Heldere analyse van risico’s, realistische kijk op mitigatie en beleid Conclusion organiseert CIO-sessie “Grip op Cloud”

6 juni 2025

Door: Lucas Jellema

Deel

Lucas Jellema

CTO

lucas.jellema@conclusion.nl

Public cloud is voor veel organisaties een onmisbaar onderdeel van hun IT-strategie, maar sinds januari 2025 is het perspectief op public cloud veranderd. Nieuwe risico’s zijn ontstaan, bestaande risico’s zijn zichtbaarder geworden en vormen nu een concreet onderwerp van gesprek, analyse en actie.

Om deze ontwikkelingen te duiden, organiseerde Conclusion eind mei een besloten CIO-sessie. In een vertrouwelijke setting gingen CIO’s en IT-leiders met elkaar in gesprek over de kansen én risico’s van (public) cloudgebruik. Centraal stond de vraag: hoe maak je als organisatie bewuste, toekomstbestendige keuzes?

Toenemende aandacht voor risico’s

Alle deelnemers aan de sessie maken gebruik van public cloud en merken dat de aandacht voor risico’s toeneemt: binnen hun organisatie, vanuit directies, politiek, media en zelfs hun persoonlijke omgeving. De afhankelijkheid van Amerikaanse cloudproviders bij overheidsinstanties en het bedrijfsleven is breed zichtbaar geworden, mede door berichtgeving van Arjen Lubach, NOS Nieuws en het Financieel Dagblad.

Deze berichten benadrukken vooral geopolitieke spanningen, de onvoorspelbaarheid van de Amerikaanse overheid en inmiddels ook het rechtssysteem. Denk aan voorbeelden als de Amsterdam Trade Bank en het Internationaal Strafhof, waar Amerikaanse cloudproviders op last van de Amerikaanse overheid per direct de dienstverlening beëindigden. Het gevolg: klanten verloren directe toegang tot hun processen en data - een fundamenteel risico, waarbij een derde partij de ‘kill switch’ in handen heeft.

Maar er zijn meer risico’s en waarschijnlijkere scenario’s die aandacht vragen in het IT-beleid, los van de actuele geopolitieke situatie in de Verenigde Staten of de dreiging vanuit Rusland.

Analyse en mitigatie:Geen one-size-fits-all

Drie CTO’s uit het Conclusion-ecosysteem presenteerden een nuchtere analyse van werkelijke afhankelijkheden van én risico’s met public cloud. De focus van de presentaties lag op mitigatie; het verkleinen van de kans op verstoringen en het beperken van de impact ervan. Een belangrijk inzicht is dat er grote verschillen zijn in applicaties, functies, diensten en in datasets. Sommige applicaties mogen nog geen seconde uitvallen, andere kunnen wekenlang gemist worden. Sommige data is publiek, andere strikt vertrouwelijk.

Deze diversiteit vraagt om maatwerk en risicoanalyse in mitigatie. Denk aan een analyse van afhankelijkheden van (cloud)voorzieningen en diensten, derde partijen, eigen medewerkers, kennis, community, hardware, fysieke locaties en zelfs klimaatontwikkelingen. Je moet weten waar kritieke verbindingen en mogelijke bottlenecks zijn, welke scenario’s welke gevolgen kunnen hebben én vaststellen welke gevolgen niet acceptabel zijn is de eerste stap. Gevolgd door het ontwerpen en toepassen van maatregelen die leiden tot minder kwetsbare afhankelijkheden.

Voorbeelden van maatregelen zijn:

- Meervoudige uitvoering van middelen en mensen.

- Periodieke veiligstelling van gegevens

- Verplaatsen van workloads naar soevereine of zelfbeheerde omgevingen

- Actief lifecyclemanagement op technologie, applicaties en data

- Encryptie (met zelfbeheerde sleutels) van data in transit & in rest

- Architectuurrichtlijnen die leiden tot grotere portabiliteit van workloads

- Minimale afhankelijkheid van leveranciers

- Gebruik van open standaarden.

SaaS: dubbele afhankelijkheid, dubbele zorgen

SaaS-applicaties vragen extra aandacht. Vaak zijn ze eigendom van één partij, maar draaien ze op de cloud-infrastructuur van een andere. Dat betekent: twee potentiële ‘kill switches’, waarvan tenminste één partij voor vervelende situaties kan zorgen. Risico’s zijn onder meer prijsverhogingen, achterblijvende functionele ontwikkeling en beperking van toegang tot jouw data. Daarom is actieve monitoring van SaaS-leveranciers essentieel, evenals een exitstrategie die garandeert dat je altijd over je data beschikt in een bruikbare vorm.

Europese alternatieven en technologische kansen

Alternatieven voor Amerikaanse clouds zijn in Europa nog beperkt beschikbaar. Zowel qua capaciteit als functionaliteit lopen Europese aanbieders achter. Door samenwerking en verkenning kunnen organisaties - net als de EU - deze ontwikkeling stimuleren. Daarnaast biedt slimme toepassing van AI Assisted Engineering kansen om productiviteitsverlies, door het loslaten van rijke PaaS-voorzieningen, deels te compenseren.

Praktijkvoorbeelden: grip op cloud in actie

Twee praktijkcases toonden hoe Conclusion met klanten grip houdt op public cloud-risico’s. Dit zijn voorbeelden van een energieproducent en een railinfrastructuur-beheerder, die een afgewogen strategie hebben met een mix van public cloud en private cloud – afgestemd op kosten, risico’s, beschikbare kennis en gevraagde flexibiliteit.

Reflectie en vervolg

De sessie liep iets uit, dankzij levendige discussies, praktijkvoorbeelden van deelnemers en gedeelde ervaringen met leveranciers en de politiek, berichten uit de media en de maatschappelijke verantwoordelijkheid van sommige deelnemende organisaties. Het was een waardevolle ochtend, met een goede realitycheck én een inspirerende gedachtewisseling tussen vakgenoten. Met concrete aanknopingspunten voor aanscherping van beleid en het ondernemen van actie.

Aanmelden voor de nieuwsbrief van Conclusion

Altijd up-to-dateNieuwsbrief

Wil je ook grip op je cloudstrategie?Ik ga graag met je in gesprek.

Lucas JellemaCTO