Kyndryl en Microsoft brengen soevereine cloud naar het terrein van de operationele praktijk

La soevereiniteit op digitaal vlak is niet langer een concept dat alleen door regeringen wordt besproken. Banken, verzekeringsmaatschappijen, overheidsinstanties, kritische operators, ziekenhuizen en grote bedrijven kijken anders naar de cloud: niet alleen waar de gegevens zich bevinden, maar ook wie toegang heeft, onder welke jurisdictie, met welke controles, hoe de operatie wordt geaudit en wat er gebeurt als de connectiviteit met de publieke cloud wegvalt.

Kyndryl en Microsoft hebben hun samenwerking uitgebreid om aan deze vraag tegemoet te komen. Het voorstel combineert Kyndryl Sovereignty Solutioning met de mogelijkheden van Microsoft Sovereign Cloud. Doel is gereguleerde organisaties te ondersteunen bij het ontwerpen, bouwen en beheren van cloud-architecturen die voldoen aan eisen rondom gegevensresidentie, operationele controle, compliance en modernisering, inclusief toepassingen met AI.

De overeenkomst weerspiegelt een fundamentele verandering. Jarenlang werd onder ‘soevereiniteit in de cloud’ vooral verstaan: waar de datacenters staan. Nu is de discussie meer technisch van aard: beheer van privileged toegang, lokale operaties, isolatie, auditmogelijkheden, encryptie, dataportabiliteit, herstel, continuïteit en het vermogen om gevoelige workloads uit te voeren in hybride of offline omgevingen.

Soevereiniteit stopt niet meer bij gegevensresidentie

De samenwerking bestrijkt een breed scala aan deploymentmodellen. Kyndryl biedt diensten voor evaluatie, architectuur, implementatie en operaties; Microsoft brengt haar aanpak van soevereine cloud, inclusief publieke cloud-capaciteiten, Microsoft 365, Azure en private omgevingen gebaseerd op Azure Local. Het is de bedoeling dat organisaties cloud en on-premise infrastructuren kunnen combineren zonder het controlekader dat door regelgevers en risicomodellen wordt geëist te verliezen.

Microsoft definieert Sovereign Cloud als een uniforme aanbieding voor publieke clouds, private omgevingen en clouds beheerd door partners. De focus ligt op controle over waar data verblijven, hoe toegang wordt beheerd en hoe cloud-operaties worden uitgevoerd, zonder dat alle workloads naar een aparte cloud moeten worden verplaatst.

Die definitie is belangrijk. Een bedrijf kan data in Europa hosts en toch niet voldoen aan zijn soevereiniteitsdoelstellingen als beheer, support, encryptiesleutels, operaties of herstel afhankelijk blijven van processen buiten eigen controle. Volwaardige soevereiniteit wordt niet alleen bepaald door de cloudregio, maar vooral door het vermogen om aan te tonen wie elke laag bestuurt.

Laag van soevereiniteitWat moet worden geregeld
DataResidentie, classificatie, encryptie, retentie en lifecycle
OperatieWie beheert, vanaf waar en met welke privileges
ToegangIdentiteitsbeheer, segregatie en controle van operators
InfrastructuurPublieke cloud, Azure Local, on-premise of regionale providers
ComplianceBewijzen voor GDPR, DORA, NIS2 en sectorale normen
AILocatie van data, governance van modellen en traceerbaarheid van gebruik
ContinuïteitVeerkracht, herstel en werking onder beperkende omstandigheden

Kyndryl speelt een rol in het vertalen van deze eisen naar toepasbare architecturen. Met haar Sovereignty Readiness Assessment brengt zij de huidige positie van een organisatie in kaart op het gebied van data, operatie en technologie, identificeert hiaten en afhankelijkheden, en bouwt een roadmap voor gefaseerde evolutie.

