Steeds meer organisaties zijn bezig met digitale soevereiniteit. Logisch ook. Iedereen gebruikt digitale systemen met grote hoeveelheden gevoelige data. Als die systemen uitvallen of gehackt worden, raakt dit direct aan de bedrijfsvoering.
Dat was altijd al zo, maar de situatie in de wereld vergroot het risico daarop. Bovendien maakt de afhankelijkheid van grote technologiepartijen je kwetsbaar. En ten slotte wordt er – terecht – steeds meer transparantie van je gevraagd. Door de overheid, klanten en stakeholders. Op deze pagina lees je hoe wij van AFAS naar digitale soevereiniteit kijken, en vooral: wat we voor je dóén.
Digitale soevereiniteit is voor AFAS een bewuste keuze. Als Nederlands familiebedrijf ontwikkelen we onze HRM- en ERP-software volledig in Nederland, met een sterke Europese positionering. Omdat we onafhankelijk zijn van investeerders, maken we keuzes die in het belang zijn van onze klanten. Transparant, zorgvuldig en toekomstgericht.
Dat zie je terug in wat we vandaag al doen. We slaan klantdata uitsluitend op binnen de Europese Economische Ruimte (EER), onze omgevingen draaien onder Europese wetgeving en we gebruiken data nooit voor commerciële doeleinden. Klanten houden altijd zelf de regie en kunnen hun data eenvoudig exporteren via open standaarden. Privacy en security staan daarbij continu centraal.
Bas (CEO bij AFAS): 'Digitale soevereiniteit is voor AFAS geen vinkje, maar een strategische keuze.’
Bij de ontwikkeling van onze diensten houden we nadrukkelijk rekening met digitale soevereiniteit. We zoeken de juiste balans tussen functionaliteit en afhankelijkheden en maken onze keuzes helder en controleerbaar. Zo weten klanten precies waar ze aan toe zijn.
We sluiten aan bij de Nederlandse en Europese doelstellingen rondom digitale autonomie. Daarbij maken we onze aanpak steeds beter meetbaar en aantoonbaar, met inzicht in onze keten, toetsbare beheersmaatregelen en duidelijke rapportages. Onze werkwijze wordt ondersteund door certificeringen zoals ISO 27001, NEN 7510, ISAE 3402 type II en ISO 9001. Met ISAE 3000 hebben we daar recent een extra onafhankelijke onderbouwing aan toegevoegd.
Controle over data, cloudleveranciers en wetgeving wordt voor steeds meer organisaties belangrijk. We onderzoeken hoe organisaties hiermee omgaan. Laat ons weten hoe dit bij jou speelt. Het invullen kost minder dan een minuut en je antwoorden zijn volledig anoniem.
Regie houden over je digitale omgeving is niet vanzelfsprekend. Die regie kan onder druk komen te staan door buitenlandse wetgeving, internationale eigendomsverhoudingen en geopolitieke ontwikkelingen. Zelfs wanneer data fysiek in Europa wordt opgeslagen, is dat niet altijd voldoende om volledige controle over data, systemen en continuïteit te garanderen.
Ignaece (CISO bij AFAS): 'Soevereiniteit vraagt niet om grote woorden, maar om aantoonbare controle.’
We zien daarbij een aantal belangrijke risico’s:
Digitale soevereiniteit vraagt daarom om een realistische, risicogebaseerde aanpak. Niet alleen kijken naar functionaliteit en innovatie, maar juist ook naar controle, continuïteit en aantoonbare borging.
Wie een jaar of twee geleden ‘soeverein’ zei, had óf een fantastisch scrabblewoord gevonden, óf wilde iets vertellen over mensen die geen belasting betalen, hun paspoorten verbranden en de wetgeving maar onzin vinden. Nu is soevereiniteit een woord dat ons allemaal aangaat. Zeker als we het hebben over ICT.
Het belang van digitale soevereiniteit is het afgelopen jaar steeds duidelijker geworden. Maar hoe ga je hier als organisatie goed mee om? Er is bijvoorbeeld nog geen Europees keurmerk of certificering op dit gebied. Dat betekent niet dat we kunnen wachten of niets hoeven te doen. De geopolitieke ontwikkelingen hebben dat duidelijk gemaakt. Daarom kijken we vooral naar de richtlijnen die er al wél zijn, zowel binnen Nederland als binnen Europa.
