Van vinkje naar noodzaak. Dat is in een notendop de ontwikkeling die compliance de afgelopen jaren heeft doorgemaakt. Verantwoording over waar gegevens staan opgeslagen en hoe deze beheerd worden, zijn tegenwoordig standaard onderdeel van allerlei processen. Bovendien dwingt dit organisaties ertoe om goed na te denken over mogelijke datarisico’s.

Waar het eerder bij soevereiniteit voornamelijk draaide om gevoelige gegevens, zoals financiële transacties, patiëntgegevens of klantdata, hebben organisaties hier tegenwoordig een bredere kijk op. E-mailadressen, systeemactiviteit en gebruikersgegevens werden ooit beschouwd als minder belangrijke data, maar met organisaties die controle willen over al hun gegevens verandert dit.

Soevereiniteit: meer dan geografie

Soevereiniteit is geen kwestie van alleen geografie: organisaties willen weten welke informatie ze buiten de landsgrenzen kunnen uitwisselen, onder welke omstandigheden en tegen welke veiligheidsgaranties. Elk bedrijf dat actief is in meerdere landen worstelt met deze vraag.

Denk bijvoorbeeld aan een helpdesk die wereldwijd 24/7 ondersteuning biedt. Als er een vraag in het ene land binnenkomt, mag deze dan afgehandeld worden door een servicedeskmedewerker in een ander land, zonder dat er lokale regels rondom databescherming worden overtreden? En als de gegevens niet verplaatst worden, is toegang op afstand vanuit een locatie met andere regelgeving dan problematisch?

Dit soort praktische vragen staan centraal in het huidige debat. En organisaties zijn naarstig op zoek naar antwoorden.

Naast de aanhoudende onzekerheid, verklaart ook de ruime definitie van soevereiniteit waarom compliance en juridisch toezicht een zorg voor de boardroom zijn geworden. En waarom de compliance-strategie van leveranciers onder een vergrootglas ligt.

Wij hebben in een jaar tijd bijvoorbeeld het aantal soevereiniteits-gerelateerde vragen zien verdrievoudigen. Nog niet zo lang geleden was dit iets dat pas aan het eind van een compliance-vragenformulier aan bod kwam. Vandaag de dag zijn er hele vragenlijsten gewijd aan alleen het thema dataresidentie, toegang over grenzen heen en operationele controle.

Compliance steeds belangrijker

In sectoren zoals de financiële dienstverlening staat het onderwerp soevereiniteit nog hoger op de agenda. Vaak wordt er eerst over het soevereiniteitsaspect van een oplossing gesproken, nog voordat het over de technische details gaat.

De introductie van frameworks zoals DORA ligt hieraan ten grondslag. Hiermee worden financiële instellingen door de EU gedwongen om hun IT-weerbaarheid en bescherming tegen cyberrisico’s te vergroten, ook wanneer het gaat om diensten van derde partijen. Als organisaties in de financiële sector met beheerde platforms gaan werken, betekent dit dat ze hun dagelijkse werkzaamheden buiten hun eigen beheer laten draaien en moeten ze dus rekening houden met regelgeving zoals DORA.

Ze beheren niet langer de servers, draaien geen updates en hebben geen controle over welke engineer een probleem oppakt. Maar de verantwoordelijkheid verschuift niet. Wanneer data toegankelijk zijn vanuit een ander land, logs incompleet zijn of controles niet kunnen worden uitgevoerd, is de organisatie verantwoordelijk. En niet de cloudaanbieder.

Dat is niet alles. Waar een IT-team bij een bank, retailer of zorgaanbieder prima kan werken met gedeelde verantwoordelijkheden of een wereldwijd uniforme aanpak, ligt dat voor juridische- en compliance-teams gecompliceerder. Hierdoor ontstaat er een compliancekloof binnen organisaties, en steeds vaker zijn het de leveranciers die deze kloof moeten dichten.

Compliance als concurrerend onderscheid

Dit alles wijst op één ding: compliance wordt iets om je mee te onderscheiden van de concurrentie. Met klanten die meer transparantie eisen, investeren leveranciers in hun certificeringen, audits en governance frameworks als onderdeel van hun propositie.

Deze inspanningen zijn niet zonder kosten. Certificaten moeten iedere paar jaar opnieuw behaald worden, audits komen ook steeds weer terug en vragen moeten worden beantwoord. Dit kost geld en mankracht.

Wat betekent dit voor bedrijven die zich bewegen in een wereld waarin steeds meer regels en voorwaarden gelden? In essentie betekent het begrijpen wat er gaande is en de controle nemen. Dit begint bij een data-audit: welke gegevens heb je in bezit, waar staat het opgeslagen en wie heeft er toegang toe?

Governance in je voordeel

Om risico’s en verantwoordelijkheden helder te krijgen, moet je samenwerken met je IT- en complianceteam. Maar het betekent ook nauwe samenwerking met cloudpartners om te begrijpen hoe controle in de praktijk is gewaarborgd. Hieruit kun je ook afleiden in welke mate compliance ingebed bij een leverancier.

Het is verleidelijk om de huidige ontwikkelingen te beschouwen als nóg een ​kostenpost op het gebied van wet- en regelgeving​. Vanuit een ander perspectief bezien, zou het echter ook kunnen duiden op een verschuiving in de volwassenheid van de cloud, waarbij governance en toezicht steeds belangrijker worden.

De cloudmarkt past zich aan: aanbieders investeren in duidelijkere operationele grenzen, stevigere documentatie, strengere toegangscontroles en transparante reporting. Dat móet wel een goede ontwikkeling zijn.