Azure Local wint terrein in gereguleerde omgevingen

De meest belangrijke technische component is Azure Local. Microsoft heeft deze platformfunctie uitgebreid zodat Azure-capaciteiten op infrastructuur onder controle van de klant kunnen draaien, inclusief scenario’s met strikte residentie-eisen, offline operaties, gereguleerde workloads en AI dichtbij de data.

Dit kan interessant zijn voor overheden, defensie, financiële diensten, gezondheidszorg en industrie, waar een regio in de cloud niet altijd afdoende is. Sommige workloads vereisen eigen datacenters, nationale datacentern, geïsoleerde omgevingen of locaties met hogere eisen aan latentie, compliance en continuïteit dan de cloud biedt.

Microsoft heeft haar soevereiniteitsscenario’s verder versterkt met oplossingen zoals Sovereign Public Cloud, Sovereign Private Cloud en Europese beheercapaciteiten. In 2025 kondigde het bedrijf ook Data Guardian aan, gericht op transparantie over operationele soevereiniteit in Europa, met remote toegang voor Microsoft engineers, supervisie door EU-personeel en onweerlegbare audits.

Met Kyndryl verschuift de focus van louter technologie naar operationele uitvoering. Het gaat niet alleen om een soevereine cloudoptie, maar om het ontwerp van workload-toewijzingen, controlemechanismen en het bewaken van compliance en operationele verantwoordelijkheid.

Soevereine AI: een nieuwe druk op naleving en controle

AI brengt extra urgentie in dit verhaal. Veel AI-projecten gebruiken gevoelige data zoals klantgegevens, medische documenten, financiële informatie of operationele kennis. De vraag is niet alleen of deze data in de cloud kunnen worden gebruikt, maar ook: waar wordt deze data verwerkt, welke modellen worden ingezet, welke traces blijven, welke informatie wordt bewaard en of het resultaat audittrajecten doorstaat.

Kyndryl en Microsoft maken expliciet melding van AI-toepassingen in hun samenwerking, met focus op datagovernance en locatiewaarborging van modellen. Dit wijst op een ontwikkeling die zich sneller zal doorzetten: gereguleerde AI-architecturen zullen niet enkel cloud of lokaal zijn, maar vaak een mix worden, met inferentie dicht bij de data, private modellen, beheerde cloudservices, strenge toegangscontroles en bewijzen van compliance.

Azure Local biedt hierbij de mogelijkheid om AI workloads en gegevens dicht bij de datageneratie te plaatsen, terwijl de Azure-beheerfuncties beschikbaar blijven. Elke situatie vereist echter een afweging van kosten, prestatie, afhankelijkheden, hardware-ondersteuning en isolatieniveau.

Een onvermijdelijke spanning rijst: voor sommige Europese klanten is een soevereine oplossing van een Amerikaanse provider voldoende, als deze residentie, toegang, encryptie en operationele controle garandeert. Anderen zullen volledige soevereiniteit eisen via lokale providers, Europese jurisdictie, strengere contractuele controle of private deployments zonder afhankelijkheid van grote cloudspelers. De samenwerking tussen Kyndryl en Microsoft biedt geen universele oplossing, maar wel een praktische route voor wie balans zoekt tussen controle en modernisering.

DORA, NIS2 en van theorie naar praktijk in architectuur

De aankondiging verwijst naar kaders als GDPR, DORA en NIS2 omdat die organisaties dwingen hun technologische afhankelijkheden, veerkracht, leveranciersbeheer, continuïteit en traceerbaarheid aan te passen. In gereguleerde sectoren is het niet meer voldoende te stellen dat gegevens in een bepaalde regio verblijven; men moet kunnen aantonen hoe controle wordt uitgeoefend, hoe hersteld wordt, wie ingrijpt en welke bewijzen daarvoor bestaan.

Hier speelt Kyndryl een natuurlijke rol, dankzij haar geschiedenis in managed services en critical systems. Het bedrijf biedt niet alleen cloud, maar ook ontwerp, migratie, beheer en governance van complexe omgevingen. Microsoft biedt een uitgebreide technologische basis via Azure, Microsoft 365, beveiligings- en identiteitsdiensten en meer soevereine mogelijkheden.

