Digitale soevereiniteit klinkt groot, maar wordt hanteerbaar zodra je elke dienst in één van drie scenario’s plaatst. Met het drielagenmodel kun je in een paar uur je hele IT-landschap langslopen en per dienst bepalen waar je echt kwetsbaar bent, en waar de discussie eigenlijk abstracter is dan het risico zelf.
De belangrijkste les uit ons whitepaper over digitale soevereiniteit in het Nederlandse zorglandschap: je risicoprofiel is geen vast gegeven, maar het resultaat van de keuzes die je maakt. Om dat concreet te maken helpt het om je IT-landschap in te delen in drie scenario’s. Elk scenario vraagt om een andere risicoafweging.
Scenario 1 – Diensten die de provider volledig beheert
Microsoft beheert als Online Service Provider bepaalde diensten direct: Exchange Online (e-mail), Microsoft Teams (chat en vergaderingen), OneDrive en SharePoint (bestanden), en Entra ID (identiteitsbeheer). Bij deze diensten heeft Microsoft technisch toegang tot de inhoud. Een CLOUD Act-order gericht op het e-mailverkeer van een specifieke ziekenhuismedewerker, bestuurder of IT-medewerker, bijvoorbeeld omdat die persoon verdacht wordt van een ernstig misdrijf, is technisch gezien uitvoerbaar: Microsoft kan die mailbox openen en de inhoud leveren.
Scenario 2 – Eigen applicaties op cloudinfrastructuur
Een EPD-systeem zoals HiX van ChipSoft dat op Azure draait is een fundamenteel ander verhaal. Dat systeem gebruikt Azure als infrastructuur, bijvoorbeeld voor rekenkracht en opslag, maar de data zit in een applicatiedatabase die door de leverancier en het ziekenhuis wordt beheerd. Microsoft levert de virtuele machines en de opslagcapaciteit, maar heeft geen inhoudelijke toegang tot de applicatielaag. Wat Microsoft ziet zijn versleutelde blobs, geen patiëntendossiers.
Om bij die data te komen is niet alleen een order aan Microsoft nodig, maar ook medewerking van de applicatieleverancier en mogelijk het ziekenhuis zelf. Als het ziekenhuis bovendien eigen encryptiesleutels beheert, wordt het technisch een stuk moeilijker. Dat biedt echter geen volledige garantie.
Scenario 3 – Zelf gehoste software in eigen of gehuurd datacenter
Draai je bijvoorbeeld je eigen Exchange-server in je eigen datacenter of in een gehuurd rack bij een Nederlands datacenterbedrijf? Dan is Microsoft puur een softwareleverancier: ze leveren je een licentie, maar ze hosten en beheren je data niet. Een CLOUD Act-order aan Microsoft levert in dat geval niets op, want Microsoft heeft de data niet ’in bezit, bewaring of controle’. En dat is de wettelijke voorwaarde om aan een order te kunnen voldoen. Het zelf hosten van diensten elimineert het CLOUD Act-risico voor die specifieke dienst volledig.
Hoe pas je het model toe?
Loop je huidige dienstenlandschap langs en bepaal per dienst in welk scenario je zit. Betrek hierbij de IT-afdeling, de Functionaris Gegevensbescherming en de juridische afdeling, en herhaal de analyse minimaal jaarlijks.
Het goede nieuws: dit hoeft niet van nul te beginnen. Je instelling heeft al processen voor risicomanagement, informatiebeveiliging en privacy. Het gaat erom dat je de soevereiniteitsvraag toevoegt aan die bestaande afwegingen: wie heeft toegang, onder welke jurisdictie, en wat als de dienst wegvalt?
Weeg ook de keerzijde mee
Per classificatie moet je ook de keerzijde meewegen: als je diensten naar eigen beheer terughaalt, neem je ook de security-verantwoordelijkheid op je. De vraag is niet alleen ’vertrouw ik deze provider met mijn data?’ maar ook ’kan ik het zelf aantoonbaar beter?’
Verder lezen
In ons whitepaper lopen we het drielagenmodel concreet door met voorbeelden uit de zorg, inclusief een plaatsingsmodel dat kriticiteit en privacygevoeligheid combineert met het drielagenmodel.