De soevereine cloud is uitgegroeid tot een van de trendwoorden in de Europese technologiemarkt. Overheden, gereguleerde bedrijven en cloudproviders gebruiken de term om te spreken over gegevenscontrole, operationele onafhankelijkheid en bescherming tegen buitenlandse wetgeving. Het probleem is dat de term niet altijd hetzelfde betekent. CISPE, de vereniging die Europese cloudinfrastructuurleveranciers verenigt, wil daar duidelijkheid in scheppen met de lancering van haar %Sovereign and Resilient Cloud Services Framework.
Het nieuwe kader, gepresenteerd in Brussel tijdens de EU Tech Sovereignty 2026-bijeenkomst door Francisco Mingorance, secretaris-generaal van CISPE, biedt een auditeerbare manier om echt soevereine diensten, veerkrachtige diensten en aanbiedingen die de claim van soevereiniteit gebruiken zonder verificabele garanties, van elkaar te onderscheiden. De vereniging samenvat het met een steeds gebruikte uitdrukking in de sector: het voorkomen van “sovereignty washing”, oftewel het wassen van soevereiniteit.
Een antwoord op het verwarrende gebruik van het woord “soeverein”
De introductie komt op een bijzonder gevoelig moment voor de digitale infrastructuur in Europa. De afhankelijkheid van grote niet-EU-leveranciers, de regelgevende druk, de vooruitgang van kunstmatige intelligentie en de groei van de publieke uitgaven voor cloud hebben digitale soevereiniteit tot een strategisch vraagstuk gemaakt. Tegelijkertijd is de markt vol aanbiedingen die zich presenteren als soeverein doordat ze in Europa opereren, Europese datacenters gebruiken of voldoen aan cyberbeveiligingsnormen, zonder dat dat automatisch juridische, operationele of technische onafhankelijkheid garandeert.
CISPE benadrukt dat klanten moeten kunnen beoordelen of een clouddienst kan worden blootgesteld aan inmenging door buitenlandse jurisdicties, risico’s op onderbrekingen, toegangssperringen of afhankelijkheid van een leverancier. In haar publieke communicatie gebruikt de vereniging zelfs de term “Trump Proof” diensten, een opvallende manier om te verwijzen naar de angst voor politieke of juridische beslissingen uit derde landen die digitale diensten van Europese organisaties kunnen beïnvloeden.
Het kader beperkt zich niet tot alleen waar de data staan. Het doel is het beoordelen van het daadwerkelijke controle-over gegevens, infrastructuur, workloads en operaties. Die differentiëren is belangrijk omdat een cyberbeveiligingscertificering kan aantonen dat een dienst goed beschermd is tegen aanvallen of kwetsbaarheden, maar niet per se dat deze vrij is van risico’s zoals juridische afhankelijkheid, handelsblokkades of gebrek aan reversibiliteit.
Soevereine diensten versus veerkrachtige diensten: twee verschillende wegen
Het voorstel van CISPE introduceert twee aanvullende categorieën. Aan de ene kant de soevereine diensten, die controle by design garanderen. Aan de andere kant de veerkrachtige diensten, die accepteren dat er elementen kunnen zijn die niet volledig soeverein zijn, maar wel mechanismen vereisen om de controle voor de klant te behouden bij problemen.
| Categorie | Wat betekent het | Voorbeelden van controles |
|---|---|---|
| Soevereine dienst | Control by design binnen een bepaalde jurisdictie | Eigendom, beheer en operatie binnen de jurisdictie; bescherming tegen toegang, inmenging of onderbreking door buitenlandse machten |
| Veerkrachtige dienst | Control door capaciteit, ook als er niet-soevereine afhankelijkheden bestaan | Versleuteling beheerd door de klant, portabiliteit, onafhankelijke kopieën, reversibiliteit en de mogelijkheid om van provider te wisselen of workloads opnieuw te implementeren |
| Optionele criteria | Extra signalen over de dienst | Gebruik van open source software en milieuvriendelijke maatregelen, aangevuld met bijkomende certificaten |
Dit onderscheid probeert een veelvoorkomende spanning op de markt op te lossen. Niet alle organisaties kunnen momenteel volledig soevereine diensten voor al hun behoeften gebruiken, vooral wanneer schaal, AI-capaciteiten, specifieke software-ecosystemen of integratie met bestaande systemen vereist is. In die gevallen stelt CISPE dat veerkracht een geldig alternatief kan zijn, mits de klant daadwerkelijk de controle kan behouden.
De vereniging vergelijkt het eenvoudig: soevereiniteit is als autobanden met antilek, die het risico bij ontwerp wegnemen; veerkracht lijkt meer op run-flat banden, die blijven rijden ondanks een incident. Die metafoor is commercieel bedoeld, maar helpt bij het begrijpen van de aanpak: niet alle workloads vereisen hetzelfde niveau van soevereiniteit, maar allemaal moeten ze kunnen worden beoordeeld met duidelijke criteria.
Certificering per dienst, niet alleen per aanbieder
Een belangrijk aspect van het kader is dat certificering wordt toegepast op specifieke clouddiensten, niet op het bedrijf als geheel. Dit betekent dat een aanbieder zich niet algemeen kan presenteren als “soeverein” als slechts enkele van haar diensten aan de criteria voldoen. Elke dienst moet haar eigen proces doorlopen, inclusief een formele audit door een gekwalificeerde externe partij.
