Dataportabiliteit in de wolken
Doelgroep:
Dit artikel over het bevorden van dataportabiliteit is voor CISO's,CIO's en IT managers die zich zorgen maken over de vendor lock-in van hun organisatie bij bijvoorbeeld een clouddienstverlener en aan de slag willen om dit risico tot een voor hen acceptabel niveau te beperken.
Definities:
- Cloud: cloudcomputing is een model dat overal en op aanvraag netwerktoegang mogelijk maakt naar een gedeelde verzameling van geconfigureerde computermiddelen (zoals netwerken, servers, opslag, applicaties en diensten) die snel kunnen worden geleverd en vrijgegeven met een minimale inspanning of interactie met de dienstverlener.
- Vendor lock-in: de mate van afhankelijkheid van een bepaalde leverancier of dienstverlener waardoor overstappen naar een alternatieve leverancier of dienstverlener moeilijk, kostbaar of risicovol is.
- Dataportabiliteit: het vermogen om data te verplaatsen tussen verschillende (cloud)omgevingen.
Achtergrond
De meeste organisaties vertrouwen op clouddienstverleners om hun IT‑systemen draaiende te houden. Deze keuze biedt veel voordelen: organisaties kunnen zich volledig focussen op hun kernactiviteiten, terwijl de dienstverlener de IT beheert. Lange tijd zagen organisaties deze afhankelijkheid niet als een probleem. Maar door recente geopolitieke ontwikkelingen groeit de zorg over de afhankelijkheid van (buitenlandse) IT‑dienstverleners, vooral bij het gebruik van clouddiensten.
Hoewel (buitenlandse) clouddienstverleners veel voordelen bieden, ervaren organisaties steeds vaker risico’s. Zij beoordelen lock‑in risico’s anders dan voorheen. Wat doet jouw organisatie bijvoorbeeld als een clouddienstverlener plots stopt met het leveren van een bepaalde dienst (vendor lock‑out)? Of als de dienstverlener de prijzen ineens verdubbelt? Een lock-in hoeft niet alleen een vendor lock-in te zijn en kan meerdere smaken hebben, denk aan data lock-in, technische lock-in, contractuele lock-in en kennis lock-in.
Gelukkig bestaan er verschillende strategieën om lock‑in risico’s te beperken. In dit artikel richten we ons op één van die strategieën: dataportabiliteit. Met dataportabiliteit is jouw organisatie in staat om data te migreren van de ene naar de andere omgeving binnen een bepaalde tijd. Dit geeft flexibiliteit en verkleint de afhankelijkheid van één leverancier. Zo kun je het risico op vendor lock‑in beheersbaar maken. Uiteindelijk bepaalt jouw organisatie zelf of deze risico’s acceptabel zijn of dat aanvullende maatregelen nodig zijn.
In dit artikel vind je een praktisch stappenplan om hiermee aan de slag te gaan. Daarnaast laten we met een voorbeeld zien hoe je dit stappenplan in de praktijk toepast.
Stappenplan dataportabiliteit
Maak gebruik van het onderstaande stappenplan om tot een passend niveau van dataportabiliteit te komen:
Stap 1: Bepaal welke data voor jouw organisatie het meest kritiek is
Stap 2: Identificeer risico’s en bepaal de termijn waarbinnen jouw organisatie data moet kunnen overzetten
Stap 3: Implementeer maatregelen die bijdragen aan dataportabiliteit
Stap 4: Test of de data daadwerkelijk portabel is.
Stap 1: Bepaal welke data voor jouw organisatie het meest kritiek is
Het omzetten en migreren van data kost veel tijd en capaciteit. Deze tijd en capaciteit kun je maar één keer inzetten. Richt je daarom eerst op de data die het meest kritiek is voor jouw organisatie. Begin bij jouw organisatiedoelen en bepaal welke processen cruciaal zijn voor het behalen van deze doelen. Vervolgens inventariseer je welke systemen de kritieke processen draaiende houden en welke data die kritieke systemen verwerken. Zo krijg je inzicht in welke data cruciaal is voor het behalen van de organisatiedoelen. Op basis van deze prioritering stel je in stap 2 de termijn vast waarbinnen jij de data wilt migreren.
