Er gaat momenteel veel aandacht naar digitale soevereiniteit. Banken die nadenken over Europese alternatieven voor Amerikaanse clouddiensten. Overheden die vragen stellen over afhankelijkheid van grote techplatforms. En in de marge van dat gesprek: de MKB-directeur die dit leest en denkt "moet ik nu ook iets?"
Ik snap die vraag. Ik zit er dagelijks middenin, bij organisaties die gewoon Microsoft 365 gebruiken, een paar SaaS-tools, misschien Google Workspace erbij. Geen securityteam, geen CISO, wel de volle verantwoordelijkheid. En opeens lijkt het alsof je eigenlijk alles fout doet.
Dat gevoel klopt niet. Maar er is wel iets wat je kunt doen.
Alleen is het niet wat de meeste mensen denken.
De meest gehoorde reactie op soevereiniteitsnieuws is: ik moet mijn tools evalueren. Minder afhankelijk worden. Misschien iets Europees zoeken. En dat is niet per se verkeerd, maar het is ook niet waar je moet beginnen.
Want de vraag die ik bij organisaties altijd als eerste stel, is een andere: wat doe jij als het morgen misgaat?
Niet als Microsoft plat ligt, maar als jouw account gehackt is. Als iemand in jouw naam een betaalopdracht heeft verstuurd. Als je medewerker op een link heeft geklikt en er data uit je systemen is gegaan. Wat dan? Wie bel je? Wat sla je af, wat meld je aan wie, hoe snel?
Als je dat niet weet, is het gesprek over soevereiniteit prematuur.
Dit klinkt misschien pessimistisch. Het is het tegenovergestelde.
Er is een manier van denken in de beveiligingswereld die ik de laatste jaren steeds meer waardeer: assume breach. Ga er gewoon van uit dat je op enig moment geraakt wordt. Niet als catastrofaal scenario, maar als vertrekpunt. Want dan hoef je niet meer te proberen alles dicht te timmeren. Dan kun je je energie steken in de vraag: wat moet ik op orde hebben om goed te kunnen reageren?
En dat is een vraag die je kunt beantwoorden. Zonder groot budget. Zonder dedicated IT-afdeling.
Wat heb je nodig om te kunnen reageren op een incident? Je wil weten wie je belt. Je wil dat iemand weet hoe je back-ups werken en waar ze staan. Je wil dat je medewerkers weten aan wie ze een verdachte mail melden, en dat die melding ook ergens terechtkomt. Je wil dat je op een zaterdagmiddag kunt achterhalen welke data er mogelijk betrokken is.
Dat is geen securityplan van twintig pagina's. Dat is een paar afspraken, een korte checklist, en een keer een gesprek met je team.
Pas als dat op orde is, is het zinvol om te kijken naar preventie. Want dan weet je ook wat je probeert te beschermen, en tegen welk scenario. Dan is de vraag over soevereiniteit opeens veel concreter. Niet "moeten wij van Microsoft af?" maar "welke data staat bij welke leverancier, en wat zijn de risico's als die leverancier onbereikbaar is, overgenomen wordt, of zijn voorwaarden wijzigt?"
Dat zijn vragen die je kunt stellen zonder eerst je hele IT-landschap te verbouwen. Je hoeft niet te beginnen bij de leverancier. Je begint bij jezelf.
Ik werk met directeuren die precies dit traject doorlopen. Niet omdat het een compliance-eis is. Maar omdat ze merken dat ze rustiger slapen als ze weten wat ze doen als het misgaat. En omdat ze daarna pas echt kunnen nadenken over wat ze structureel willen veranderen.
De column over soevereiniteit die ik eigenlijk wil schrijven, begint dus niet bij Brussel of bij Silicon Valley. Die begint bij jou, op een dinsdagochtend, als je telefoon gaat en iemand zegt: "er klopt iets niet met onze mailbox."
Weet jij dan wat je doet?
Johan Antonissen is ICT Manager en Functionaris Gegevensbescherming. Hij schrijft regelmatig voor Privacy in Bedrijf.