CISPE meldt dat conform verklaringen kunnen worden erkend en opgenomen in een openbare register, wat het voor klanten en overheden vergemakkelijkt om te zien welke diensten geëvalueerd en goedgekeurd zijn. Volgens de vereniging zijn al meer dan 40 diensten officieel verklaard onder dit nieuwe kader, waaronder AI-assistenten, publieke cloud, Kubernetes en opslagdiensten. Het is belangrijk dat deze “verklaringen” niet alleen op papier bestaan: de echte waarde zit in de diepgang van de audits, transparantie van het register en het vertrouwen dat het oproept bij publieke en private kopers.
Het kader bevat ook optionele maatregelen voor milieulabels en open source gebruik. Dat zijn geen minor zaken. In Europa ligt digitale soevereiniteit vaak in het verlengde van andere politieke en industriële doelen, zoals het verminderen van afhankelijkheid, interoperabiliteit, transparantie, energiebesparing en het versterken van het lokale ecosysteem.
De soevereine cloud vecht mee op het Europese regelgevende front
De beweging van CISPE ontsprong niet uit de lucht. De Europese Commissie heeft haar eigen Cloud Sovereignty Framework ontwikkeld voor aanbestedingsprocessen, met doelen gericht op strategische, juridische, datatechnische en AI-soevereiniteit, operationele controle, supply chain, technologie, veiligheid en milieu. Dit systeem gebruikt niveaus van garanties en scores om cloud-aanbiedingen te beoordelen.
Echter, CISPE benadrukt al maanden dat Europa de soevereiniteit niet alleen moet laten afhangen van aanwezigheid op Europees grondgebied of het voldoen aan veiligheidsnormen. In maart 2026 stelde de vereniging voor dat de toekomstige Cloud and AI Development Act soevereiniteit, veerkracht en eerlijke concurrentie centraal moest stellen. Hun standpunt: bij het teveel verwateren van het begrip “soevereine cloud”, zouden grote niet-Europese platforms de markt kunnen blijven domineren onder nieuwe etiketten.
Deze positie heeft ook een industriële interpretatie. CISPE vertegenwoordigt Europese cloud-infrastructuurleveranciers en pleit voor een kader dat vooral voordelen biedt aan bedrijven met eigendom, operationeel beheer en besluitvorming binnen Europa. Dit betekent niet dat haar argumenten onjuist zijn, maar dat het initiatief moet worden gezien als onderdeel van een bredere strijd tussen Europese providers, Amerikaanse giganten en overheden die willen balanceren tussen veiligheid, kosten, innovatie en strategische autonomie.
De daadwerkelijke impact hangt af van de mate waarin het kader wordt omarmd. Als overheden, gereguleerde bedrijven en grote kopers dit integreren in hun inkoopprocessen, kan het dienen als een belangrijke referentie om cloudaanbiedingen te onderscheiden. Als het echter slechts een sectorale theorie blijft zonder echte traction, zal de invloed beperkt blijven.
Wat wel duidelijk lijkt te worden, is dat de tijd van vage verklaringen over “soevereine cloud” definitief lijkt te vervagen. In een markt gekenmerkt door AI, concentratie van aanbieders en geopolitieke onzekerheid, zullen klanten meer willen weten dan vestigingsclaims en wollige beloftes. Ze willen weten wie de dienst opereert, onder welke jurisdictie, met welk technologisch bewustzijn, wat er gebeurt bij onderbrekingen en hoe ze hun workloads kunnen herstellen of verplaatsen.
De nieuwe benadering van CISPE streeft ernaar om digitale soevereiniteit meetbaar, auditeerbaar en vergelijkbaar te maken. De uitdaging zal liggen in het bewijzen dat het kader geen extra belastingen op de markt legt, maar juist een nuttig hulpmiddel is voor betere besluitvorming.
Veelgestelde vragen
Wat is het CISPE Sovereign and Resilient Cloud Services Framework?
Een raamwerk ontwikkeld door CISPE om goed te keuren, te auditen en te onderscheiden welke clouddiensten als soeverein en veerkrachtig kunnen worden beschouwd. Het helpt bedrijven en overheden na te gaan of een dienst daadwerkelijk controle biedt over gegevens, infrastructuur, workloads en operaties.
Wat is het verschil tussen een soevereine en een veerkrachtige cloud?
Een soevereine dienst voorkomt risico’s door het vanaf het ontwerp binnen een bepaalde jurisdictie te houden, met eigendom, beheer en operatie binnen die jurisdictie. Een veerkrachtige dienst accepteert dat afhankelijkheden bestaan buiten die jurisdictie, mits er controlemechanismen zijn zoals klantbeheer van encryptie, portabiliteit, onafhankelijke kopieën en de mogelijkheid om van provider te wisselen.
Geeft cyberbeveiligingscertificering automatisch soevereiniteit?
Nee, niet altijd. Cyberbeveiliging bevestigt dat een dienst technisch beschermd is, maar digitale soevereiniteit omvat ook jurisdictie, operationeel beheer, technologische onafhankelijkheid, reversibiliteit, supply chain en bescherming tegen externe inmenging.
Waarom spreekt CISPE over “sovereignty washing”?
CISPE gebruikt deze term om aanbieders te bekritiseren die zichzelf presenteren als soeverein zonder verificabele garanties te bieden. Het kader streeft ernaar deze verwarring weg te nemen door middel van audits, certificaten en een openbaar register van geëvalueerde diensten.
vía: cispe cloud