Digitale Sovereiniteit – Welke weg slaat Europa in?

Share this post:

Vertrouwen opbouwen in de cloud vormt de kern van een nieuwe beweging in Europa die als doelstelling heeft om bedrijven te ondersteunen bij het halen van waarde uit hun data en het doen van technologische innovaties.

De enorme schat aan industriële data in Europa is nog groter geworden door de versnelde digitalisering tijdens de wereldwijde lockdown.

In een tijdperk van snelgroeiende innovaties op het terrein van informatietechnologie is het van cruciaal belang om deze innovaties in praktijk te brengen en handvatten te bieden aan de huidige uitdagingen van de samenleving, organisaties en ondernemingen. De echte waarde zit in het bieden van oplossingen en diensten die deze uitdagingen aanpakken. Dit vereist een multidisciplinaire, benadering binnen het totale ecosysteem.  Vanuit die optiek zouden alle Europese soevereiniteitsinitiatieven elke vorm van samenwerking moeten aanmoedigen en versterken, hierbij gebruik makende van bestaande technologische innovatie om – in een klimaat van vertrouwen – zinvolle use cases te creëren voor industrieën en de samenleving.

Laten we eens kijken naar de belangen van digitale soevereiniteit en enkele van de initiatieven van overheden en cloud serviceproviders (CSP’s) wat verder uitlichten en laten zien hoe organisaties hiervan kunnen profiteren.

Succes factoren voor het bereiken van digitale soevereiniteit  

Digitale soevereiniteit is een benadering die wordt aangevoerd door de EU. Digitale soevereiniteit kan vele vormen aannemen. Hieronder zetten we vijf essentiële pijlers van succes uiteen:

1. Strategische autonomie: Europese organisaties in staat stellen nieuwe bedrijven en diensten op te bouwen voor klanten en burgers die gebruikmaken van bestaande technologie en op veilige en vertrouwde manieren profiteren van een enorme hoeveelheid Europese gegevens. Het vereist 1) digitaal vertrouwen (bijvoorbeeld gegevensbescherming, cyberweerbaarheid, gedeelde waarden); 2) capaciteit om technologie te omarmen (inclusief alle innovaties, in plaats van het wiel opnieuw uit te vinden); en 3) een ecosysteembenadering van alle belanghebbenden: degenen die de uitdagingen van een bepaalde sector begrijpen (bijv. financiën, gezondheid, industrie, enz.), degenen die de technologie leveren en degenen die deze in actie kunnen brengen en implementeren.
2. Bloeiende innovatie door een ecosysteembenadering: De ecosysteembenadering is niet alleen nodig om de kracht van verschillende soorten belanghebbenden (bijv. industrieën, technologieleveranciers, systeemintegrators) te verenigen, maar ook om de vertegenwoordigers van dezelfde industrie (sector) samen te brengen in een vertrouwde omgeving.  Zij kunnen hiermee hun gegevens delen en samen werken om de uitvinding van nieuwe diensten mogelijk te maken (bijvoorbeeld op het gebied van fraudebestrijding).
3. Betere bescherming van persoonlijke en industriëele gegevens en IP: digitale transformatie en het waarborgen van een veilige data-economie sluiten elkaar niet uit. De uitdaging is om het voor organisaties gemakkelijker te maken een ​​hoog niveau van gegevensbescherming te bereiken. Dit hoge niveau van gegevensbescherming kan worden bereikt door middel van contractuele betrokkenheid, certificeringen en geavanceerde beveiligingstechnologie, beveiligingsmaatregelen en realtime nalevingscontroles en rapportage. Deze hoge beveiligings- en beschermingsnormen moeten van toepassing zijn op de gegevens (met name gevoelige gegevens). De organisaties moeten de volledige controle en eigendom houden over hun gegevens en de inzichten die uit deze gegevens voortvloeien om innovatie te stimuleren.
4. Verbeterde cyberbeveiliging: afgelopen jaar zagen we opnieuw een recordaantal beveiligingsincidenten waardoor bedrijven en organisaties werden lamgelegd. Hoewel de cloud een reeks beveiligingsmaatregelen in zich heeft en – in combinatie met een aantal certificeringen een ​​hoog niveau van beveiligingsnormen kan garanderen –  kan de verdeling van verantwoordelijkheden tussen cloudproviders en gebruikers enige verwarring of dubbelzinnigheid veroorzaken.

