Hoeveel zeggenschap heb je over de informatie in je organisatie?

Waar wordt mijn data opgeslagen, en wie kan eraan?

De eerste vraag die klanten stellen is bijna altijd dezelfde. Waar wordt onze data opgeslagen? Voor Nick Vercammen, CEO van Zeticon, zit er meer achter die vraag dan veel mensen vermoeden.

"Bij Zeticon bedoelen we met datasoevereiniteit het eigenaarschap en de controle over jouw data. Dat gaat over meer dan waar de data geografisch wordt opgeslagen: is dat in Europa, in Azië, in Amerika? Aan welke regels en compliancy is dat eigenlijk onderhevig? Want het is niet omdat iets in Europa staat dat je daarom ook beschermd bent tegen bepaalde wetten en regels."

Hij doelt op de Cloud Act, een Amerikaanse wet uit 2018 die de Amerikaanse overheid toelaat data op te vragen bij Amerikaanse cloud providers, ook als die data fysiek in Europa staat. Een datacenter in Frankfurt onder een Amerikaanse hyperscaler valt nog altijd onder die wet. Tien jaar geleden lag die nuance bij weinig klanten op tafel. Vandaag zijn bedrijven zich hier terecht van bewust en komt dit steeds vaker ter sprake in eerste gesprekken.

In MediaHaven en InformationHaven hebben klanten drie hostingmodellen om uit te kiezen. Je kan kiezen voor de shared cloud, waar de serverinfrastructuur efficiënt wordt gedeeld over meerdere klanten en data en configuratie logisch gescheiden blijven. Je kan gaan voor een private cloud, een omgeving die Zeticon voor jou alleen inricht. Beide omgevingen worden gehost op een Europese cloud van een Europese provider. En je kan het platform on-premise installeren, op jullie eigen serverinfrastructuur. Welke keuze het wordt, hangt vooral af van het type informatie, de eisen rond beveiliging en compliance, en het gewenste beheermodel. Nick legt uit hoe dat gesprek met klanten verloopt:

"Heel mature organisaties weten op voorhand dat ze een on-premise installatie zoeken. Andere begeleiden we graag in het proces. Zo raden we altijd een Europese cloud aan voor data die niet hypergevoelig is of geen sensitieve informatie bevat die niet buiten de organisatie mag opgeslagen worden.”

In de publieke sector valt die keuze vaker richting on-premise of een streng begrensde cloudopzet. Lokale besturen werken met persoonsgegevens van burgers en moeten daar omzichtig mee omgaan. In sectoren waar de economische waarde van data zelf het kantelpunt is, gaat het dezelfde richting uit. Nick geeft het voorbeeld van de luchtvaartsector, waar twee of drie wereldwijde spelers actief beschermen wat ze hebben.

Wie toegang heeft tot de data, is de volgende vraag. Bij MediaHaven en InformationHaven werkt dat met rechten- en rollenbeheer. Elke gebruiker krijgt een rol, en die rol bepaalt welke clusters van data zichtbaar zijn en welke acties mogelijk zijn. Zo kan je instellen dat HR personeelsdossiers ziet, finance ziet dan weer de financiële stukken, geen van beide ziet de informatie van de ander.

In het geval van een controle, een veiligheidslek of een geschil, is dit precies wat je nodig hebt om aan een auditor te tonen wie wanneer wat heeft gedaan.

Wie bepaalt het tempo?

Een platform kiezen is één moment, nadien ga je er jaren mee aan de slag. Daarom is het belangrijk om toekomstgericht te denken en vooraf te bespreken wie straks beslist wanneer er een upgrade komt en welke kant het platform opgaat. Bij Zeticon kunnen klanten daar mee in beslissen, vertelt DevOps Engineer Jonas Bras.

“Voor upgrades volgen we een standaard traject. Zo krijgen on-premise klanten één upgrade per jaar omdat de hardware eigendom is van de klant. In overleg kan dit ook vaker. Voor de andere installatiemogelijkheden bieden we twee of vier keer per jaar een upgrade aan”.

Heel soms betekent een upgrade een onderbreking die sommige klanten zich moeilijk kunnen veroorloven. Dan kijkt het operations team samen met hen hoe de impact zo klein mogelijk blijft. Andere klanten willen net sneller dan het standaardritme upgraden, omdat er in de laatste versie een specifieke nieuwe feature zit waarop ze zitten te wachten. Die features komen vaak uit de MediaHaven wishlist die samen met Zeticon klanten wordt samengesteld: een verzameling van mogelijke nieuwe functionaliteiten die hen nog beter in hun werking zou ondersteunen. AI-metadatering en OCR voor tekstextractie zijn twee voorbeelden die op die manier hun weg vonden naar een versie.

