'Hybride benadering beste voor implementatie datasoevereiniteit'

Data zijn het belangrijkste ‘waarde-asset’ van bedrijven en organisaties, maar vanzelfsprekend ook van overheden. Zeker nu de manier waarop zij zakelijke en strategische beslissingen nemen geheel ‘data driven’ is.

Dit betekent dat het voor bedrijven belangrijk is hoe deze data worden beheerd, worden gebruikt, wie precies toegang tot de gegevens heeft en voldoen aan de wetten en governance-structuren van het land waarin de gegevens worden verzameld en bewaard. Kortom, ze willen weten hoe het met de datasoevereiniteit van hun gegevens is gesteld.

Factoren datasoevereiniteit

Uit recent onderzoek van Pure Storage in de regio’s Europa en Azië -Pacific blijkt dat datasoevereniteit op dit moment een ‘perfect storm’ doormaakt. “Er zijn verschillende redenen waarom datasoevereiniteit op dit moment opeens ‘top of mind’ is”, zegt Fred Lherault, Field CTO EMEA van Pure Storage. “Ten eerste zijn er ontwikkelingen op het gebied van wet- en regelgeving. Denk voor de EU bijvoorbeeld aan de al jarenlange AVG-regelgeving en meer recent DORA voor de financiële sector. Deze wet- en regelgeving gaat over data, datasoevereiniteit is hier een vanzelfsprekend onderdeel van.”

“Een andere factor is de opkomst van AI. Waar zijn mijn data en op welke data wordt de AI getraind? In dat licht is ook nieuwe wet- en regelgeving in opkomst. Denk aan de AI Act en de EU Cloud and AI Development Act in de EU. Dit leidt tot meer investeringen in soevereine dataleveranciers en soevereine cloudaanbieders.”

“Verdere factoren zijn de sterke opkomst de afgelopen 20 jaar van de public cloud en, zeker vanuit Europees perspectief, geopolitieke ontwikkelingen.”

Drietal conclusies

Uit het onderzoek komen drie belangrijke conclusies naar voren. In de eerste plaats geeft 100 procent van de respondenten aan dat het negeren van datasoevereiniteit tot onderbrekingen van de dienstverlening kan leiden. Lherault: “Bedrijven kijken daarom serieus naar waar hun data zijn opgeslagen. Bij nieuwe applicaties is dit nu standaard en geen optie meer.”

De tweede conclusie is dat geopolitieke ontwikkelingen, volgens 92 procent van de respondenten, als een risico worden gezien wanneer er niet naar datasoevereiniteit wordt gekeken. Nog eens 85 procent geeft aan dat het niet aandacht besteden tot minder consumentenvertrouwen kan leiden.

De derde conclusie is dat het niet beantwoorden aan wet- en regelgeving tot problemen kan leiden. Volgens Lherault hebben vooral de respondenten uit Europa hierover zorgen.

“Vooral de EU-landen lopen voorop als het om de aandacht voor datasoevereiniteit gaat. Dit komt door de wet- en regelgeving (AVG, DORA) die meetelt. Niet beantwoorden aan deze wet- en regelgeving kan tot hoge boetes leiden. Bedrijven uit andere regio’s zijn toch meer geneigd om non-soevereine cloudomgevingen te gebruiken.”

“Ook laat 92 procent van de respondenten weten dat het niet beantwoorden aan datasoevereiniteit voor bedrijven tot reputatieschade kan leiden. Zeker als zij geen diensten meer kunnen leveren. Verder geeft 78 procent aan dat zij daarom nu standaard meerdere (cloud) service providers en ‘soevereine’ datacenters willen gebruiken. Ook voegen zij datasoevereiniteit toe aan hun vereisten voor data governance”, geeft de Field CTO EMEA aan.

