De discussie over digitale soevereiniteit is verschoven van de IT-afdeling naar de boardroom. Wat voorheen een technisch dossier was, is een strategische en geopolitieke noodzaak geworden. Maar wat betekent het concreet voor jouw organisatie? En waarom komt het uiteindelijk altijd neer op één vraag: wie bepaalt wie er in mag?
Identity & Access Management is daarin geen sluitend antwoord op alle uitdagingen, maar wel de meest concrete bouwsteen. Het is de laag waar soevereiniteit en cyberweerbaarheid samenkomen in de dagelijkse praktijk.
Digitale soevereiniteit draait om onafhankelijke zeggenschap over de eigen digitale omgeving. Een bruikbare manier om dat te duiden is het principe van "know your stack": weet precies waaruit je technologische fundament bestaat, en wie daar de controle over heeft. Dat vertaalt zich naar drie samenhangende vragen:
Ken je hardware: waar draait je infrastructuur fysiek? Wie is eigenaar van de hardware, en wie heeft er, zowel logisch als fysiek, toegang toe?
Ken je software: welke systemen en applicaties draaien op die hardware? Wie beheert ze, wie kan ze aanpassen, en onder welke juridische en contractuele voorwaarden?
Ken je data: wie heeft toegang tot welke informatie, en kun je dat te allen tijde aantonen en beheersen?
De drie vragen sluiten direct aan op de klassieke BIV-driehoek, de basis van informatiebeveiliging. Onvoldoende grip op je hardware bedreigt de beschikbaarheid van je systemen. Onvoldoende controle over je software vergroot het risico op aantasting van de integriteit van je processen. En onvoldoende zicht op wie toegang heeft tot je data ondermijnt de vertrouwelijkheid van gevoelige informatie.
Binnen de Europese Unie wordt digitale soevereiniteit niet langer gezien als een compliance-lijstje, maar als een streven naar zelfredzaamheid: het opbouwen van ecosystemen die economische onafhankelijkheid en nationale veiligheid op de lange termijn garanderen.
Veel organisaties denken dat ze voldoende beschermd zijn zolang hun data op servers binnen de EU staat. Dat is een misvatting die ingrijpende gevolgen kan hebben.
Data-residentie zegt iets over locatie: de server staat in Frankfurt, Dublin of Amsterdam. Dat volstaat vaak voor AVG-compliance. Maar locatie zegt niets over zeggenschap.
De kern van het probleem: Amerikaanse technologiebedrijven moeten zich houden aan de Amerikaanse wet, inclusief de US CLOUD Act. Die wet verplicht hen om data af te staan aan Amerikaanse autoriteiten op verzoek, ongeacht waar die data fysiek staat. De jurisdictie volgt niet de server, maar het moederbedrijf. Een Nederlandse organisatie die haar data host bij een Amerikaanse hyperscaler, heeft daardoor feitelijk geen exclusieve zeggenschap over die data, ook al staat de server op Nederlands grondgebied.
Echte soevereiniteit betekent dat je zelf bepaalt waar je draait en wie toegang krijgt, zonder dat buitenlandse wetgeving daar een recht op kan afdwingen. Dat vereist providers die onder Europees recht vallen.
Digitale soevereiniteit en cyberweerbaarheid worden vaak in één adem genoemd, maar ze zijn niet hetzelfde. Het onderscheid is belangrijk, omdat het bepaalt welke maatregelen je neemt en waarom.
Soevereiniteit gaat over zeggenschap: heb jij de controle over je eigen digitale omgeving, of is die controle feitelijk bij een derde partij belegd? Het is een structurele eigenschap van je inrichting.
Cyberweerbaarheid gaat over veerkracht: kun je blijven functioneren als je omgeving onder druk staat, bij een aanval, een incident of het wegvallen van een leverancier?
Het verband is dit: cyberweerbaarheid is alleen reëel als soevereiniteit de basis is. Een organisatie die afhankelijk is van systemen of identiteitsbeheer die zij niet zelf beheert, heeft bij een incident beperkte handelingsruimte, ongeacht hoe goed haar crisisplan op papier is. Soevereiniteit is de voorwaarde waaronder echte weerbaarheid mogelijk wordt.
