Digitale soevereiniteit, governance en de rol van IT-leiderschap stonden centraal tijdens de strategische CIO-sessie op 12 juni in de 3D Makers Zone in Haarlem. Samen met onze partners KPN en Netskope brachten we ruim 20 CIO’s, CISO’s en digitale leiders samen voor een open gesprek over complexe thema’s als AI, cloud, security en compliance.

💬 Echte praktijkdilemma’s: grip op data of innovatie?

Wat betekent datasoevereiniteit in de praktijk? De beschikbaarheid en locatie van data blijken allesbepalend voor zowel compliance als businesscontinuïteit. Maar die beschikbaarheid is lang niet altijd gegarandeerd, gaven deelnemers toe. Een CIO verwoordde het treffend:

“We hadden de infrastructuur perfect geregeld, maar de toegang tot data? Die bleek op een cruciaal moment niet beschikbaar. Dat was echt een misser.”

Tegelijkertijd staat een te rigide aanpak innovatie in de weg. Organisaties zoeken naar een balans tussen risico’s beperken en ruimte geven aan experiment, zoals het gebruik van AI.

“Je wil niet dat innovatie vastloopt door governance. Maar je wil ook geen wildgroei.”

🛡️ De CISO: onafhankelijk of embedded?

De rol van de CISO is volop in beweging. Moet deze onafhankelijk rapporteren aan de CEO, of juist nauw samenwerken met de CIO? De sessie liet zien dat er geen one-size-fits-all-oplossing is, maar dat samenwerking cruciaal is.

“Onze CISO en CIO rapporteren aan verschillende bestuurders, maar dienen voorstellen altijd samen in. Dat voorkomt fragmentatie.”

Toch werd ook benoemd dat CISO’s vaak moeite hebben om de volledige impact van beslissingen op bedrijfsprocessen te overzien. En dat juist dáár het risico sluimert.

“Als je als CISO de business niet begrijpt, krijg je het budget niet. Maar tegelijkertijd is het bijna onmogelijk om álle processen en data-impact te kennen.”

🌍 Europese soevereiniteit: ideologie of noodzaak?

Datasoevereiniteit leeft al jaren, maar blijft volgens velen steken in een “achterhoedegevecht”. Toch lijkt de urgentie nu groter dan ooit. Eén van de deelnemers verwees naar het Gaia-X initiatief en het belang van Europese infrastructuur:

“We praten hier al drie jaar over. Eerst lachte iedereen. Maar inmiddels komt het bij élke tweede boardmeeting terug op tafel.”

En:

“Er is één Nederlands bedrijf dat echt verschil kan maken in dit debat, en dat is KPN. Als we dit serieus nemen, moeten we ook écht andere keuzes durven maken over waar onze data staat.”

🧩 Van abstractie naar actie: welke data is écht kritisch?

Een rode draad in het gesprek was het belang van dataclassificatie. Niet álle data vereist dezelfde mate van bescherming. Door vooraf heldere keuzes te maken over wat kritiek is, wordt governance werkbaar én begrijpelijk voor de business:

“Als je weet welke data cruciaal is – bijvoorbeeld de e-mail van de CEO – kun je daarop sturen. De rest hoeft niet per se in Nederland te blijven.”

Die vertaalslag van IT naar businessrisico’s blijkt essentieel:

“Pas als je het concreet maakt, bijvoorbeeld met kosten en gevolgen van downtime, begint de business echt mee te denken.”

📣 Tot slot

De CIO-sessie bracht geen eenduidige antwoorden – maar wél waardevolle inzichten, praktische dilemma’s en bovenal: onderling begrip. Dat maakt het mogelijk om samen te bouwen aan veerkrachtige, veilige én innovatieve digitale organisaties.

Dank aan onze partners KPN, Netskope en alle aanwezigen voor hun openheid, visie en bijdragen!