Duidelijkheid en het juiste niveau van bewustzijn voor gebruikers zijn essentieel om cyberweerbaarheid te waarborgen. Deze moet gebaseerd zijn op twee pijlers:

• Cyberweerbaarheid van cloud serviceprovider (CSP) (vaak “security below the line” genoemd), is samengesteld uit een reeks beveiligingsmaatregelen, -processen en -controles, evenals specifieke beveiligingsservices waarop gebruikers zich kunnen abonneren. Het niveau van de cyberweerbaarheid van de CSP wordt aangetoond door een reeks verkregen certificeringen (bijv. ISO-beveiligingsgerelateerde certificeringen, SOC2-certificering en eventuele specifieke certificeringen per branche) en andere branchespecifieke controletools (bijv. IBM Security and Compliance Center voor financiële diensten).
• “Above the line” cyberweerbaarheid heeft betrekking op specifieke maatregelen die de klanten moeten nemen om de cyberweerbaarheid van cloudproviders aan te vullen. Cloudgebruikers zijn verantwoordelijk voor het abonneren op specifieke services die zijn afgestemd op de beveiligingsvereisten van hun omgeving (bijv. IBM Cloud Hyper Protect Crypto Services met niveau 4 cryptografische module) en voor het opzetten van een algehele beveiligingsmonitoring en -controle.

5. Zorg voor een nieuwe generatie talent: het zorgdragen voor de her- en bijscholing van studenten en professionals
om de benodigde infrastructuur en diensten te ontwikkelen en deze in te zetten om de data-economie te stimuleren.

Digitale soevereiniteitsinitiatieven 

Er zijn een aantal initiatieven om de doelen van digitale soevereiniteit te bereiken:

De EU-gedragscode voor clouddiensten — garantie van de hoogste privacy- en beveiligingsnormen in de cloud: IBM is één van de grondlegger geweest bij de ontwikkeling van de EU-gedragscode voor gegevensbescherming voor cloud serviceproviders en was in 2017 de eerste leverancier die cloud diensten in overeenstemming met de code aanbod. De code wordt onafhankelijk gecontroleerd en bevat strikte garanties – inclusief de GDPR nalevingsmaatregelen – voor de bescherming van gegevens in cloudservices. De EU Cloud Code of Conduct is officieel goedgekeurd door de Lead Data Protection Authority. Deze goedkeuring zorgt ervoor en bewijst dat aangemelde services niet alleen voldoen aan de GDPR, maar nog verder gaan op het gebied van vertrouwen, verantwoording en transparantie. Met de gedragscode kunnen cloudgebruikers die een cloudservice gebruiken, die zich aan de code houdt, erop vertrouwen dat ze de GDPR maatregelen naleven en dat hun gegevens veilig zijn.

• GAIA-X — een Europese samenwerking op heb terrain van Cloud: GAIA-X zal leiden tot Europa’s volgende generatie data-infrastructuur — samenwerking tussen Europese landen en cloudbedrijven gebaseerd op een cloudsysteem waarmee organisaties de voordelen van cloudcomputing kunnen benutten en kunnen samenwerken met partners zonder vast te zitten aan een specifieke leverancier.  IBM is lid van GAIA-X. We delen haar doelstellingen met betrekking tot verantwoordelijkheid, beveiliging en gegevensbescherming, evenals interoperabiliteit, overdraagbaarheid en de bevordering van open standaarden en omgevingen.

