Itris
Waarom data-soevereiniteit thuishoort op de bestuursagenda
Digitale systemen vormen een steeds integraler onderdeel van elke organisatie. Ze doen meer en zijn steeds onmisbaarder. AI-toepassingen helpen bij het analyseren van onderhoudsvragen. Cloudoplossingen van internationale partijen nemen taken over die vroeger intern werden gedaan. Intussen groeit het netwerk van gekoppelde systemen die steeds meer met elkaar samenwerken.
Dat brengt veel voordelen met zich mee. Toch roept het ook een vraag op die op veel bestuurstafels nog niet gesteld wordt: Wie is er eigenlijk bestuurlijk verantwoordelijk voor die keuzes?
Wat is data-soevereiniteit?
Data-soevereiniteit gaat over regie. Over controle. Het gaat over vragen als:
- Waar staat je data fysiek opgeslagen?
- Onder welke wetgeving valt die opslag?
- Wie kan erbij en onder welke voorwaarden?
- Kun je wisselen van leverancier als dat nodig is?
- Wie bepaalt uiteindelijk je innovatiepad?
Voor woningcorporaties weegt dit extra zwaar. Je werkt met gevoelige huurdersdata: inkomensgegevens, betalingshistorie, persoonlijke omstandigheden. Je hebt een publieke taak en een maatschappelijke verantwoordelijkheid richting huurders die vaak weinig alternatieven hebben. Reputatie en vertrouwen zijn de basis van je bestaansrecht.
Daar komt bij dat wet- en regelgeving steeds strenger wordt. De AVG stelt eisen aan de verwerking en opslag van persoonsgegevens. De BIO verplicht overheidsorganisaties tot een bepaald niveau van informatiebeveiliging. Als bestuurder ben je eindverantwoordelijk voor de naleving daarvan, ook als de uitvoering bij een externe leverancier ligt. Een datalek of incident bij een leverancier is in de ogen van toezichthouders en huurders alsnog jouw verantwoordelijkheid.
En de IT-keuzes die je vandaag maakt, hebben consequenties voor de komende tien jaar.
De stille afhankelijkheid
Vendor lock-in ontstaat zelden door één grote beslissing. Het sluipt erin. Systeem voor systeem, integratie na integratie. Wat begint als een handige koppeling tussen twee applicaties, groeit uit tot een complexe structuur waarbij data, processen en autorisaties diep met elkaar verweven zijn.
Op een dag wil je een expertsysteem vervangen, omdat er een betere optie op de markt is, of omdat de samenwerking niet meer bevalt. Dan blijkt dat de data er niet zomaar uit te exporteren is. De koppeling met andere systemen is zo complex geworden dat vervanging meer risico oplevert dan gewoon blijven zitten. Contractueel zit je nog jaren vast aan voorwaarden die je destijds niet goed genoeg had doorgelezen.
Langlopende contracten versterken dat gevoel. En hoe meer systemen met elkaar verweven raken, hoe moeilijker het wordt om los te komen. Intussen loopt je organisatie achter de feiten aan: je past je processen aan aan wat het systeem aankan, in plaats van andersom.
Afhankelijkheid is het standaard eindpunt van gemak, tenzij je er actief op stuurt. Dat sturen begint niet op de IT-afdeling. Het begint bij het bestuur.
Wat betekent regie in de praktijk?
Regie over je data begint met inzicht. En inzicht vereist een aantal concrete dingen:
- Transparantie in datastromen: weet je waar je data naartoe gaat en wie er toegang toe heeft?
- Keuzevrijheid in systemen: heb je een exitstrategie als je ooit van leverancier wilt wisselen?
- Duidelijkheid over opslag: staat je data in Nederland, in Europa, of ergens anders?
- Flexibele architectuur: is je IT-landschap zo ingericht dat je kunt bewegen als dat nodig is?
- Heldere governance: wie in jouw organisatie is formeel verantwoordelijk voor deze vragen?
Dat laatste punt wordt vaak onderschat. Data-soevereiniteit vereist organisatorische helderheid. Wie neemt beslissingen over nieuwe koppelingen? Wie beoordeelt de databepalingen in een leverancierscontract? Wie heeft overzicht over welke systemen toegang hebben tot welke data? En wie rapporteert daarover aan het bestuur?
Als niemand die vragen kan beantwoorden, is dat op zichzelf al een risico. Toezichthouders als de Autoriteit Persoonsgegevens verwachten dat organisaties kunnen aantonen dat zij grip hebben op hun data. Dat verwachten je huurders ook, al stellen ze die vraag zelden expliciet.
Tijd voor zelfreflectie
Stel jezelf eens de volgende vragen:
- Weet jij waar je data fysiek staat?
- Kun je binnen 12 maanden van leverancier wisselen als dat nodig is?
- Is data-soevereiniteit een onderdeel van jouw bestuursagenda?
- Wie in jouw organisatie draagt hier formeel verantwoordelijkheid voor?
Als het antwoord op één van deze vragen "nee" of "dat weet ik eigenlijk niet" is, dan is het tijd om het gesprek te starten. Niet omdat er nu iets mis gaat, maar omdat je wilt dat je corporatie over vijf jaar nog steeds de regie heeft over haar eigen data, systemen en koers.
Corporaties die nu bewuste keuzes maken in hun IT-architectuur, bouwen aan een fundament dat flexibel, veilig en toekomstbestendig is. Corporaties die dat niet doen, merken dat pas als het te laat is om snel bij te sturen.
Data-soevereiniteit is een bestuurlijke verantwoordelijkheid. En die begint bij bewustzijn en bij de keuzes die je vandaag maakt in je IT-landschap.
Wil je hier verder over nadenken en concreet kijken wat dit betekent voor jouw corporatie? Neem contact op met Itris.