Maar liefst 61% van de Nederlandse organisaties zet digitale soevereiniteit hoog op de agenda en wil ‘in control’ zijn over hun data. Toch missen veel organisaties het inzicht en de samenhang om die controle daadwerkelijk te realiseren. Dit blijkt uit een rondvraag van IT-bedrijf Cegeka onder 35 grote organisaties in de maakindustrie, financiële sector en overheid.
“Veel organisaties wekken de indruk dat ze hun digitale soevereiniteit op orde hebben”, legt Hanin el Farissi (expert digitale soevereiniteit bij Cegeka) uit. “Maar zo blijkt, digitale soevereiniteit leeft aan de bestuurstafel en verdampt in de uitvoering.”
Uit de rondvraag komt naar voren dat 74% van de organisaties digitale soevereiniteit belangrijk vindt bij strategische IT-keuzes. Toch beschikt nog niet eens de helft (46%) over basismonitoring van hun IT-omgeving, en werkt slechts een minderheid met geïntegreerde of proactieve observability.
“Hierdoor hebben veel organisaties onvoldoende zicht op hun data- en IT-landschap”, voegt El Farissi toe. “Dit terwijl inzicht in datastromen, afhankelijkheden en afwijkingen cruciaal is om risico’s te ontdekken en beheersbaar te maken.”
Daarnaast wijst El Farissi op het EU Cloud Sovereignty Framework. “Dit framework laat zien dat digitale soevereiniteit heel veelzijdig is. Door die complexiteit vinden organisaties het lastig om digitale soevereiniteit te realiseren.”
El Farissi merkt op vaak de juiste tools en processen vaak ontbreken om daadwerkelijk inzicht te creëren en digitaal soeverein te zijn. “Je kunt pas duidelijke beslissingen nemen als je weet wat je hebt, en waar het staat. Alleen basismonitoring volstaat niet.”
Het grootste struikelblok bij het gebruiken van observability-tools is volgens de IT-expert dan ook het gebrek aan mensen met kennis en kunde en het rekening houden met internationale regelgevingen, blijkt uit het onderzoek.
Risicobesef groot, maar grip klein
Daarnaast blijkt uit de rondvraag dat bijna de helft van de organisaties (48%) externe leveranciers – bijvoorbeeld cloudproviders – als een risico ziet voor compliance en security. Dit staat haaks op wat organisaties volgens het onderzoek zeggen te doen: beperkte monitoring van data, versnipperde data governance en sterke afhankelijkheid van uitbestede securitydiensten.
Vooral op het gebied van data‑governance is de volwassenheid beperkt. Slechts één derde van de organisaties beschikt over een uitgebreid data‑governance‑model. Veelgenoemde uitdagingen zijn datakwaliteit, het ontbreken van een single source of truth en het voorkomen dat gevoelige data onbedoeld bij externe partijen terechtkomt.
“Organisaties weten waar de risico’s zitten als het gaat om compliance en security, maar kunnen deze risico’s onvoldoende volgen, sturen en indammen”, aldus El Farissi.
Exitstrategie vaak een ‘geruststellend document’
Verder blijkt dat veel organisaties een exitstrategie hebben: een plan om data veilig over te zetten naar een ander systeem of een andere leverancier. Maar in de praktijk zijn veel exitstrategieën zelden getest of niet goed uitvoerbaar.
“Organisaties hebben vaak wel contractuele afspraken en datalocatie-eisen, maar zonder inzicht in datastromen, afhankelijkheden en ketens blijven deze afspraken theoretisch. Een exitstrategie is niet meer dan een geruststellend document”, stelt El Farissi.
Digitale soevereiniteit blijft theorie
Toch ligt het verschil tussen bewustwording en uitvoering niet altijd aan de organisaties zelf. “De intentie om digitaal soeverein te zijn is duidelijk aanwezig”, benadrukt El Farissi tot slot. “Maar zonder inzicht in datastromen en afhankelijkheden van externe partijen blijft dit vaak een ambitie die moeilijk waar te maken is.”
“Organisaties kunnen pas echt ‘in control’ zijn wanneer ze volledige transparantie hebben over hun IT- en datalandschap.”