Daarbij geldt voor ons steeds dezelfde afweging. Waar we gebruikmaken van technologie van buiten Europa, moet helder zijn waarom we dat doen, welke risico’s daarbij horen en welke maatregelen we nemen om die te beperken. Waar mogelijk bouwen we afhankelijkheden af, verplaatsen we functionaliteit naar eigen of Europese oplossingen of zorgen we voor een alternatief scenario. Zo maken we ook op dit punt bewuste keuzes, in plaats van gemakkelijke keuzes. Digitale soevereiniteit doen we niet alleen. We werken samen met partners die passen bij onze visie op controle, veiligheid en transparantie.
Onze software draait bij Leaseweb in een private cloud. Dit is een bewuste keuze. We werken liever met een sterke Europese partij dan met grote internationale techbedrijven. Onze systemen draaien in datacenters in Europa en vallen onder Europese wetgeving. Zo houden we grip op data en continuïteit. De samenwerking met Leaseweb is voor ons de basis voor een betrouwbare en toekomstbestendige oplossing.
Voor sommige AI-functionaliteiten maken we gebruik van Microsoft. De servers die we hiervoor gebruiken staan allemaal binnen de EER. Dit gaat dus niet over je AFAS-omgeving, deze staat altijd bij Leaseweb. We gebruiken Microsoft omdat hun AI technologie soms extra mogelijkheden biedt. Tegelijk werken we aan onze eigen AI-oplossingen en kijken we naar Europese alternatieven, zoals Mistral AI. Het gebruik van AI-functionaliteiten is altijd jouw keuze. Je moet dit zelf aanzetten en alleen de data die je zelf aan de workflow toevoegt gaat naar Microsoft. Je hebt hierover dus zelf de regie.
Viktor (Privacy Officer bij AFAS): 'Volledige soevereiniteit bestaat niet, maar meer regie en minder afhankelijkheid wel'
Privacy is meer dan een vinkje in de software; het is een essentieel onderdeel van de bedrijfsvoering geworden. De Autoriteit Persoonsgegevens (AP) kijkt scherper mee dan ooit en door de razendsnelle opkomst van AI ontstaan er voortdurend nieuwe vragen over wat er met persoonsgegevens gebeurt. Voor organisaties die met AFAS werken, is het cruciaal om te begrijpen waar de eigen verantwoordelijkheid stopt en waar die van de softwareleverancier begint.
Elke afdeling binnen AFAS houdt zich al in meer of mindere mate bezig met het soevereiniteitsvraagstuk. Bij elke nieuwe ontwikkeling maken we een expliciete afweging: het Europese alternatief, de open-sourceoplossing, of we bouwen het zelf. Een niet Europese oplossing valt per definitie af. Tegelijkertijd weten we dat zowel de geopolitieke als de technologische ontwikkelingen razendsnel gaan. Daarom passen we onze ambities aan als dat nodig is. Let op: aan deze informatie kun je dus geen rechten ontlenen.
Eigen AI op Europese bodemWe breiden onze eigen open-source AI-modellen (draaiend bij Leaseweb) steeds verder uit. Voor onze aanvullende AI-functionaliteiten kijken we actief naar Europese alternatieven. |
Europese alternatieven voor Microsoft 365We onderzoeken koppelingen met Nextcloud en alternatieve Europese kantoorsoftware zoals EU Office. Zo wordt ook documentbewerking en samenwerking onafhankelijk. |
Documentbewerking in AFASWe ontwikkelen onze eigen editors verder. Hiermee kunnen gebruikers teksten opmaken, documenten maken en eenvoudige spreadsheets bijhouden binnen ons eigen systeem. Zo verminderen we de afhankelijkheid van externe software voor veelvoorkomende werkzaamheden. |
AFAS als Identity ProviderWe breiden onze rol uit als centrale oplossing voor veilig inloggen. Ook kleinere organisaties kunnen zo één veilige inlog gebruiken en zelf beheren wie toegang heeft. |
Voor AFAS betekent digitale soevereiniteit dat je controle houdt over data en technologie. Je weet waar je data staat, onder welke wetgeving die valt en welke afspraken er zijn over privacy, security, continuïteit en transparantie. Het gaat dus om meer dan dataopslag. Het gaat ook om regie, keuzevrijheid en minder ongewenste afhankelijkheden. We benaderen dit realistisch: volledige soevereiniteit bestaat niet, maar meer regie en minder afhankelijkheid wel
Organisaties gebruiken steeds meer digitale systemen. Als deze uitvallen of veranderen, raakt dat de bedrijfsvoering. Ook nemen wettelijke verplichtingen toe. Daarom wil je grip houden op je digitale omgeving. Wie heeft controle als het erop aankomt? Hoe is de continuïteit geregeld? En welke partijen spelen een rol in de keten?
