Digitale autonomie – waarom je nú een exitstrategie moet bouwen

Veel organisaties leunen zwaar op één of enkele cloudleveranciers. Die situatie beperkt hun wendbaarheid bij verstoringen, veranderende wetgeving of strategiewijzigingen. Dat bedrijfscontinuïteit van de ene op de andere dag in gevaar kan komen, bleek toen Microsoft, op bevel van de Amerikaanse president Trump, de toegang tot e-mail en data afsloot bij het Internationaal Strafhof vanwege het door het hof uitgevaardigde arrestatiebevel tegen de Israëlische premier Netanyahu.

Uit onderzoek van Proximus NXT blijkt dat ruim 47 procent van de Nederlandse organisaties leveranciersafhankelijkheid ziet als een belangrijke bedreiging voor bedrijfscontinuïteit. Toch is 32,2 procent van de respondenten niet voorbereid op langdurige uitval van bedrijfskritische systemen. De eerste stap om de afhankelijkheid te verminderen is het opstellen van een exitstrategie waarin realistische plannen staan om data en workloads te verplaatsen, zodat op zijn minst de kernactiviteiten van de organisatie kunnen doorgaan bij een onverwachte gebeurtenis. Uit het onderzoek blijkt dat ruim een kwart van de organisaties daar niets voor heeft geregeld. “Eigenlijk hoor je altijd van tevoren een exitstrategie te bepalen”, zegt Ronald van Heek, Managing Director van Proximus NXT Nederland. “Het is ook niet zo makkelijk”, geeft hij toe. “Ik denk dat er maar heel weinig organisaties zijn die een exitstrategie hebben om uit Microsoft 365 te komen. Daar moet je je, zeker als overheidsinstantie, bank of zorginstelling, wel op voorbereiden en een project voor opstarten. De belangrijkste vragen om mee te beginnen zijn: welk doel wil je bereiken en welke scenario’s zijn er? En vervolgens moet je een business case creëren.”

Transparantie ontbreekt

Het is relatief eenvoudig om binnen korte tijd een nieuwe e-mailtool te regelen voor een beperkt aantal medewerkers. Om dat echter organisatiebreed te doen en de e-mailhistorie mee te nemen is wel een ander verhaal. “Die data zijn heel belangrijk voor een organisatie, dus daar moet je ook op letten”, stelt Van Heek. Bijna driekwart van de ondervraagden zegt te weten waar bedrijfs- en klantdata fysiek staan, maar ruim 31 procent ervaart een gebrek aan transparantie van cloudleveranciers over locatie en toegang tot data. Dat gegevens in datacentra in de EU staan, wordt vaak gezien als voldoende zekerheid, maar geeft organisaties nog geen echte regie over bijvoorbeeld governance, risicobeheersing en compliance, en geeft geen antwoord op de vraag welke niet-EU-overheden alsnog toegang kunnen afdwingen.

Uit het onderzoek blijkt dat 42 procent van de ondervraagden de hoge kosten noemt als belangrijkste reden om niet te investeren in maatregelen om de autonomie te verhogen. Zo’n 38 procent geeft aan daarvoor te afhankelijk te zijn van hun cloudleverancier (vendor-lockin). Iets meer dan een derde zegt over onvoldoende kennis te beschikken om aan de slag te gaan met meer autonomie.

Blijf bij de standaarden

Een mogelijkheid om gemakkelijker workloads te kunnen verhuizen is het gebruik van virtual machines of open-source containers op een Kubernetes-platform. De bedrijfssoftware is dan verpakt in gestandaardiseerde eenheden die in principe snel overgeplaatst kunnen worden op een vergelijkbaar platform bij een andere infrastructuuraanbieder. “Dit soort technologie kun je inderdaad op Azure implementeren en bij AWS, Google, IBM of een Europese cloudaanbieder. De theorie is soms wel mooier dan de praktijk. Je ziet dat die partijen allemaal alweer verschillende manieren hebben gevonden om die standaard in te vullen. Die cloudproviders zijn erbij gebaat om een soort stickiness te creëren.” Hij raadt daarom organisaties die hiermee aan de slag willen aan om zoveel mogelijk bij de standaarden te blijven die de open-source ontwikkelaars hebben gedefinieerd. “Als je te veel ingaat op providerspecifieke functionaliteit, blijft een overstap alsnog een traditionele migratie.”

Een andere mogelijkheid is om een hybride cloud in te richten. Zeker wat grotere organisaties hebben vaak nog wel een eigen datacentrum voor specifieke toepassingen, bijvoorbeeld wanneer lagere latency belangrijk is. Veel publieke cloudproviders bieden de mogelijkheid om ook op lokale hardware een private cloudarchitectuur in te richten. Dan zijn wel lokale infrastructuur en beheerexpertise nodig, die juist een paar jaar geleden met de migratie naar de cloud zijn afgestoten. Een deel van die last kan worden voorkomen door de private cloudinfrastructuur onder te brengen bij een Europese cloudaanbieder. Het is zelfs mogelijk om zeer gevoelige data onder te brengen in een disconnected cloud, die niet aan het publieke internet is gekoppeld. Google biedt die mogelijkheid al en Microsoft heeft een Azure Local Disconnected-aanbod in bètatest. Van Heek: “Een nadeel kan zijn dat bepaalde functionaliteiten ontbreken, omdat die nou eenmaal vanuit de publieke cloud moeten komen. Daarnaast komt deze optie wel met een hoger prijskaartje, omdat die oplossing minder breed geschaald is en de software gewoon prijziger is dan wanneer je die als SaaS afneemt bij cloudproviders. Maar het gaat ons helpen een belangrijke stap te zetten op het gebied van soevereiniteit en dataveiligheid.”
Het is daarom belangrijk te bepalen welke processen echt niet kunnen uitvallen en welke data daarvoor essentieel zijn. Zo kan een goede dataclassificatie en -segmentatie helpen om de kosten van een dure soevereine opslag te beperken.

AI biedt nieuwe kansen voor autonomie

Met de snelle opkomst van AI en zeker generatieve AI zetten organisaties de technologie vaak sneller in dan de governance daaromheen is geregeld. Uit het onderzoek blijkt dat slechts 41 procent van de respondenten richtlijnen heeft voor het gebruik van AI in combinatie met gevoelige data. Bij 17 procent is er zelfs helemaal geen beleid of bewustwording rond GenAI-gebruik, en nog geen 23 procent heeft technische maatregelen om te voorkomen dat gevoelige data in externe AI-tools belanden. Van Heek ziet AI juist als een kans om soevereiniteit vanaf de basis beter te regelen, mits organisaties ervoor kiezen om Europese AI-alternatieven te gebruiken en AI niet bovenop de bestaande big-tech-afhankelijkheden te stapelen. “Er is best heel veel innovatie in Europa gaande op dit gebied. Dus als overheden en bedrijven vaker gebruikmaken van Europese alternatieven, kunnen we die innovatie aanjagen en soevereiniteit en data-veiligheid implementeren in de kern van deze ontwikkeling. Zo biedt de nieuwe geopolitieke realiteit Europa en onze techsector ook weer kansen om de opgelopen achterstand door innovatie prioriteit te geven, zodat we autonomer kunnen worden van de grote techproviders uit Amerika en Azië.”