Er zijn van die vragen die steeds terugkomen, ook als ze al eerder zijn beantwoord. De vraag waar data thuishoort is er één van. Hij duikt op bij migraties, bij nieuwe leveranciersgesprekken, bij audits, bij contracten die aflopen. En elke keer opnieuw blijkt dat het antwoord van vorige keer niet automatisch het antwoord van nu is. Omdat de organisatie is veranderd, de wetgeving is aangescherpt, of de omgeving er anders uitziet dan een paar jaar geleden.

In veel gevallen wordt de vraag dan ook niet echt beantwoord. Er wordt een keuze gemaakt, soms bewust, vaker op gevoel of op basis van wat de leverancier voorstelt, maar de onderbouwing blijft impliciet. En dat is precies waar het later wringt.

“Wat is nu eigenlijk de juiste keuze?” Het is de vraag die in vrijwel elk gesprek over data-soevereiniteit terugkomt. Moet het naar de cloud of juist niet? Welke leverancier is de verstandige keuze? Wat doen vergelijkbare organisaties? Er zit een begrijpelijke hoop achter die vraag: dat er ergens één goed antwoord ligt dat, eenmaal gevonden, de discussie sluit.

Data-soevereiniteit gaat over de vraag wie werkelijk controle heeft over data: niet alleen waar het staat, maar ook wie toegang heeft, onder welke wetgeving het valt en hoe afhankelijk je bent van externe partijen. En juist omdat die factoren per organisatie anders zijn, bestaat er geen universeel antwoord op de vraag waar data thuishoort.

Toch zien we dat die vraag in veel organisaties nooit expliciet is gesteld. Niet omdat niemand het belangrijk vindt, maar omdat de partij die het antwoord zou moeten geven, de leverancier of beheerder, er geen belang bij heeft om hem te stellen. Wie beheert, heeft weinig reden om de eigen keuzes kritisch te bevragen. Dat is precies de ruimte waar een onafhankelijke blik het verschil maakt.

Die hoop op een eenduidig antwoord is sterker geworden naarmate het landschap onoverzichtelijker werd. Hoe meer opties, leveranciers en architecturen, hoe aantrekkelijker het idee van een vaste regel. Geef me de best practice, dan pas ik hem toe.

Het probleem is alleen: die regel bestaat niet.

Wie zoekt naar het juiste antwoord, behandelt een afweging als een feit. Maar de plek waar data en workloads thuishoren is geen technische constante. Het is de uitkomst van een aantal factoren die per organisatie, en zelfs per gegevenssoort, verschillen.

Twee organisaties in dezelfde sector kunnen tot tegengestelde, en allebei verstandige, keuzes komen. De ene verwerkt gevoelige persoonsgegevens onder strikte regelgeving en houdt die bewust dichtbij. De andere draait vergelijkbare applicaties maar met data die geen bijzonder risico draagt, en kiest voor de schaalvoordelen van een publieke cloud. Geen van beide heeft het “fout”.

Het zoeken naar één antwoord verbergt bovendien een risico: het maakt de keuze vatbaar voor mode, voor de overtuiging van de leverancier die het hardst praat, of voor een ideologische voorkeur: cloud-first, of juist cloud-nooit. Geen van die uitgangspunten is een afweging. Het zijn standpunten die toevallig op een keuze lijken. De vraag is dus niet wat is juist, maar hoe weeg ik af.

In plaats van een antwoord te geven, geeft een goed kader structuur aan het gesprek. Voor elke dataset, applicatie of workload zijn er vier assen die samen bepalen waar iets thuishoort.

De kunst zit niet in het invullen van één as, maar in het samenspel. Een dataset met een laag risico maar onder strikte wetgeving vraagt iets anders dan een dataset met hoog risico zonder bijzondere regels. Het kader dwingt je die combinatie expliciet te maken in plaats van op gevoel te beslissen.

Wat verwerk je precies? Openbare informatie, bedrijfsgevoelige gegevens, bijzondere persoonsgegevens, intellectueel eigendom? Het karakter van de data zet de ondergrens voor alles wat volgt. Niet alle data verdient dezelfde bescherming, maar dat geldt ook andersom: niet alle data hoeft de zwaarste behandeling te krijgen.

Wat gebeurt er als deze data uitlekt, onbeschikbaar raakt of in verkeerde handen valt? Het gaat hier om impact: reputatie, continuïteit, veiligheid, financiële schade. Twee datasets van hetzelfde type kunnen een heel verschillend risicoprofiel hebben, afhankelijk van wat ermee gebeurt.

