Aire heeft op 07/08/2026 de eerste sessie gehouden van Despeja tu Cloud, een reeks bijeenkomsten bedoeld om de technische, juridische en economische beslissingen rondom digitale infrastructuur te verduidelijken. Zigor Gaubeca, CIO van Aire, en David Aibar Carretero, Head of Sales, richtten het webinar op een vraag die veel bedrijven nog niet kunnen beantwoorden: waar bevinden zich hun gegevens, wie kan erover beschikken en hoe lang zou het duren om deze over te dragen als de omstandigheden veranderen? De volledige opname is te vinden op het Aire-profiel op LinkedIn.
De kernpunten van cloud-sovereigniteit in 20 seconden
- Het hosten van gegevens in een Europees datacenter betekent niet automatisch dat deze uitsluitend onder Europese wetgeving vallen.
- De nationaliteit, de bedrijfsstructuur en de effectieve controle van de leverancier bepalen ook de juridische blootstelling.
- De Amerikaanse CLOUD Act kan eisen dat bepaalde leveranciers gegevens overhandigen, ongeacht waar ze opgeslagen zijn.
- Dit leidt niet tot ongerichte toegang tot ieder bedrijf: het vereist een wettelijke procedure voor specifieke informatie en voorziet in bezwaarprocedures.
- De Europese toekomstige Cloud and AI Development Act, bekend als CADA, werd in juni 2026 voorgesteld en moet nog worden onderhandeld.
- De Data Act verplicht al tot het vergemakkelijken van gegevensportabiliteit en een betere voorbereiding op het verlaten van een cloudprovider.
- Sovereigniteit betekent niet het opgeven van grote cloudproviders, maar voorkomen dat de bedrijfscontinuïteit volledig afhankelijk wordt van één partij.
- De eerste praktische maatregel is het classificeren van gegevens en het testen van een exit-plan vóór dat het nodig is.
De sessie begon met het bespreken van het complexe regelgevingskader rondom cloud. RGPD, Data Act, NIS2, AI-regelgeving en de nog te plannen CADA vormen geen losse onderdelen, maar eisen gezamenlijk dat bedrijven en overheden hun afhankelijkheden, de jurisdictie van diensten en de voorwaarden voor gegevensherstel goed kennen.
Tijdens het webinar benadrukten Gaubeca en Aibar dat digitale soevereiniteit geen louter theoretisch debat is of een keuze tussen “Europa” en “de publieke cloud”. Het gaat om risicobeheer: wat gebeurt er als een provider de prijzen wijzigt, licenties aanpast, een bevel krijgt van een buitenlandse autoriteit of een essentiële dienst stopt?
De locatie van de server is slechts een onderdeel van het antwoord
Jarenlang was de vraag bij cloudbeslissingen eenvoudig: op welke regio staan de gegevens? Madrid, Parijs, Frankfurt of Dublin werd gezien als voldoende om gegevens binnen Europa te houden.
Fysieke locatie is belangrijk, maar lost niet de juridische vraag op. Ook moet je weten wie de contractant controleert, welke entiteiten deelnemen, wie het platform beheert en welke buitenlandse wetten kunnen eisen dat wordt opgetreden.
De CLOUD Act werd in maart 2018 in de VS aangenomen. Volgens deze regelgeving moeten aanbieders onder jurisdictie gegevens overleggen via de juiste wettelijke procedures, ook als deze in het buitenland staan. Daardoor is een dienst in een Europees gebied niet automatisch buiten bereik.
Dit vereist een belangrijke verduidelijking: de CLOUD Act staat niet toe dat Amerikaanse rechters zonder meer alle gegevens van een bedrijf opvragen. Alle verzoeken moeten gericht zijn op concrete informatie en gebaseerd op geldige bevelen of wettelijke instrumenten. Providers kunnen in sommige gevallen bezwaar aantekenen wanneer verzoeken in strijd zijn met buitenlandse rechten.
De echte risico’s liggen niet in oncontroleerbare grensoverschrijdende toegang, maar in overlappende juridische kaders. Een Europese onderneming kan onder RGPD vallen, terwijl een Amerikaans provider onder de CLOUD Act ressorteren. Deze spanning werd al kort na invoering door Europese datborgroepen gesignaleerd.
Daarom is ‘gegevens in Europa’ alleen onvoldoende. Om de echte blootstelling te begrijpen, moet je vragen stellen als: wie beheert de encryptiesleutels? Vanuit welke locatie wordt de ondersteuning geleverd? Welke subcontractors zijn betrokken? Kan de hoofdmaatschappij technisch toegang krijgen? Wat deelt de provider over overheidsverzoeken? Is er een echt onafhankelijke Europese entiteit?
Encryptie vermindert risico’s, maar niet alle problemen worden ermee opgelost. Als de provider de sleutels beheert of toegang tot de plaintext nodig heeft, kan een bevel alsnog data compromitteren. Het meest veilig is het beheer van sleutels door de klant en het ontwerp dat het operatoren niet mogelijk maakt deze te reconstrueren, al is dat niet voor alle toepassingen haalbaar.