Data van klanten slaan we alleen op binnen de Europese Economische Ruimte (EER). Jouw klantomgeving staat bij Leaseweb. Daar hosten we onze software in een eigen private cloud. De software draait binnen datacenters in Haarlem, Schiphol-Rijk en Frankfurt.
Onze klantomgevingen staan bij Leaseweb en vallen alleen onder Europese wetgeving. Leaseweb heeft het hoofdkantoor in Amsterdam en levert de cloud- en hostingoplossing onder lokale controle, beschermd door Europese regelgeving. AFAS is bovendien een Nederlands familiebedrijf en onafhankelijk van investeerders. We leggen dus alleen verantwoording af aan onze klanten.
Leaseweb is de belangrijkste schakel in onze dienstverlening aan klanten. AFAS koos bewust voor Leaseweb als lokale en sterke partij die past bij onze normen, waarden en ambities. Samen met Leaseweb bouwen we aan een robuuste, duurzame, schaalbare en veilige oplossing voor ons en onze klanten. Tegelijk zien we deze samenwerking als een belangrijke basis, niet als eindpunt.
Ja, maar alleen voor een beperkt aantal functionaliteiten. Voor aanvullende AI-functionaliteiten gebruiken we datacenters van Microsoft en de Azure OpenAI Service binnen de EER. Dit gebruiken we niet voor het hosten van jouw klantomgeving. Die staat altijd bij Leaseweb. Voor het gebruik van deze aanvullende AI-functionaliteiten hebben we contractuele afspraken gemaakt.
Ja. Klanten die AFAS Profit gebruiken, kunnen zelf afwegen of ze aanvullende AI-functionaliteiten willen inzetten. Het gebruik hiervan moet bewust worden geactiveerd voordat ermee gewerkt kan worden. Jonas (onze verzamelnaam voor de AI functionaliteiten) neemt alleen de data mee die klanten zelf in de workflow aanleveren. De regie ligt dus bij jou als klant.
Nee. AFAS gebruikt data van klanten niet voor commerciële doeleinden. Als klanten hun processen en data aan ons toevertrouwen, moeten zij erop kunnen rekenen dat wij daar zorgvuldig, transparant en terughoudend mee omgaan.
Ja. Klanten kunnen hun data zelfstandig en kosteloos exporteren via open standaarden. Digitale soevereiniteit gaat voor AFAS ook over keuzevrijheid. Daarom werken we verder aan exit-, fallback- en continuïteitsscenario’s voor onze dienstverlening.
Digitale soevereiniteit vraagt niet alleen om beleid en intenties, maar ook om bewijsvoering. Daarom werkt AFAS stap voor stap aan meer inzicht in de keten, toetsbare beheersmaatregelen en rapportages voor klanten, auditors en aanbestedende diensten.
Daarbij steunen we op certificeringen en controles voor informatiebeveiliging, procesbeheersing, continuïteit en toetsing. Voorbeelden zijn ISO 27001, NEN 7510, ISAE 3402 type II, ISO 9001 en ISAE 3000. Onze roadmap geeft een indicatie van onze ambities. Omdat geopolitieke en technologische ontwikkelingen snel veranderen, passen we die aan als dat nodig is. Aan deze informatie kun je geen rechten ontlenen.
Benieuwd hoe onze oplossingen bijdragen aan digitale soevereiniteit binnen jouw organisatie? Ontdek wat onze software concreet voor je kan betekenen.