Dezelfde logica geldt voor hoe het platform wordt ingezet. Veel klanten gebruiken MediaHaven als een klassieke beeldbank. Weer andere klanten werken volledig via de REST API en ontwikkelden hun eigen gebruikersinterface. Dat geeft hun volledige controle over hoe ze het informatieplatform gebruiken.

De architectuur achter die flexibiliteit is geen toeval. Volgens System architect Alexis Rombaut zit de flexibiliteit in de keuze om zo weinig mogelijk betalende software in de achtergrond te gebruiken. MediaHaven is opgebouwd uit tientallen open source componenten, telkens geselecteerd uit de open source projecten met een uitgebreide community en grote bijdragen vanuit bekende bedrijven.

"Vele van die open source tools gebruiken wij al jaren in ons product. Ons platform is nu een 15tal jaar oud en die technologie die daarin geïntroduceerd is nog steeds relevant en performant, ook omdat die up-to-date wordt gehouden door de open source community."

Deze keuze om te werken met componenten geeft ons de flexibiliteit om snel te schakelen. Soms vervangen we een component door een betere, of wordt die aangevuld met een andere die complementaire functionaliteit biedt. Een programma dat documenten omzet naar pdf bleek niet overweg te kunnen met grote documenten, zoals een PowerPoint van honderd slides of een document van duizend pagina's. Die hebben we vervangen door een andere die dat wel aankan.

Toen H.265 als videocodec doorbrak naast H.264, hebben we de open source tools aangepast om die te kunnen verwerken. Hetzelfde gebeurde voor nieuwe afbeeldingsformaten zoals WebP en HEIC, die ontworpen zijn om afbeeldingen van hoge kwaliteit op te slaan in veel kleinere bestanden dan traditionele formaten zoals JPEG en PNG.

API-first: openheid die over versies heen blijft werken

Veel platformen claimen open te zijn. In de praktijk betekent dat soms: je krijgt toegang tot een paar endpoints die de leverancier strategisch heeft gekozen om vrij te geven. Bij MediaHaven werkt het anders, legt Alexis uit:

" API-first betekent dat alle mogelijkheden die je hebt in de gebruikersinterface, zoals het portaal, de applicatie, de instellingen en beheer, worden aangeboden door de API die daar achter zit. En die is toegankelijk voor alle klanten met API toegang, ongeacht hun abonnement."

Wat in de gebruikersinterface kan, kan de klant ook ontwikkelen via de API. Niets is afgeschermd. Daarnaast wordt het API-contract stabiel gehouden over versies heen, zodat code die klanten zelf bouwen jarenlang blijft werken.

Het mooiste voorbeeld is Meemoo. Zij bouwden een eigen ontsluitingsportaal op MediaHaven. Dit is een archief voor onderwijs waarmee leerkrachten in het klaslokaal materiaal van de VRT kunnen gebruiken. Die website spreekt met de MediaHaven API en is volledig in beheer van Meemoo zelf. Zeticon ontwikkelde voor hen ook koppelingen op maat naar hun opslagsystemen, onder andere voor tapeopslag. Tapes zijn een oudere technologie, maar voor het audiovisueel archief van de VRT, met inmiddels zo'n 30.000 terabyte aan data, blijven ze de kostenefficiënte keuze. Bijna geen ander DAM-systeem ondersteunt dat nog. Voor Meemoo bouwde Zeticon die ondersteuning wel, omdat tape voor hun archief de juiste keuze blijft.

Hogeschool Utrecht is een ander voorbeeld. Zij gebruiken MediaHaven als opslagsysteem en zochten naar een integratie met JW Player, een ontsluitingsplatform dat video's beschikbaar maakt voor grote aantallen gelijktijdige kijkers, in hun geval tienduizenden studenten. Tijdens het invoerproces wordt een kopie naar JW Player gestuurd, en wanneer de video in MediaHaven wordt verwijderd, verdwijnt ze ook daar.

"Dat zijn niche integraties maar voor die specifieke klant zijn die wel een enorme meerwaarde."

Het tegenovergestelde scenario kennen we ook. Alexis vertelt over een prospect met een documentbeheersysteem dat alleen documenten kan verwerken. Nu er ook verslagen met videobijlagen moeten opgeslagen worden, zit die organisatie vast. Hun systeem verwerkt alleen documenten en laat niet toe om video-ondersteuning toe te voegen, dus komen ze met ons praten. Voor Jan De Nul hebben we dan weer zo'n custom converter toegevoegd, toen ze drone-video's wilden inlezen in een specifiek formaat. Die reactiemogelijkheid zit ingebouwd in de architectuur, en hangt niet af van onderhandelingen achteraf.