De artikelen ‘Hoe breng ik mijn te beschermen belangen in kaart?’ en ‘Hoe breng ik mijn technische belangen in kaart?’ gaan dieper in op het in kaart brengen van de kritieke processen, systemen en data (de te beschermen belangen). Het artikel ‘Hoe krijg ik zicht en grip op mijn belangrijkste data?’ helpt je om grip te krijgen op de data die in jouw organisatie aanwezig is.
Stap 2: Identificeer risico’s en bepaal de termijn waarbinnen jouw organisatie data moet kunnen overzetten
In stap 1 classificeer je je data en bepaal je welke data voor jouw organisatie het meest kritiek is. In deze volgende stap stel je passende overstaptermijnen vast voor je data. Daarbij houd je rekening met risico’s en scenario’s die voor jouw organisatie relevant zijn. Hieronder vind je eerst een aantal risico’s van een vendor lock-in. Onderzoek of deze risico’s ook voor jouw organisatie gelden en vul ze aan met eventuele extra risico’s. Daarnaast vind je scenario’s waarmee je rekening kunt houden. Deze scenario’s helpen je om in te schatten binnen welke termijn je (belangrijkste) data beschikbaar moet zijn voor migratie. De termijnen waarbinnen jouw organisatie data moet overzetten, bepalen grotendeels de mate van dataportabiliteit.
Vendor lock-in risico’s
Een bepaalde mate van vendor lock‑in is onvermijdelijk. Iedere organisatie neemt producten en diensten af van leveranciers en past haar processen daarop aan. Dat geldt natuurlijk ook voor clouddienstverleners. Een lock‑in hoeft niet meteen problematisch te zijn. Zoals eerder beschreven, betekent een lock‑in dat je afhankelijk bent van een dienstverlener. Wanneer je te afhankelijk wordt en bijvoorbeeld niet zorgt dat je data portabel blijft, kun je niet tijdig of adequaat reageren op (onverwachte) gebeurtenissen die een negatieve impact hebben op je organisatie. Daarom is het belangrijk dat je in kaart brengt welke risicoscenario’s kunnen ontstaan bij een vendor lock‑in. Hieronder vind je enkele scenario’s waarmee je rekening moet houden.
- Eenzijdige verandering in het contract of de Service Level Agreement (SLA) bij contractverlenging: jouw cloudleverancier maakt een aanpassing in de Service Level Agreement waar jouw organisatie het niet mee eens is of heeft een prijsverhoging ingesteld.
- Voorkeur voor specifieke cloudtoepassingen: het kan voorkomen dat jouw organisatie een clouddienstverlener gebruikt met specifieke toepassingen die niet langer aansluiten op je organisatiedoelstellingen. Het omgekeerde kan ook: jouw organisatie heeft toepassingen nodig die je huidige clouddienstverlener niet aanbiedt. Misschien vind je deze functionaliteiten wel bij een andere aanbieder. In zulke situaties kan dit een aanleiding zijn om je data te migreren naar een andere oplossing.
- Geopolitieke ontwikkelingen en aanpassing van wet- en regelgeving: geopolitieke en juridische ontwikkelingen kunnen ervoor zorgen dat je een clouddienstverlener niet meer wilt gebruiken of dat je bepaalde data moet migreren naar een andere oplossing. Afhankelijk van deze ontwikkelingen bepaal je binnen welke termijnen je je data wilt kunnen overzetten.
- Crisisscenario’s: houd ook rekening met crisisscenario’s, zoals uitval van de clouddiensten. Echter, wanneer jouw kritieke processen afhankelijk zijn van een leverancier is dataportabiliteit bij uitval van een clouddienst niet voldoende, omdat jouw organisatie hoogstwaarschijnlijk geen toegang heeft tot de data. In dit scenario zijn back-ups, herstelplannen en redundantie effectievere mitigerende maatregelen. Acht je zo’n crisissituatie aannemelijk voor jouw organisatie? Zorg er dan voor dat je jouw meest kritieke data op een alternatieve manier kunt verwerken.