De combinatie is geschikt voor organisaties die niet volledig willen migreren, maar wel hun controle willen verhogen. Ze kunnen een hybride architectuur opzetten: bepaalde workloads in Azure met soevereine controles, andere in Azure Local, verdere op regionale infrastructuur en kritische legacy-systemen die blijven draaien.

Deze hybride aanpak lijkt realistischer dan uitersten in strikt zwart-wit denken. Digitale soevereiniteit wordt niet bereikt door plotseling alles uit de cloud te halen, maar door workloads te classificeren, risicolagen te scheiden, controls te definiëren en besluiten te documenteren.

De uitdaging: soevereiniteit niet alleen marketing

De term ‘sovereine cloud’ wordt veel gebruikt. Bijna alle grote cloudproviders preken inmiddels over gegevensresidentie, operationele controle en compliance. Het gevaar is dat de term verlies aan precisie krijgt en alles omvat van een standaardregio tot een volledig geïsoleerde, lokaal beheerde omgeving.

Klanten moeten dus concrete vragen stellen: Wie heeft toegang tot mijn data? Waar liggen mijn sleutels? Hoe wordt support geregeld bij noodgevallen? Kan ik offline werken? Hoe wordt privileged access gecontroleerd? Hoe wordt voldaan aan buiten-Europese wetgeving? Welke onderdelen worden beheerd door Microsoft, Kyndryl, de klant of een lokale operator? Hoe wordt herstel getest?

Het voordeel van de gezamenlijke aanpak van Kyndryl en Microsoft is dat ze deze vragen willen vertalen naar ontwerp en operatie, niet slechts naar marketingclaims. De uiteindelijke kwaliteit van de oplossing hangt af van de concrete architectuur en suitable controls per klant. Er bestaat niet één universele ‘sovereiniteitsnorm’, wel passende niveaus afhankelijk van sectoren, risico’s en workloadtypes.

Het recente beleid laat zien dat digitale soevereiniteit een meer volwassen fase bereikt. Het gaat niet meer alleen om regiokeuze; het gaat om het opzetten van omgevingen waarin data, operaties, AI, compliance en veerkracht worden onderbouwd met bewijsvoering. Voor overheden en gereglementeerde sectoren wordt dit een van de belangrijkste technologische beslissingen voor de komende jaren.

Veelgestelde vragen

Wat kondigen Kyndryl en Microsoft aan?
Ze breiden hun samenwerking uit door Kyndryl Sovereignty Solutioning te koppelen aan Microsoft Sovereign Cloud. Daarmee helpen ze gereguleerde klanten bij het ontwerpen, bouwen en beheren van cloud-architecturen die voldoen aan sovereignty-eisen.

Wat is Microsoft Sovereign Cloud?
Het is Microsoft’s aanbod voor cloud-residentie, dat controle biedt over dataresidentie, toegang en operationele governance in publieke, private en door partners beheerde clouds.

Wat doet Azure Local?
Azure Local maakt Azure-mogelijkheden toegankelijk binnen infrastructuur die door de klant wordt beheerd, inclusief scenario’s met strikte residentie-eisen, offline werken, gereguleerde workloads en AI dicht bij de data.

Waarom is dit relevant voor AI?
Omdat AI vaak gevoelige data gebruikt. Soevereiniteit helpt bepalen waar data wordt verwerkt, welke modellen worden ingezet, hoe toegang wordt beheerd en hoe gebruik wordt gedocumenteerd en gecontroleerd.

Geeft een soevereine cloud van een grote provider altijd volledige controle?
Niet altijd. Het kan veel praktische eisen oplossen, maar sommige organisaties verlangen meer lokaal beheer, regionale providers, geïsoleerde operaties of strengere garanties afhankelijk van hun risico’s en regelgeving.

vía: kyndryl

Scroll naar boven