Aantoonbaar in regel zijn

Het verschil tussen "we doen het goed" en "we kunnen aantonen dat we het goed doen" wordt groter sinds de invoer van NIS2, een Europese richtlijn uit 2023 die organisaties in kritieke sectoren verplicht hun informatieveiligheid aantoonbaar op orde te hebben. Security Officer Bart Quintens werkt elke dag met dat onderscheid.

"De laatste jaren werden heel wat nieuwe regels ingevoerd. GDPR, al een tijdje van kracht, vereist dat je persoonsgegevens op een correcte manier moet bewaren. Ook het recht om vergeten te worden moet gerespecteerd worden. De meer recente NIS2 gaat veel verder. De volledige informatieveiligheid wordt bekeken, inclusief hoe een bedrijf omgaat met risico’s."

Zeticon is ISO 27001-gecertificeerd en wordt daar elk jaar op gecontroleerd. Auditoren komen kijken naar processen, risicoanalyses en mitigaties. Ze kijken zelfs naar hoe het gebouw is beveiligd, of bezoekers worden begeleid, of toegangscontrole sluitend is. Bart vat het zo samen:

“NIS2 vereist geen ISO 27001 certificaat. Het is wel zo dat alles wat in NIS2 beschreven staat, eigenlijk ook vervat zit in die ISO-norm. Waar Zeticon dus volledig aan voldoet.”

Toegangscontrole en rechtenbeheer per groep en per rol zijn de bouwstenen in MediaHaven om als klant zelf in regel te zijn. Daarbovenop houdt het platform bij wat er met je informatie gebeurt. Logging registreert welke gebruiker een bestand heeft bekeken, aangepast en welke waarden zijn veranderd. Een audittrail laat zien dat informatie niet is gewijzigd of dat een verdacht IP-adres het systeem heeft geraadpleegd. En bewaartermijnen worden geautomatiseerd via classificaties: hang een bewaartermijn van tien jaar aan een classificatie en het systeem verwijdert of archiveert de bestanden zelf na afloop.

Een Nederlandse gemeente werd klant precies omwille van die functionaliteit. Zij hadden dossiers, onder andere voor zonnepaneelsubsidies, die volgens wet maximum tien jaar bewaard mogen worden, maar ook minstens tien jaar bewaard moeten worden. In het platform betekent dit per groep documenten en per wettelijk kader instelbaar.

Recenter is de EU AI Act erbij gekomen, die regelt hoe je AI mag inzetten op persoonsgegevens. Bart legt uit hoe dat doorwerkt in het platform:

“AI is een optie in MediaHaven, we gaan het niet zomaar inzetten. Aangezien het vaak om persoonlijke informatie gaat, werken wij enkel samen met aanbieders die bevestigen dat de data die we doorsturen niet wordt gebruikt om hun model te trainen.”

We zijn hierin zeer transparant: de gebruiker krijgt expliciet een melding wanneer een AI-functie wordt ingezet.

Je data is van jou, en dat staat in het contract

Een platform dat je niet kan verlaten, is een lock-in. Dat willen we bij Zeticon expliciet vermijden, zegt Nick:

“De klant blijft te allen tijde eigenaar van de data, dit is zo opgenomen in het contract. Daarin staat een standaard exit-scenario beschreven met twee mogelijkheden. Ofwel haalt de klant zelf op basis van de beschikbare API de data uit het systeem en stockeert die elders. Of wij kunnen dit voor hen voorbereiden en begeleiden.”

Klanten vragen steeds vaker naar de mogelijke exit-scenario’s tijdens de prospectiefase en de onderhandelingen. Een exit-plan dat op tafel ligt voor je tekent, geeft rust.

Een platform werkt als het organisatiebreed gedragen wordt. Daarom investeren we in transparantie over hoe data wordt beheerd, in heldere afspraken over eigenaarschap, en in een implementatietraject dat begint met een metadata workshop. Dat metadatamodel bepaalt mee hoe klanten hun informatie structureren, welke metadata extern zichtbaar is en welke intern blijft. De toepassing kan divers zijn. Eén klant koppelt zijn metadatamodel aan een externe databank met persoonsgegevens. Een andere klant bouwt een thesaurus die door interne medewerkers zelf wordt onderhouden.

