Datasoevereiniteit, digitale onafhankelijkheid, Europese clouds: deze termen zijn de afgelopen maanden gemeengoed geworden voor iedere IT-verantwoordelijke. De onrust rondom de Cloud Act en het grillige beleid van de Amerikaanse overheid maakt organisaties wakker. Digitale autonomie is niet eerder zo actueel geweest, maar zeker geen nieuwe trend. Onze collega’s Bart Laarhoven (CTO) en Yannis Haritos (Chief Compliance & Security Officer) vertellen hoe we dat bij Grexx aanpakken.
‍

Bart: “Wie een paar jaar geleden vroeg naar de locatie van zijn bedrijfsdata, wilde vooral een geruststellend antwoord horen. Datasoevereiniteit was een vinkje, iets wat je simpelweg moest regelen als je dat wettelijk verplicht was. Denk aan financiële instellingen, organisaties die medische data verwerken, nutsvoorzieningen. Andere organisaties maakten zich er weinig zorgen over.”
‍

De afgelopen jaren is daar veel veranderd. Met het invoeren van de GDPR/AVG (2018) werden organisaties, van multinationals tot sportverenigingen, gedwongen bewuster om te gaan met persoonlijke data. De geopolitieke ontwikkelingen hebben dat bewustzijn de laatste paar maanden verder aangezwengeld. De Cloud Act, die Amerikaanse overheidsinstanties het recht geeft toegang te eisen tot data die bij Amerikaanse bedrijven is opgeslagen, maakt het heel concreet: waar jouw data staat, bepaalt wie erbij kan.
‍

Bart: “Er ontstaat nu meer bewustzijn en dat vind ik heel positief, maar ik zie het meer als een teken van dat we flink achterliepen dan dat we nu met een hype te maken hebben. Organisaties stellen zichzelf nu vragen als: Waar is mijn data gehost en wie kan daarbij? Kan mijn data gebruikt worden om AI-modellen te trainen? Wat gebeurt er met mijn data als ik stop met een dienst? Dat zijn hele terechte vragen, die IT’ers altijd zouden moeten kunnen beantwoorden.”
‍

‍Digitale onafhankelijkheid als prioriteit

Bij Grexx hebben we digitale onafhankelijkheid altijd prioriteit gegeven. Sinds onze oprichting in 2000 zijn we zo veel mogelijk digitaal autonoom, en dat is ook wat we onze klanten bieden: vrije keuze, totale controle en flexibiliteit rondom de applicaties die men met ons platform bouwt. Al sinds 2006 werken we uitsluitend met Nederlandse aanbieders en eigen infrastructuur. Deels omdat we grote financiële instellingen en telecombedrijven als klant hebben en deels vanuit eigen ideologie.
‍

“Alle applicaties die onze klanten ontwikkelen, of die wij voor onze klanten ontwikkelen, draaien op Nederlandse datacentra. Op eigen servers, onder eigen beheer, zonder externe partijen die meekijken of toegang hebben en zonder invloed van Big Tech. Cru gesteld, als de Amerikaanse overheid morgenochtend besluit bepaalde services te blokkeren of af te sluiten, dan heeft dat geen gevolgen voor onze klanten,” aldus Bart. “En dat is maar goed ook, want het gaat bij onze klanten vaak om het digitaliseren en automatiseren van kritieke bedrijfsprocessen. Daar wil je geen risico’s mee nemen.”
‍

AI zet governance en compliance op scherp

Naast de geopolitieke ontwikkelingen is het ook de techniek zélf die ervoor zorgt dat governance en compliance meer aandacht krijgt. “Ook de snelle ontwikkelingen in AI vragen van ons als samenleving, en van IT’ers in het bijzonder, dat we ons bewuster zijn van wat er met onze data gebeurt. Kleine onoplettendheden kunnen grote gevolgen hebben. Dat nemen we met ons team heel serieus”, aldus Bart.
‍

Yannis vult aan: “We bieden binnen het platform onder andere een audit trail, metrics en dashboard die je duidelijkheid geven over wat er met de data binnen een applicatie gebeurt. Ons platform blinkt uit in het fijnmazig vastleggen van rechten en rollen van gebruikers, zodat je extreem nauwkeurig kunt bepalen wie welke data mag benaderen. Die rechten en rollen hanteren we ook voor AI Agents: je kunt veilig agentic AI inzetten binnen onze applicaties, omdat we zeer duidelijk kaderen welke data een agent mag en kán benaderen.  We houden de toegang tot data zo smal mogelijk en we maken inzichtelijk en overzichtelijk wat er wanneer, door wie, op welke manier met welke data gebeurt. Zo voorkomen we die beruchte black box, de applicaties waarvan je niet weet wat er precies gebeurt. “

Uitgebreid compliance programma

Yannis: “We zijn ISO 27001 en NEN 7510-gecertificeerd, ononderbroken sinds 2017. Voor onze hosting werken we samen met het Nederlandse Leaseweb, ook ISO 27001 en NEN7510-gecertificeerd. Iedere klant heeft een eigen database, gescheiden van andere klanten, op servers die volledig in eigen beheer zijn. Back-ups slaan we op binnen Nederland. Geen shared hosting en een zeer overzichtelijke infrastructuur. Gewoon transparant en goed geregeld.”
‍

Die certificeringen zijn niet alleen relevant voor onze eigen digitale veiligheid, maar ook voor onze klanten die zelf moeten aantonen dat leveranciers voldoen aan bepaalde normen. Via een zogenaamde carve-out kun je de compliance van Grexx meenemen in je eigen certificeringstraject: daarvoor leveren we alle bewijsstukken aan. Naast ISO 27001 en NEN 7510 beschikken we ook over een SOC 2 ISAE 3000 assurance report en voldoet ons platform uiteraard aan de AVG en de AI Act.
‍

Zo onafhankelijk mogelijk

Onderdeel van de discussies over digitale onafhankelijkheid en datasoevereiniteit, is de vendor lock-in: kies je voor een leverancier, dan ben je daar afhankelijk van. Bij Grexx is dat natuurlijk niet anders: “Bouw je een applicatie op het Grexx Platform, dan heb je ons Platform ook nodig om er iets mee te kunnen, dat is logisch. Maar we doen ons best om de drempel zo laag mogelijk te houden,” vertelt Bart.
‍

“We bieden de mogelijkheid om het Grexx Platform te draaien en te ontwikkelen op de eigen servers van onze klanten. Dat is vaak helemaal niet nodig, maar het kan wel. We bieden dagelijkse exports aan en we helpen onze klanten hun data altijd beschikbaar en overdraagbaar te houden. Als je voor Grexx als partner kiest dan is er onvermijdelijk een zekere afhankelijkheid, maar we zijn daar zeer transparant in en ondersteunen onze klanten in alles wat zij nodig hebben om zo onafhankelijk mogelijk te zijn.”
‍

Bij Grexx is digitale onafhankelijkheid al 25+ jaar de norm. Niet als strategische keuze, gewoon omdat we dat vanzelfsprekend vinden. Je belangrijke processen in eigen beheer houden, écht begrijpen wat je software doet en precies weten wat er met je data gebeurt. Dat is waar we voor staan.
‍

Heb je specifieke vragen over digitale onafhankelijkheid of datasoevereiniteit binnen het Grexx Platform? We beantwoorden ze graag. Of wil je eens sparren over hoe we jouw organisatie kunnen helpen met digitaal autonoom worden? Boek een discovery call, dan denken we graag met je mee.