Stap 3: Implementeer maatregelen die bijdragen aan dataportabiliteit
De termijn waarin jouw organisatie data van de ene naar de andere omgeving wil overzetten, bepaalt de gewenste mate van dataportabiliteit. Wil je je data binnen een bepaalde termijn migreren, dan moet de dataportabiliteit aansluiten op de gewenste termijn. Dat vraagt om een goede voorbereiding. Een datamigratie die snel moet plaatsvinden vereist meer voorbereiding vooraf dan een migratie met minder tijdsdruk. Nadat je hebt vastgesteld binnen welke termijnen je je data wilt kunnen overzetten, treft je organisatie de voorbereidingen die passen bij die gewenste termijn.
Hieronder vind je enkele voorbeelden van zaken waaraan je kunt denken.
Gebruik van open standaarden
Een manier om je dataportabiliteit te verhogen is door je data om te zetten en hierbij gebruik te maken van open standaarden. De Nederlandse overheid hanteert beleid voor het gebruik van open standaarden in haar ICT-systemen. Deze standaarden zijn via Forum Standaardisatie te vinden, waarbij je kunt kiezen tussen Aanbevolen Standaarden of ‘Pas toe of leg uit’-standaarden. De ‘Pas toe of leg uit’-standaarden zijn verplicht voor de meeste overheidsorganisaties.
Neem deze standaarden ook mee in het ontwerp van nieuwe systemen. Daarmee maak je het je organisatie makkelijker om in de toekomst data over te zetten wanneer dat nodig is.
Maak afspraken met leveranciers over dataportabiliteit
Maak bindende afspraken met dienstverleners en leveranciers over de termijn waarop bepaalde data gemigreerd moet kunnen worden. Stel eisen over de mate van portabiliteit en het gebruik van open standaarden. Overweeg en bespreek ook het opzetten van een escrow-regeling. Een escrow-regeling is een van de manieren waarmee je ervoor kunt zorgen dat jij toegang krijgt tot de source code van een systeem bij bijvoorbeeld een faillissement. Maak daarnaast afspraken over een change of control-clausule, denk aan het recht om te beëindigen bij overname of een escrow-activering bij eigendomswijziging. Op de pagina Belang van een cloud exit-plan lees je meer over het maken van afspraken in een exitplan.
Waar migreer je de data naartoe?
Als de termijn waarop je bepaalde data wil migreren kort is, zul je van tevoren ook al bepaald moeten hebben waar de data naartoe gemigreerd kan worden. Onderzoek wat realistische uitwijkmogelijkheden zijn.
Bandbreedte/transport
Wanneer een grote dataset binnen een beperkte tijd portabel moet zijn, dient jouw organisatie ook te onderzoeken via welke weg de data van de ene naar de andere omgeving wordt overgezet. Vaak gebeurt dit via het internet. In dat geval moet er voldoende bandbreedte zijn om dit binnen de gestelde termijn te doen.
Juiste kennis en vaardigheden
Afhankelijk van de termijnen die je in stap 1 hebt bepaald, kijk je of de juiste kennis en vaardigheden binnen je organisatie aanwezig zijn om de data binnen deze termijn over te zetten. Vooral voor je meest kritieke data is het van belang om te weten dat jouw medewerkers over de juiste kennis en vaardigheden beschikken om de data over te zetten.
In september 2025 trad de Data Act (Dataverordening) in werking. Deze EU‑verordening vergroot de controle van consumenten over het gebruik van hun data.
De Data Act legt verplichtingen op en biedt mogelijkheden aan bedrijven, consumenten en overheden rondom datagebruik. In het kader van dataportabiliteit en vendor lock‑in is vooral belangrijk dat de verordening barrières wegneemt voor het overstappen tussen clouddienstverleners. Een van de maatregelen uit de Data Act is dat cloudaanbieders vanaf drie jaar na de inwerkingtreding geen overstapkosten meer mogen rekenen.