Wat klanten écht verwachten

Vraag je aan een klant wat soevereiniteit voor hen betekent, dan krijg je daar zelden een concreet antwoord op terug. Wat klanten wel van ons verwachten, vat Delphine Lepoutre, verantwoordelijk voor Customer Success, zo samen:

“De klant komt met uitdagingen in informatiebeheer en obstakels in de operationele werking en verwachten van ons dat we daar mee invulling aan geven. Ze benoemen niet expliciet dat ze keuzevrijheid willen, maar geven ons hun ideale werksituatie mee zodat we deze kunnen vertalen naar werkprocessen en ondersteunende software.”

Klanten praten over hun eigen werkelijkheid: privacy, transparantie, centraal beheer, het bewaken van rechten, het beheersen van opslagkosten, het samen werken van verschillende applicaties. Achter elk van die thema's zit een vorm van controle die ze willen behouden. Wij vertalen dat naar wat het platform kan doen, en naar hoe we hen daarin begeleiden.

“Communicatie is heel belangrijk en dat beperkt zich niet tot de projectleider die het project implementeert en beheert op dat moment, het moet doorheen de organisatie zitten. Binnen Zeticon hebben we een heel klantgerichte aanpak. Als hier een naam van een organisatie wordt genoemd, weet iedere rol hoe die organisatie werkt, welke medewerkers er deel van uitmaken en hoe hun software volgens deze organisatiestructuur en werkprocessen is opgebouwd.”

Bij een Nederlands lokaal bestuur kreeg Delphine ooit de expliciete vraag van een ICT-manager: "Neem ons mee als partner, en geef ons niet puur de technische oplossing op onze vraag." Die zin is haar bijgebleven. Een platform installeren is één ding. Iemand begrijpen, weten welke noden vandaag spelen en welke binnen drie jaar zullen spelen, daar zit een ander soort werk.

Total cost of ownership, voorbij de instapkost

Wat een platform op de lange termijn kost, is veel meer dan de instapkost. Delphine waarschuwt klanten daar expliciet voor.

"Waar je als organisatie bewust mee moet bezig zijn is de total cost of ownership. Dat heeft niet enkel te maken met de instapkost, de implementatie en de licentiekost maar ook de service. Past de software zich aan de gebruiker aan of wordt verwacht dat de gebruiker zich aanpast aan de software?”

Daarbij komen service, support, ICT-impact, en de vraag of het platform mee schaalt met de organisatie. Zeticon werkt met een modulair abonnementssysteem: klanten zetten modules aan en uit naargelang hun noden, en kunnen op verschillende momenten op- en afschalen. Het platform groeit mee: als de dienst communicatie start met de beeldbank, dan kan de organisatie over enkele jaren uitbreiden naar een DAM-opzet die door meerdere afdelingen wordt gebruikt.

Klaar om te schakelen als de wereld dat vraagt

Wat gebeurt er als de geopolitieke context verandert? Jonas geeft het zelf aan: data verhuizen naar een ander land is functioneel voorzien in het platform, ook al is dat tot nu toe nooit nodig geweest.

“Stel dat er een geopolitiek incident dreigt, dan kunnen we makkelijk schakelen om data die in Frankrijk is opgeslagen te verhuizen naar Nederland of ergens anders."

Klanten houden zeggenschap over de beslissing om data te verhuizen: dat bepalen ze mee, in gesprek met ons, op basis van waar de wetten en normen het best aansluiten bij hun noden. Als het ooit nodig is, kan de data ook veilig verhuisd worden naar een locatie binnen Europa, en desgewenst ook erbuiten.

Een keuze die je elke dag opnieuw kan maken

Wie vandaag een platform kiest voor informatiebeheer, kiest in feite vijf dingen tegelijk. Je kiest waar je data opgeslagen wordt, wie ze beheert, hoe open de technologie is, hoe goed je compliance kan aantonen en hoe lang je comfortabel blijft bij dezelfde leverancier.

Bij Zeticon zie je dit in hoe het bedrijf werkt, in hoe contracten zijn opgesteld, in hoe het platform technisch is opgebouwd en in hoe klanten worden begeleid. Voor wie soevereiniteit hoog in het vaandel draagt, betekent dat in de praktijk: keuze bij de start, controle tijdens het gebruik, en een uitweg als de samenwerking moet stoppen. Die drie samen maken het verschil in ons aanbod en onze dienstverlening.

Wil je deze vijf vragen meenemen in je eigen selectietraject? We hebben ze samengebracht in een korte checklist die je vrij kan downloaden.