Het bieden van technische waarborgen

Om deel uit te maken van de betrouwbare data-economie, moeten organisaties kunnen kiezen uit de beste privacy- en beveiligingsoplossingen. IBM geeft prioriteit aan het bieden van eersteklas privacy, met behoud van technologieën om het delen van gegevens binnen en tussen organisaties te ondersteunen.  Enkele van onze nieuwste innovaties zullen organisaties helpen deel uit te kunnen maken van een Europese op vertrouwen gebaseerde data-economie:

• Confidential computing: een echte doorbraak is onze ‘confidential computing’-mogelijkheid. Jarenlang konden cloud providers alleen coderingsservices aanbieden die gegevens ‘in rust’ en ‘in transit’ beschermden, waardoor gegevens ‘in gebruik’ kwetsbaar bleven. De confidential computing van IBM versleutelt en beschermt continu gegevens gedurende de gehele levenscyclus van de computer, ook wanneer deze in het geheugen worden verwerkt. Deze holistische benadering van gegevensbescherming opent nieuwe mogelijkheden om cloudinnovatie te benutten en lost met succes een deel van de beveiligings- en privacyproblemen op.
• “Keep Your Own Key” is een toonaangevende coderingstechnologie waarmee bedrijven de controle over hun eigen coderingssleutels kunnen behouden, wat betekent dat zij de enigen zijn die de toegang tot hun gegevens kunnen controleren. IBM’s leiderschap op dit gebied wordt ondersteund door het hoogste niveau van beveiligingscertificering dat op de markt beschikbaar is.
• Hybride cloud: met hybride cloud kunnen gebruikers profiteren van technologische innovaties (meestal geboren in de cloud) in elk implementatiemodel (bijv. public cloud, on-premises of edge). Bij hybride cloud gaat het tegenwoordig niet meer om het verbinden van het lokale IT-datacenter met de public cloud, maar om het brengen van cloudservices daar waar de organisatie ook besluit, binnen alle mogelijke operationele modellen: als een licentie (beheerd door klanten) of beheerd door de cloudprovider. De hybride cloud benadering van IBM, grotendeels gebaseerd op open source, biedt portability en volledige keuzevrijheid op het gebied van implementatie en operationele modellen.
• EU-only services: EU-only services stellen klanten in staat om gegevens op te slaan en te verwerken in de Europese Unie. IBM’s EU-only optie zorgt ervoor dat de gegevens van klanten worden opgeslagen en verwerkt in de EU en dat in de EU gevestigd personeel updates en bewerkingen van cloudservices uitvoert. Mocht het nodig zijn dat niet-EU-personeel toegang krijgt tot de infrastructuur of een dienst (bijv. een niveau 3-incident dat niet door EU-personeel kan worden opgelost), is de toegangstoestemming onderworpen aan een goedkeuringsproces en strikte controles. IBM heeft uitgebreide en ongeëvenaarde mogelijkheden voor gegevensopslag en -verwerking in de EU. We bieden sinds 2017 (vóór de GDPR) deze specifieke EU-ondersteuning voor onze cloudservices. Onze cloudinfrastructuur in Frankfurt is C5-gecertificeerd door het Duitse cybersecuritybureau BSI.

Conclusie 

Vertrouwen en transparantie zijn van fundamenteel belang om het volledige potentieel van de data-economie te realiseren. De inspanningen van Europa voor het bewerkstellingen van een betrouwbare cloud creëert nieuwe kansen voor bedrijven. IBM ondersteunt de inspanningen van de EU om meer vertrouwen in de digitale economie op te bouwen en een leider te worden in een op waarden gebaseerde digitale revolutie. IBM neemt al jaren deel aan EU-initiatieven (o.a. EU Cloud Code of Conduct en GAIA-X) om bij te dragen aan het opbouwen van digitaal vertrouwen. IBM houdt zich aan Europese waarden en voldoet aan de EU-regelgeving en de hoogste beveiligingsnormen. Onze toewijding aan deze doelstelling is glashelder. Europese entiteiten van IBM zijn onderworpen aan hun nationale jurisdictie en zullen elk verzoek van autoriteiten die geen jurisdictie over hen hebben, om toegang te krijgen tot de gegevens die hen door een onderneming of organisatie zijn toevertrouwd, afwijzen. IBM is er om de EU te helpen bij haar werk, om onze klanten op de hoogte te houden van nieuwe technologische ontwikkelingen en om hen te helpen waarde uit hun data te halen.