Welke kaders zijn van toepassing? De Data Act, de Cyberbeveiligingswet, sectorale regels, contractuele verplichtingen. Wetgeving begrenst de speelruimte: soms hard (“dit mag niet buiten de EU”), vaker als voorwaarde waaraan een oplossing moet voldoen. Dit is de as die het vaakst over het hoofd wordt gezien tot het te laat is.

Hoeveel grip houd je op de oplossing die je kiest? Kun je weg bij deze leverancier zonder onaanvaardbare kosten of risico’s? Wie heeft toegang tot de sleutels, de data, de configuratie? Afhankelijkheid is geen reden om iets niet te doen, maar een afhankelijkheid die je niet bewust hebt gekozen, is er een die je later inhaalt.

Neem een organisatie met een klantportaal, een financiële administratie en een set analytische workloads. Drie onderdelen, drie verschillende uitkomsten.

Het klantportaal draait op publiek toegankelijke productinformatie. Laag risico, weinig wettelijke last, schaalbaarheid is gewenst. Dat past prima in een publieke cloud.

De financiële administratie bevat bedrijfsgevoelige gegevens onder accountancy- en bewaarregels. Het risico bij uitval of lekkage is hoog, en de afhankelijkheid moet beheersbaar blijven. Dat pleit voor een omgeving waarin de organisatie de controle en de sleutels in eigen hand houdt, al dan niet bij een leverancier, maar op haar eigen voorwaarden.

De analytische workloads werken deels met gevoelige data en deels met geanonimiseerde sets. Hier ontstaat een gesplitste keuze: het rekenwerk op anonieme data mag de schaal van de cloud benutten, terwijl de gevoelige bronnen dichtbij en afgeschermd blijven.

Het resultaat is niet “cloud” of “on-premises”. Het is een hybride uitkomst die per onderdeel verantwoord is, en waarvan je voor elk onderdeel kunt uitleggen waarom. Dat laatste is het echte product van dit kader: niet de keuze zelf, maar de onderbouwing eronder. Meer over waarom “alles naar de cloud” geen strategie is, lees je in dit eerdere artikel in de reeks.

Een afwegingskader is makkelijker beschreven dan toegepast. Het vraagt drie dingen.

Het vraagt dat je je data kent. Je kunt geen type, risico of wettelijk kader wegen voor data waarvan je niet weet dat je die hebt. Een eerlijk overzicht van wat er is, en wat het waard is, is het startpunt. Hoe data zich door systemen en partijen beweegt, lees je in De verborgen keten achter je data.

Het vraagt dat je de afweging belegt op het juiste niveau. De vier assen raken techniek, recht én bestuur. Dit is geen beslissing voor de infrastructuurafdeling alleen. Het is een gesprek waar IT, juridisch en directie samen aan tafel horen.

En het vraagt dat je de keuze durft te dragen. Een contextafhankelijk antwoord is verdedigbaar, maar niet comfortabel: er is geen externe regel om je achter te verschuilen. De keuze is van jou, en daarmee ook de verantwoordelijkheid om hem periodiek tegen het licht te houden als de context verschuift.

De zoektocht naar het juiste antwoord is begrijpelijk, maar leidt af. Er is geen plek waar data per definitie thuishoort, geen leverancier die per definitie de verstandige keuze is, geen architectuur die voor iedereen klopt.

Wat er wél is, is een manier van wegen: type data, risico, wetgeving en afhankelijkheid, in onderlinge samenhang. Wie dat kader serieus toepast, komt niet uit bij een dogma, maar bij een keuze die past. En bij data-soevereiniteit draait het uiteindelijk precies daarom: niet om een technisch oordeel van buitenaf, maar om regie die je zelf voert.

De juiste keuze is altijd contextafhankelijk. Dat is geen ontwijking van het antwoord. Dat ís het antwoord.

De vraag die wij vandaag stellen: weet jij voor elk onderdeel van je omgeving waarom het staat waar het staat, en klopt die onderbouwing nog?

In veel organisaties zijn dit soort keuzes in de loop van de tijd ontstaan. Soms bewust, soms omdat het op dat moment logisch leek. En vaak werkt het ook gewoon. Tegelijkertijd is het niet altijd duidelijk hoe de afwegingen destijds zijn gemaakt, en of die nog kloppen met de situatie van nu.

Het kan waardevol zijn om daar af en toe bewust naar te kijken. Niet om alles opnieuw te doen, maar om te begrijpen of de keuzes van gisteren nog passen bij de risico’s en ambities van morgen.

Voor organisaties die dat willen verkennen, kan een korte scan helpen om dat inzichtelijk te maken.