Merendeel van Nederlandse organisaties hecht veel waarde aan digitale soevereiniteit

Uit de enquête komt naar voren dat 74% van de organisaties digitale soevereiniteit een belangrijke factor vindt bij strategische IT-beslissingen. Desondanks heeft nog geen helft (46%) basismonitoring van hun IT-omgeving geïmplementeerd, en maakt slechts een klein deel gebruik van geïntegreerde of proactieve observability. “Hierdoor hebben veel organisaties onvoldoende zicht op hun data- en IT-landschap. Dit terwijl inzicht in datastromen, afhankelijkheden en afwijkingen cruciaal is om risico’s te ontdekken en beheersbaar te maken”, zegt El Farissi.

Daarnaast wijst El Farissi op het EU Cloud Sovereignty Framework. “Dit framework laat zien dat digitale soevereiniteit heel veelzijdig is. Door die complexiteit vinden organisaties het lastig om digitale soevereiniteit te realiseren.” Ook ontbreken vaak de juiste tools en processen om daadwerkelijk inzicht te creëren en digitaal soeverein te zijn, merkt El Farissi. “Je kunt pas duidelijke beslissingen nemen als je weet wat je hebt, en waar het staat. Alleen basismonitoring volstaat niet.” Een van de grootste obstakels bij het toepassen van observability-tools is het tekort aan geschoolde professionals en het omgaan met complexe internationale regelgeving, zo blijkt uit het onderzoek.

Risicobewustzijn is groot, maar de controle ontbreekt

Uit de rondvraag komt bovendien naar voren dat bijna de helft van de organisaties (48%) externe leveranciers, zoals cloudproviders, beschouwt als een potentieel risico voor compliance en beveiliging. Dit contrasteert sterk met de daadwerkelijke praktijk: organisaties voeren beperkte monitoring van data uit, hebben gefragmenteerde data-governance en zijn sterk afhankelijk van uitbesteede beveiligingsdiensten.

Met name op het gebied van data-governance is de volwassenheid beperkt. Slechts een derde van de organisaties heeft een uitgewerkt data-governance-model. Veelvoorkomende uitdagingen zijn de kwaliteit van data, het ontbreken van een betrouwbare, centrale bron en het voorkomen dat gevoelige informatie onbedoeld bij externe partijen belandt.

“Organisaties weten waar de risico’s zitten als het gaat om compliance en security, maar kunnen deze risico’s onvoldoende volgen, sturen en indammen”, aldus El Farissi.

Exitstrategie vaak niet meer dan een ‘papieren geruststelling’

Uit het onderzoek komt naar voren dat veel organisaties weliswaar een exitstrategie hebben opgesteld – een plan om data veilig te migreren naar een ander systeem of een andere leverancier. In de praktijk blijken deze strategieën echter zelden daadwerkelijk te zijn getest of goed uitvoerbaar. Hoewel organisaties vaak contractuele afspraken en eisen rondom datalocatie hebben vastgelegd, blijven deze afspraken zonder inzicht in datastromen, afhankelijkheden en ketens vooral theoretisch van aard. "Een exitstrategie is niet meer dan een geruststellend document”, legt El Farissi uit.

Toch ligt het verschil tussen bewustwording en uitvoering niet altijd aan de organisaties zelf, benadrukt El Farissi. “De intentie om digitaal soeverein te zijn is duidelijk aanwezig. Maar zonder inzicht in datastromen en afhankelijkheden van externe partijen blijft dit vaak een ambitie die moeilijk waar te maken is. Organisaties kunnen pas echt ‘in control’ zijn wanneer ze volledige transparantie hebben over hun IT- en datalandschap”, concludeert El Farissi.