Hybride benadering

Bedrijven hebben een drietal manieren om te reageren op de uitdagingen van datasoevereiniteit die op hen afkomen. Lherault: “In de eerste plaats kunnen zij hun hoofd in het zand steken en helemaal niets doen en hopen dat ze ‘veiligheid vinden in aantallen’. Dan zijn er die bedrijven die alles in een datasoevereine omgeving stoppen en vervolgens kunnen zeggen dat ze volledig datasoeverein zijn.”

“Ten derde is er de hybride benadering. Waarbij bedrijven op basis van data sets, criteria voor datasoevereiniteit en de soort data die ze verwerken bepalen naar wat voor omgeving deze toegaat. Een complete datasoevereine omgeving, een hierin gespecialiseerde cloudaanbieder, een private on-premisesomgeving of toch naar een public cloud.”

Pure Storage beveelt deze laatste benadering aan. “We willen graag dat bedrijven bij deze hybride benadering een aantal best practices uitvoeren. Te beginnen met een risico-onderzoek naar welke data ze hebben en welke risico’s daarvoor zijn. Vervolgens het bepalen van hybride mogelijkheden, bijvoorbeeld bedrijfskritische data in soevereine omgevingen en andere niet-kritische data in public cloudomgevingen. Dit moet zowel datasoevereiniteit als flexibiliteit bieden.”

“Verder moeten zij datasoevereine aanbieders evalueren op juridische grondslag, operationele weerbaarheid en compliance aan bestaande en toekomstige wet- en regelgeving. Verder moeten zij deze aanbieders toetsen op data-exit. Vooral dat er hiervoor geen vendor lock-in aanwezig is voor data-portabiliteit.”

Lherault vervolgt: “Pure Storage vindt dat bedrijven op deze hybride benadering moeten inspelen. Bijvoorbeeld dat ze architecturen bouwen die bepaalde basisabstractielagen hebben die het verplaatsen van data en applicaties goed faciliteren en daarbij een datasoevereine component inbouwen. We gaan daarom ook meer ‘rebalancing’ tussen cloudomgevingen zien. Van private (on-premises) en public cloudomgevingen tot datasoevereine omgevingen.”

Rol channel partners

Channelpartners kunnen volgens de Field CTO Europe van Pure Storage een belangrijke rol vervullen voor het adresseren van het belang van datasoevereiniteit. “Zij kunnen hierbij absoluut helpen. Het is daarbij wel belangrijk dat zijzelf eerst hun kennis over de wet- en regelgeving rondom dit thema opfrissen. Het kan nu niet meer worden genegeerd.”

“Maar ze kunnen ook helpen bij het discovery-proces voor waar data zich bevinden en het hele proces rondom risicoanalyse. Idealiter kunnen zij hiervoor een soort consultancydiensten leveren die met deze processen helpen.”

“Verder kunnen ze ook een rol spelen in de daarop volgende fase voor het helpen van klanten met het bouwen van die nieuwe cloud-agnostische ‘enterprise data cloud-architecturen’ om de datasoevereiniteit te kunnen waarborgen.”

“Samenvattend kan je de rol van partners voor datasoevereiniteit zien als het zijn van (kennis)experts op dit gebied, het leveren van diensten en oplossingen hiervoor en het versimpelen van het hele traject voor hun eindklanten. Dat is wat ze moeten doen."

Tips

Fred Lherault geeft nog een aantal tips. “In de eerste plaats moeten channel partners, zoals eerder aangegeven, zich goed voorbereiden op nieuwe wet- en regelgeving voor datasoevereiniteit.”

“Daarnaast moeten ze echt helpen met het opzetten van een architectuur die het hun eindklanten mogelijk maakt de verschillende soorten data, zoals kritisch en niet-kritisch, in verschillende cloudomgevingen onder te brengen. Denk daarbij aan public cloud, datasoevereine cloud of verschillende vormen van private cloud.”

“Last but, not least moeten zij de verschillende vormen van datasoevereine cloud die nu ‘op de markt’ komen grondig evalueren. Zodat zij uiteindelijk die optie kiezen die daadwerkelijk echte datasoevereiniteit garandeert.”