Wat is gegevenssoevereiniteit?

Datasoevereiniteit is het principe dat gegevens onderworpen zijn aan de wetten en bestuursstructuren van het land of rechtsgebied waar ze worden verzameld of opgeslagen. Dit kan van invloed zijn op het vermogen van een overheid om juridische autoriteit uit te oefenen over gegevens die fysiek binnen haar grenzen verblijven, ongeacht waar de organisatie de gegevens primair opslaat.

Dit is belangrijk omdat de regelgeving die van toepassing is op uw gegevens niet afhangt van de locatie van uw bedrijf. Het wordt bepaald door de opslaglocatie van de gegevens. Ter illustratie: een Amerikaans bedrijf dat klantgegevens op servers in Frankfurt opslaat, is voor die gegevens onderworpen aan de EU-wetgeving, evenals aan de Amerikaanse wetgeving.

Deze drie termen zijn onderling verbonden maar niet identiek. Naleving van de compliance kan worden beïnvloed door variaties in de toepassing ervan.

•     Data soevereiniteit is een juridisch concept. Het recht van een natie om gegevens binnen haar grondgebied te reguleren. Het beantwoordt de vraag: “Wie heeft rechtsmacht?”
•     Data residentie is een wettelijke of contractuele vereiste die bepaalt waar gegevens geografisch moeten worden opgeslagen. Het beantwoordt de vraag: “Waar verblijven de gegevens?”
•     Datalokalisatie heeft de strengste vorm. Een wettelijke vereiste dat gegevens zowel binnen een land worden opgeslagen als verwerkt, met beperkingen op grensoverschrijdende overdracht. Het beantwoordt de vraag “Mogen de gegevens überhaupt worden verplaatst?”

Een soevereine cloud is een clouddienst die is ontworpen op basis van de behoeften aan gegevenssoevereiniteit van een land. Om er zeker van te zijn dat buitenlandse overheden, rechtbanken en bedrijven geen gegevens kunnen verkrijgen zonder toestemming van het gastland, worden soevereine clouds beheerd door lokale entiteiten (of via streng gecontroleerde partnerschappen), in tegenstelling tot standaard publieke clouds die worden beheerd door wereldwijde hyperscalers.

•     Lokaal Beheerd en Eigendom: Beheerd door een lokaal bedrijf of een joint venture waarin de lokale partijen de meerderheid hebben.
•     Jurisdictionele Isolatie: Nationale of regionale regelgeving waar data zich bevindt, kan het proces van grensoverschrijdende gegevensoverdracht beïnvloeden.
•     Regelgevende Afstemming: Ze worden opgesteld in overeenstemming met nationale wetten, zoals GDPR, Frankrijks SecNumCloud, of Duitslands C5-standaard.

Bedrijfsrisico's omvatten:

Datasoevereiniteit gaat niet alleen over het voldoen aan wettelijke vereisten; het omvat ook het hebben van de juiste technische systemen. Om soevereiniteit echt af te dwingen, moeten verschillende technologieën worden gecombineerd:

1.   Soevereine cloudplatforms verwijzen naar lokale infrastructuren die binnen gedefinieerde wettelijke en geografische grenzen worden beheerd, en zo afhankelijkheid van systemen die door buitenlandse machten worden gecontroleerd, vermijden.
2.   Customer-Managed Encryption Keys (CMEK) bieden de organisatie controle over versleutelingssleutels, waardoor de mogelijkheid van de cloudprovider om gegevens te ontsleutelen potentieel wordt beperkt, zelfs in reactie op wettelijke verzoeken.
3.   Bring Your Own Key (BYOK) / Hold Your Own Key (HYOK) zijn twee verschillende niveaus om de klant de sleutel te laten bewaren. De cloud faciliteert doorgaans cryptografische bewerkingen, maar ontsleutelt de gegevens over het algemeen niet.
4.   Gegevensresidentiecontroles zijn configuraties die gegevensreplicatie of -back-up beperken tot specifieke regio's.
5.   Vertrouwelijke computing biedt hardwareondersteuning (bijv. via Intel SGX of AMD SEV) voor het beschermen van gegevens terwijl deze worden verwerkt, naast gegevens in rust of onderweg.
6.   Zero-trust architectuur is gebaseerd op het altijd verifiëren van identiteit en het principe van de minste privileges voor toegang.

De praktische toepassing van data soevereiniteit kan complexe overwegingen met zich meebrengen. De voornaamste aandachtspunten zijn onderverdeeld in drie belangrijke gebieden:

1.   Kosten. De kosten die gepaard gaan met het bouwen van soevereine cloudinfrastructuur verschilt van die van een standaard publieke cloud.
2.   Beheer. Organisaties die in meerdere rechtsgebieden actief zijn, moeten in elk land verschillende regels volgen.
3.   Wetten. Soevereine rechtssystemen kunnen uiteenlopende interpretaties toelaten, en technische oplossingen vormen mogelijk geen universeel toepasbare oplossing.

Andere aandachtspunten zijn onder meer:

•     In tegenstelling tot wereldwijde hyperscalers, kan de kwantiteit van kleinere, soeverein-compatibele aanbieders verband houden met hun feature-aanbod.
•     Verschillen in standaardontwikkeling tussen landen kunnen van invloed zijn op de totstandkoming van een consistente wereldwijde compliance-houding.