datalo­catie-eisen, maar zonder inzicht in datastromen, afhan­ke­lijk­heden en ketens blijven deze afspraken theore­tisch. “Een exitstra­tegie is niet meer dan een gerust­stel­lend document”, legt El Farissi uit. 

Digitale soevereiniteit blijft theorie

Toch ligt het verschil tussen bewust­wor­ding en uitvoe­ring niet altijd aan de organi­sa­ties zelf, benadrukt El Farissi. “De intentie om digitaal soeve­rein te zijn is duide­lijk aanwezig. Maar zonder inzicht in datastromen en afhan­ke­lijk­heden van externe partijen blijft dit vaak een ambitie die moeilijk waar te maken is. Organi­sa­ties kunnen pas echt ‘in control’ zijn wanneer ze volle­dige trans­pa­rantie hebben over hun IT- en dataland­schap”, conclu­deert El Farissi.