Europa wil toewijzen dat soevereiniteit meetbaar is
Op 03/06/2026 presenteerde de Europese Commissie een plan om technologische afhankelijkheid van buitenaf te verminderen. Een onderdeel hiervan is de Cloud and AI Development Act, CADA, die de Europese capaciteit voor cloud, kunstmatige intelligentie en datacenters wil versterken.
CADA is nog geen wet. Het moet worden besproken en goedgekeurd door het Europees Parlement en de Raad. Voor bedrijven betekent dat: momenteel zijn er geen directe verplichtingen, maar de richtlijnen geven wel een beeld van waar de publieke inkoop en kritieke infrastructuur naartoe bewegen.
De voorgestelde regelgeving bevat criteria voor soevereiniteit bij diensten in gevoelige sectoren en bij aanbestedingen. Het feit waar de data zich bevinden blijft relevant, doch er wordt ook gekeken naar rechtsregels, bedrijfsstructuur, gebruikte technologie en mogelijkheid dat buitenlandse autoriteiten de dienstverlening verstoren of toegang krijgen.
De Commissie uit zorgen over zogenaamde kill switches: het risico dat buitenlandse overheden of bedrijven een technologie stopzetten waarvan ziekenhuizen, energievoorzieningen, overheden of financiële diensten afhankelijk zijn. Het debat beperkt zich niet meer tot privacy, maar omvat continuïteit, industriële capaciteit en strategische autonomie tijdens crises.
Gaubeca verduidelijkte dat dit kader samenhangt met RGPD, AI-regelgeving en NIS2. Elke regelgeving heeft haar eigen focus: het risico dat wordt beheerd, maar samen verhogen ze de verantwoordelijkheid van bedrijven ten aanzien van hun leveranciers, informatiestromen en continuïteitsprocessen.
NIS2 breidt de sectoren uit die onder cybersecurityregulering vallen en betrekt cloudproviders, datacenters en managed service providers in een keten voor risicobeoordeling en incidentenbeheer. Spanje werkte nog aan de nationale implementatie toen het webinar plaatsvond.
De AI-regelgeving voegt een extra dimensie toe: bij het gebruiken van generatieve AI-tools moeten bedrijven niet alleen weten waar de infrastructuur staat, maar ook welke gegevens worden ingevoerd, of er een wettelijke basis is, hoe datalekken voorkomen worden en welke secundaire providers betrokken zijn.
Een contract dat garandeert dat het model niet wordt getraind met bedrijfsgegevens is nuttig, maar kan niet alle preventieve data leakage controls vervangen. Bedrijfsgebruik van AI verhoogt de hoeveelheid gevoelige informatie die uit systemen kan lekken, soms al door bijvoorbeeld tekst kopiëren naar chatvensters.
Het exit-plan wordt verplicht
Een praktische boodschap was dat het ontwerpen van een exit-strategie vóór gebruik noodzakelijk is. Aibar vergelijkt het met het huren van een kantoor: niet alleen de huur en inrichting, maar ook de kosten voor het verlaten en in goede staat teruggeven.
In de cloud gebeurt dat vaak niet vanzelf. Bedrijven begroten de initiële migratie en het maandelijkse gebruik, maar reserveren zelden geld voor dataverplaatsing, app-transformaties en heropbouw bij een andere provider.
Het probleem ontstaat als stoppen niet vrijwillig is. Prijsverhogingen, nieuwe licenties, overnames, regelgeving of geopolitieke conflicten kunnen een betaalbare architectuur doen omslaan in een afhankelijkheid die moeilijk te beheersen is.
De Data Act probeert deze barrières te verminderen. De belangrijkste bepalingen worden vanaf 12/09/2025 toegepast en verplichten providers te zorgen voor duidelijke voorwaarden bij overstap of terugkeer.
De regelgeving stelt standaard een transitieperiode van maximaal 30 dagen na contractafsluiting, tenzij de provider technische complicaties kan aangeven; dan kan een uitwijk van zeven maanden worden voorgesteld. Daarnaast moeten ze meewerken, continuïteit garanderen en aangeven welke data en activa kunnen worden geëxporteerd.
Ook moeten providers transparant zijn over de toepasselijke jurisdictie en maatregelen tegen ongewenste internationale overheidsinterventies. Dit sluit aan bij Aire’s vraag: onder welke wet vallen de gegevens echt?
De kosten voor data-uitwisseling en transfer moeten beperkt blijven gedurende de transitieperiode. Vanaf 12/01/2027 kunnen providers geen kosten meer rekenen voor de verplichte overstap, al blijven kosten van derden en contractuele boetes bestaan.
Het verwijderen van een kostprijs op zich maakt niet dat een applicatie volledig draagbaar wordt. Systemen gebaseerd op eigen diensten, databases en tools vereisen vaak maanden ontwikkeling voor volledige overname.
De grootste beperkende factor ligt niet altijd in contracten, maar in de architectuur.
Souverainiteit betekent niet het opgeven van grote cloudproviders
Het webinar vermijdde het afzetten tegen AWS, Microsoft Azure of Google Cloud als vijanden. Hun schaal, geavanceerde diensten en innovaties zijn vaak onvervangbaar en blijven relevant voor veel workloads.