De Autoriteit Consument & Markt (ACM) houdt toezicht op de naleving van deze wet. Partijen kunnen meldingen doen bij de ACM over relevante ontwikkelingen en mogelijke overtredingen.
Meer informatie over de Data Act:
Stap 4: Test of je data daadwerkelijk portabel is
Wanneer je een gewenst tijdpad hebt bepaald en de juiste voorbereidingen hebt getroffen, kun je testen en oefenen of de data op de juiste manier wordt overgezet voordat je daadwerkelijk migreert. Tijdens deze tests controleer je ook of je eerder vastgestelde tijdsdoelen haalbaar zijn. Daarnaast helpen testen en oefenen om onvoorziene barrières te ontdekken. Als blijkt dat de gewenste termijn onrealistisch is, heb je twee keuzes: of de gewenste termijnen oprekken, of je investeert extra om de oorspronkelijke termijnen wel te halen.
Afsluiting
Het gebruik van een specifieke cloudleverancier brengt verschillende risico’s van vendor lock‑in met zich mee. Jouw organisatie bepaalt zelf of je deze risico’s accepteert of wilt mitigeren. Een effectieve manier om met deze lock‑in‑risico’s om te gaan, is door je dataportabiliteit te vergroten. Ga daarom actief aan de slag met het stappenplan, zodat je data toegankelijk blijft en je primaire bedrijfsprocessen blijven functioneren.
Transport For You (TFY) is een bedrijf dat actief is in de logistieke sector. Meerdere winkelketens hebben de bevoorrading van hun fysieke winkels uitbesteed aan TFY. Naar aanleiding van berichtgeving in de media vraagt TFY zich af in hoeverre het bedrijf vatbaar is voor vendor lock-in risico’s. Daarom besluiten ze hier onderzoek naar te doen.
Stap 1: Bepaal welke data voor jouw organisatie het meest kritiek is
TFY heeft eerder een risicoanalyse uitgevoerd om tot een passend niveau van digitale weerbaarheid te komen. Uit deze risicoanalyse blijkt dat de logistieke processen sterk leunen op een logistieke SaaS-applicatie. Deze applicatie bevat vrijwel alle informatie over welke lading naar welke locatie moet. De data die in deze applicatie wordt verwerkt, is daarom cruciaal voor de primaire bedrijfsprocessen van TFY.
Stap 2: Bepaal de termijn waarbinnen jouw organisatie data moet kunnen overzetten
TFY creëert scenario’s om te bepalen binnen welke termijn het de data moet kunnen overzetten. Deze scenario’s maken de vendor lock-in risico’s concreet. Daarbij laat TFY zich inspireren door de eerder in dit artikel genoemde risico’s. Op basis daarvan concludeert TFY dat het in staat moet zijn om de data over de logistieke processen binnen één maand over te zetten naar een andere dienstverlener.
Stap 3: Implementeer maatregelen die bijdragen aan dataportabiliteit
Met de termijn van één maand als uitgangspunt onderzoekt TFY welke maatregelen nodig zijn om dit haalbaar te maken. De belangrijkste maatregel is het implementeren van open standaarden voor de data. Omdat meerdere IT‑dienstverleners deze standaarden gebruiken, wordt een overstap eenvoudiger.
Daarnaast identificeert TFY alvast enkele alternatieve dienstverleners en legt het de eerste contacten met deze organisaties. Als een migratie nodig blijkt, bespaart dit waardevolle tijd.
Stap 4: Test of de data daadwerkelijk portabel is
TFY test of de gestelde termijn haalbaar is door een representatieve dataset te gebruiken uit het logistieke systeem. Tijdens deze test blijkt dat de IT‑dienstverlener onvoldoende bandbreedte biedt om de grote dataset binnen de gewenste termijn over te zetten. Daarom stapt TFY opnieuw naar de dienstverlener om afspraken te maken over een grotere hoeveelheid beschikbare bandbreedte voor een eventuele datamigratie.
In samenwerking met: Ministerie van Economische Zaken, Compleon, Robeco en Bizway.