Nu de traditionele netwerkperimeter is verdwenen, is de digitale identiteit de enige resterende grens. IAM is getransformeerd van een administratieve tool naar het fundament van Zero Trust. Maar om echte soevereiniteit en weerbaarheid te bereiken, zijn er drie lagen die elk hun eigen rol spelen.
Binnen een soevereine strategie bepaal je waar de digitale identiteit leeft. Weerbare organisaties kiezen voor een model waarbij de "Source of Truth", zoals het HR-systeem, in eigen beheer blijft. Door gebruik te maken van open standaarden zoals SAML, OIDC en SCIM voorkom je vendor lock-in: je kunt snel schakelen tussen cloudapplicaties zonder dat de identiteit van medewerkers gevangen zit bij één leverancier.
De identity lifecycle volgt een digitale identiteit van instroom (Joiner), via doorstroom (Mover), naar uitstroom (Leaver). Gekoppeld aan het HR-systeem als bron van waarheid betekent dit dat toegangsrechten automatisch volgen zodra iemand in dienst treedt, van functie wisselt of vertrekt, zonder handmatige tussenkomst of vertraging.
Dat heeft twee directe gevolgen voor weerbaarheid:
Minimale footprint: met Just-in-Time Provisioning worden accounts in externe cloudomgevingen pas aangemaakt wanneer iemand ze daadwerkelijk nodig heeft. Een medewerker die nooit bij een bepaalde applicatie hoeft, heeft er ook geen account. Dat beperkt de data-footprint bij buitenlandse providers en verkleint het aanvalsoppervlak.
De kill switch: bij een grootschalig incident, zoals een supply chain aanval of een gecompromitteerde leverancier, stelt diezelfde automatisering je in staat om met één ingreep alle toegang tot kritieke systemen te bevriezen. Dat is geen theoretische noodknop, maar een operationele werkelijkheid die alleen mogelijk is als de lifecycle volledig geautomatiseerd en centraal beheerd is.
IGA vormt een essentiële bouwsteen voor compliance met securityrichtlijnen zoals NIS2 en ISO 27001.
Separation of Duties (SoD): geen enkele gebruiker mag een volledige risicovolle keten zelfstandig kunnen afwikkelen. Wie toegang kan aanvragen, mag die niet ook goedkeuren. Wie een leverancier aanmaakt, mag geen facturen betaalbaar stellen. Door deze scheiding af te dwingen in het systeem, niet in een beleidsdocument, voorkom je fraude en fouten structureel.
Access certification: door periodiek te toetsen wie toegang heeft, creëer je een audittrail die onafhankelijk is van de logging van de cloudprovider. In de IAM-praktijk staat dit bekend als access certification, waarbij een verantwoordelijke per groep of systeem bevestigt dat de toegangsrechten nog kloppen. Je voert de regie, niet de leverancier.
Naast geopolitieke zorgen is er de harde juridische realiteit. De Cyberbeveiligingswet, de Nederlandse vertaling van de Europese NIS2-richtlijn, dwingt organisaties om de veiligheid van hun gehele toeleveringsketen te waarborgen. Het falen van een leverancier, of dat nu een cloudprovider of een softwareleverancier is, wordt beschouwd als het falen van de organisatie zelf. Bestuurders kunnen hierop persoonlijk aangesproken worden. Dat maakt cyberweerbaarheid niet alleen een IT-prioriteit, maar een bestuursvraagstuk.
Weerbaarheid in de moderne tijd vraagt niet om méér cloud, maar om méér controle. Alleen door de regie over digitale identiteit, lifecycle en governance soeverein te beleggen, kan een organisatie werkelijke bescherming bieden tegen zowel systeemfalen als statelijke spionage.
IAM is niet langer een tool voor gebruikersbeheer. Het is de plek waar soevereiniteit en cyberweerbaarheid samenkomen in de dagelijkse praktijk: de laag waarop je organisatie aantoonbaar in control is, en waarop je kunt terugvallen als het erop aankomt.
Platformen zoals Topicus KeyHub zijn gebouwd op precies die principes. On-premise of via Nederlandse hosting, volledig binnen eigen jurisdictie. Groepsgebaseerd rechtenbeheer, geautomatiseerde lifecycle en een volledige audittrail, zonder afhankelijkheid van buitenlandse hyperscalers voor de identiteitsfunctie.
Wil je weten hoe jouw organisatie ervoor staat op het gebied van digitale soevereiniteit en IAM? Neem contact op!