Datasoevereiniteit: zo houdt u uw data in de cloud buiten schot

De voorbije jaren gingen bedrijven almaar vaker in de public cloud werken. De vraag of ze daarbij wel voldoende controle over hun data behielden, woog meestal niet op tegen de voordelen van de cloud. Maar de wereld verandert snel. Vandaag maken bedrijven en overheden zich wel degelijk zorgen over hun data in de public cloud. Cloudsoevereiniteit wint aan belang. Maar hoe maakt u er concreet werk van?

Het is geen toeval dat Microsoft in ons land drie datacenters heeft geopend, die samen de cloudregio 'Azure Belgium Central' vormen. Microsoft wil daarmee onderstrepen dat het data van Europese klanten veilig op Europese bodem opslaat. Dat is een belangrijk signaal, want tegelijk voelt Microsoft druk, met name in zijn thuisland. In de tweede helft van 2024 dienden Amerikaanse overheidsdiensten 5.560 verzoeken in bij Microsoft, met de vraag om data van klanten vrij te geven. In 16% van de gevallen leidde dat tot de vrijgave van bepaalde gegevens. Maar, zo stelt Microsoft, amper 1% van de aanvragen had betrekking op bedrijven.

Concreet ging het in de tweede helft van 2024 om 173 aanvragen om data van bedrijven vrij te geven. In 66 gevallen ging Microsoft op de vraag in. Daarvan waren er 5 die verband hielden met niet-Amerikaanse bedrijven. In geen enkel geval was er een Europees bedrijf betrokken met data in de Europese Unie. Cijfers voor 2025 zijn nog niet beschikbaar.

Het risico dat een Amerikaanse overheidsdienst data van een Europees bedrijf opvraagt bij Microsoft is dus klein. De volatiliteit in de huidige Amerikaanse politiek kan dat risico echter vergroten. Europese bedrijven, organisaties en overheden willen zich daar tegen beschermen. Ze beseffen dat we in Europa werk moeten maken van cloudsoevereiniteit, om zo de controle te behouden over data, ook wanneer die zich op Amerikaanse cloudplatformen bevinden – al dan niet op Europese bodem. Eén van de belangrijkste aspecten binnen cloudsoevereiniteit is de soevereiniteit van de data.

Op zoek naar datasoevereiniteit

Wanneer we het over datasoevereiniteit willen hebben, is het in de eerste plaats interessant om te kijken hoe Microsoft omgaat met het verzoek van een Amerikaanse overheidsdienst om data van een Europese klant vrij te geven. “Als Microsoft zo’n verzoek tot vrijgave ontvangt, checkt het bedrijf eerst of aan alle juridische vereisten is voldaan”, zegt Wouter Lippens, cloud solution architect bij Inetum. “De aanvrager moet het juiste bevelschrift kunnen voorleggen.” In bijna zeven op tien van de gevallen leidt de aanvraag tot niets, omdat niet aan de voorwaarden is voldaan, of omdat Microsoft de aanvrager doorverwijst naar de klant zelf.

In de andere gevallen willigt Microsoft het verzoek wel in, maar zoals gezegd gaat het daarbij bijna uitsluitend om Amerikaanse klanten.

Meer grip op cloud en data

De kans dat Microsoft zowel uw geëncrypteerde data en de bijhorende sleutel prijsgeeft, is dus klein, maar niet onbestaande. Een beperkt percentage van de verzoeken eindigt met vrijgave en decryptie. Maar is er een mogelijkheid om dat scenario te vermijden, zonder evenwel de voordelen van de public cloud op te geven? Kortom: hoe kunnen organisaties alsnog meer controle krijgen over hun data in de cloud?

Ook de FOD Mobiliteit en Vervoer stelde zich die vraag en klopte ermee aan bij technologiepartner Inetum. Wouter Lippens: “De federale overheidsdienst bewaart data op verschillende cloudplatformen, zowel op Microsoft Azure en Microsoft 365. Om de FOD zo veel mogelijk controle over die data te geven, stelden we het gebruik van Azure Managed HSM voor.”

Met Azure Managed HSM, een cloudservice van Microsoft, kunt u als gebruiker een beroep doen op een zogenaamde Hardware Security Module. Daarmee maakt u uw eigen sleutels aan om er data op Azure, M365 en andere Microsoft SaaS platformen mee te encrypteren en te decrypteren. U gebruikt dan zogenaamde Customer Managed Keys. “Om die sleutel te bemachtigen, is fysieke toegang tot de HSM-modules vereist—iets wat in de praktijk nagenoeg onmogelijk is door de strikte fysieke beveiliging en gecontroleerde toegang. Bovendien: bij elke poging tot manipulatie met het toestel activeert het apparaat onmiddellijk zijn beveiligingsmechanismen en worden alle sleutels automatisch gewist.”

Een kwestie van vertrouwen

Via de Azure Managed HSM maken gebruikers zo lang en zo vaak gebruik van een HSM als ze zelf nodig achten, zonder dat ze de zware investering in de benodigde hardware moeten dragen. Maar via Azure Managed HSM maak je dus wel nog altijd gebruik van een cloudservice bij Microsoft. Het blijft ook hier dus een afweging tussen risico en functionaliteit. “Uiteindelijk is het een kwestie van vertrouwen, hoe klein het risico ook is”, zegt Wouter Lippens. “En zelfs als je bij de fysieke server zou komen, dan is de kans nihil.”

Maatwerk

Zoals aangegeven kwam uit een studie van Inetum Azure Managed HSM als beste oplossing uit de bus voor de FOD Mobiliteit en Vervoer. Maar dat betekent niet dat het daarom ook de aangewezen oplossing is voor om het even welke andere onderneming of overheid. “Niet elke organisatie heeft dezelfde wensen en vereisten omtrent datasoevereiniteit. Tegelijk hangt het ervan af op welke cloudplatformen je je data bewaart. De oplossing moet er compatibel mee zijn.”

Tot slot: is datasoevereiniteit nu vooral een werkpunt voor organisaties die met heel gevoelige data werken, zoals overheidsdiensten, ziekenhuizen of advocatenkantoren? “Voor dat soort organisaties is het zeker een aandachtspunt”, besluit Wouter Lippens. De verwachting is bovendien dat datasoevereiniteit in de toekomst alleen maar meer gewicht krijgt. “Om een voorbeeld te geven: voortaan omvat elke openbare aanbesteding voor clouddiensten van de Europese Commissie een clausule rond datasoevereiniteit.” Wellicht nemen overheidsdiensten hierin een voortrekkersrol. Maar daar eindigt het verhaal niet. “Elk bedrijf dat concurrentieel gevoelige data in de cloud bewaart, doet er goed aan zijn datasoevereiniteit te versterken.”

Gaat u voor optimale datasoevereiniteit?

Welke wensen en vereisten stelt uw organisatie omtrent datasoevereiniteit? Waar bewaart u uw data? Heeft u hierbij vragen, wenst u dit in kaart te brengen met het oog op de best passende oplossing voor uw organisatie? Mail dan vandaag nog naar info.belgium@inetum.com of neem contact op met uw vertrouwde Inetum-contactpersoon. We maken er werk van.

Technology review