Operatieve soevereiniteit betekent echter het behouden van controle over wat waar draait en voorkomen dat één enkele provider alle essentiële functies domineert. Een bedrijf kan bijvoorbeeld algemene diensten uit de grote clouds gebruiken, maar kritieke gegevens en continuïteit waarborgen via een Europese cloud, private infrastructuur of tweede provider.
Aibar herinnert aan een bekend principe uit softwareontwikkeling: laag koppelen, hoge cohesie. Organisaties bouwen te vaak nog volledig afhankelijk van één platform, terwijl best practices vragen om innovatie- en data-verschillende silos.
Diversificatie moet niet ongepland gebeuren: improvisatie verhoogt complexiteit, duplicatie en security-risico’s. Bedrijven moeten afwegen welke risico’s ze willen verminderen en welke applicaties écht een alternatieve oplossing vereisen.
Het begint bij het classificeren van informatie. Open data, interne apps, medische dossiers, credentials, interne algoritmen en back-ups vereisen verschillende beveiligings- en beheermaatregelen.
Een aanpak is het groeperen in drie categorieën: niet-gevoelige data kunnen op de meest efficiënte locatie blijven; belangrijke systemen kunnen in hybride omgevingen draaien; en gegevens waarvan verlies of onderbreking de bedrijfsvoering onder druk zetten, moeten onder strikte juridische, technische en operationele controle blijven.
Vier stappen voor bedrijven vóór 2027
| Gebied | Vraag te beantwoorden | Aanbevolen actie |
|---|---|---|
| Jurisdictie | Welke landen en entiteiten kunnen controle uitoefenen? | Maak een overzicht van providers, holdings, subcontractors, locaties, beheerders en relevante wetgeving |
| Classificatie | Welke data zijn cruciaal voor het bedrijf en welke kunnen makkelijker worden gemigreerd? | Voer classificatie uit op basis van gevoeligheid, afhankelijkheid, RTO, RPO en regelgeving |
| Exit-strategie | Hoeveel kost het en hoe lang duurt het om over te stappen? | Documenteer formaten, volumes, bandbreedte, tools, transformaties, personeel en migratiekosten |
| Technische test | Werkt het plan echt? | Voer export, restore en bootscenario’s uit op een alternatieve infrastructuur |
Het plan moet meer omvatten dan alleen een contractclausule; je moet weten hoeveel data je moet verplaatsen, hoe lang het duurt met de beschikbare bandbreedte, en welke diensten niet te reproduceren zijn buiten de originele provider.
Ook moeten back-ups in een andere omgeving hersteld kunnen worden. Een back-up die afhankelijk is van dezelfde leverancier en tools biedt geen bescherming bij commerciële of juridische blokkades.
Het contract moet aangeven welke data geëxporteerd kunnen worden, in welke formaten, met welke hulp, binnen welke termijn en tegen welke kosten. Ook moet er geregeld worden hoe de data wordt verwijderd, of er logboeken beschikbaar blijven, en hoe de toegang tot sleutels en ondersteuning wordt geregeld tijdens de overgang.
De laatste stap is testen. Een organisatie weet pas echt of ze soeverein is wanneer ze op eigen kracht een applicatie kan herstellen, een netwerk kan reconstrueren en de dienstverlening binnen een bekende termijn kan voortzetten.
Dit was de kernboodschap van Despeja tu Cloud: soevereiniteit is geen marketinglabel of locatie op de kaart, maar de capaciteit om de controle te behouden wanneer wetten, contracten, prijzen of geopolitieke context veranderen.
De opname van het webinar met Zigor Gaubeca en David Aibar Carretero is terug te kijken op het LinkedIn-profiel van Aire. De sessie start een gesprek dat in de komende maanden niet meer alleen voor juridische afdelingen bedoeld is. CADA, de Data Act, NIS2 en de groei van AI zetten jurisdictie, portabiliteit en exit-plannen op de agenda van elke tech- en continuïteitsverantwoordelijke.
Veelgestelde vragen
Garantiseert het feit dat de servers in Europa staan dat de CLOUD Act niet van toepassing is?
Nee. De fysieke locatie is slechts één factor. Het gaat ook om of de leverancier onder Amerikaanse jurisdictie valt en of hij controle heeft over de gegevens.
Kan de VS vrij toegang krijgen tot data opgeslagen bij een Amerikaanse provider?
Nee. Er is een geldig juridisch verzoek nodig, dat gericht is op concrete informatie. Providers kunnen bepaalde verzoeken aanvechten, hoewel de extraterritoriale werking van de wet conflicten met Europese regels kan veroorzaken.
Vraagt CADA dat bedrijven een Europese cloud moeten gebruiken?
Nee. CADA is een voorstel en moet nog worden goedgekeurd. Het stelt geen directe verplichtingen, maar geeft wel indicaties over Europese strategieën voor cloud en data competence.
Wat moet een bedrijf als eerste doen om haar cloud-soevereiniteit te verbeteren?
Inventariseer providers en jurisdicties, classificeer kritische data en bereken de kosten van migratie en exit. Daarna facilitéer je een echte test door de overstap uit te voeren.
