AI betekent dat CIO’s meer dan ooit een soevereine cloud nodig hebben

Het gemak waarmee informatie wereldwijd via de public cloud kan worden gedeeld, heeft organisaties veel gebracht: betere prestaties, meer strategische wendbaarheid, schaalvoordelen en kostenbesparingen. Deze globalisering brengt echter ook nieuwe uitdagingen met zich mee, nu datasoevereiniteit een steeds grotere prioriteit wordt. Tegelijkertijd verandert AI fundamenteel de manier waarop we data verwerken, opvragen en hergebruiken. Dit dwingt organisaties om na te denken hoe ze een ‘soevereine cloud’ kunnen inrichten die volledig inzicht biedt in de toegankelijkheid van digitale assets, applicaties en data. 

De focus op soevereiniteit heeft nu al aanzienlijke strategische gevolgen voor IT. Gartner voorspelt dat 75% van de niet-Amerikaanse bedrijven tegen 2030 een strategie voor digitale soevereiniteit heeft ontwikkeld.  

De manier waarop we over data denken verandert

Datasoevereiniteit is geen nieuw thema. Regelgevingen zoals de AVG in de EU, de Cloud Act in de VS, de Duitse C5-regels en het Franse Cloud de Confiance-initiatief hebben het bewustzijn vergroot over waar data wordt opgeslagen en met wie deze worden gedeeld.

Echte soevereiniteit gaat echter verder dan geo-fencing of andere locatiegebonden beveiligingsmaatregelen. Het omvat alles, van cultuur, opleiding, kerninfrastructuur en ontwikkeling tot aan levering, implementatie, onderhoud en updates. Nu AI, machine learning en LLM’s een centrale rol spelen in IT- en bedrijfsprocessen, moeten organisaties hun volledige AI-stack beheersen om aan soevereiniteitseisen te kunnen voldoen.  

Uiteindelijk raakt AI alles wat een organisatie doet, maar we kunnen het grofweg onderverdelen in drie domeinen: behoud van lokale en sectorale controle, versterking van zelfredzaamheid, en vertrouwen in beveiliging en governance  

Lokalisatie: Organisaties moeten ervoor zorgen dat hun data-assets geschikt zijn voor lokale talen, culturen en sectorale behoeften. Soevereiniteit kan een 'beschermlaag' rond deze assets creëren met datacontroles die zijn afgestemd op de lokale omgeving en sector (of zelfs de unieke organisatie). 

Zelfredzaamheid: Organisaties kunnen een gevoel van zelfredzaamheid creëren door te kiezen voor vertrouwde softwarearchitecturen, LLM’s en andere fundamentele AI-modellen van partners. Tegelijkertijd kan een unieke/boutique-aanpak met lokale of gespecialiseerde partners nieuwe mogelijkheden bieden. Deze route is iets complexer, maar kan juist bijdragen aan meer controle en onafhankelijkheid. 

Governance, Risk en Compliance (GRC): Wet- en regelgeving vereist dat bepaalde data binnen de landsgrenzen moet blijven. Dit geldt bijvoorbeeld voor persoonsgegevens, intellectueel eigendom, bedrijfsprocessen en -geheimen, HR-informatie, financiële gegevens en andere gevoelige informatie. Dit heeft grote gevolgen voor bedrijven die sterk afhankelijk zijn van de public cloud. Aanbieders van de public cloud bieden namelijk alomvattende toegang tot data en applicaties. Organisaties eisen echter steeds vaker gedetailleerde controle over databewegingen.  

Orde op zaken stellen

De focus op lokalisatie, zelfredzaamheid en GRC dwingt organisaties om hun IT-implementatie- en operationele modellen opnieuw te bekijken. Dit kan leiden tot (gedeeltelijke) migratie van public cloud terug naar on-premises infrastructuur en tot ‘backshoring’: het terughalen van data naar het land van herkomst. Het is daarnaast ook slim om opnieuw te evalueren waar de public cloud daadwerkelijk waarde toevoegt, in plaats van simpelweg de ‘cloud-first’-strategie te volgen die 10-15 jaar geleden in de mode was.  

Bovendien nemen de risico’s van het niet standaard instellen van soevereiniteit alleen maar toe: bijvoorbeeld verlies van strategische controle, verkeerd afgestemde campagnes en overtredingen, dataverlies en financiële boetes, om er maar een paar te noemen.  

Het is ook belangrijk om te beseffen dat dit alles gebeurt op een moment dat strategische AI-implementaties nog maar net in reguliere productieomgevingen worden doorgevoerd. Dit biedt CIO’s een extra voordeel. Ze kunnen soevereiniteit en governance vanaf het begin integreren in architecturen, culturele patronen en workloads, in plaats van deze achteraf toe te moeten voegen.  

Het is daarbij verstandig om direct gebruik te maken van air gapping, offline opererende darksites, open‑source softwareplatforms en multicloud‑oplossingen met meerdere beveiligingslagen.

Er bestaat nog geen eenduidige formule voor de relatie tussen AI en datasoevereiniteit.

Wel is duidelijk dat organisaties die nu investeren in flexibiliteit en controle beter voorbereid zijn op toekomstige ontwikkelingen. Voor CIO’s betekent dit dat zij bewust moeten kiezen voor technologieën en partners die kunnen meebewegen en die soevereiniteit niet beperken, maar juist versterken.

Sammy Zoghlami, SVP EMEA bij Nutanix