De term “sovereign cloud” is de laatste maanden uitgegroeid tot een van de meest gebruikte labels binnen de technologische sector. Microsoft, AWS en Google hebben hun Europese voorstellen de afgelopen maanden versterkt met boodschappen over dataresidentie, lokale operaties, versterkte controles, encryptie, geïsoleerde regio’s en naleving van regelgeving. Het probleem is dat de term “soevereiniteit” gebruikt wordt om zeer verschillende realiteiten te beschrijven.
De kernvraag gaat niet meer alleen over de locatie van datacenters. Een server in Frankfurt, Parijs, Madrid of Amsterdam kan de latentie verbeteren, naleving van de AVG gemakkelijker maken en internationale overdrachten verminderen, maar lost op zich niet de centrale vraag op: onder welke jurisdictie opereert de provider die de infrastructuur, het beheerplatform, de ondersteuning, de sleutels, de software en de continuïteit van de dienst beheert?
Dataresidentie is niet hetzelfde als soevereiniteit
Jarenlang heeft een groot deel van de markt residentie van data voorgesteld als synoniem voor soevereiniteit. Het idee was simpel: als gegevens binnen de Europese Unie worden opgeslagen en verwerkt, dan is de Europese klant beschermd. Die stelling is echter te simpel.
Het debat is veranderd omdat extraterritoriale wetten net zo zwaar wegen als de fysieke locatie van de servers. De Amerikaanse CLOUD Act, aangenomen in 2018, stelt Amerikaanse autoriteiten in staat te verzoeken om gegevens die gecontroleerd worden door Amerikaanse ondernmemingen, zelfs als die data buiten de VS opgeslagen zijn, zolang ze binnen de wettelijke kaders blijven. AWS, Microsoft en andere aanbieders benadrukken dat er geen automatische of onbeperkte toegang bestaat en dat verzoeken aan wettelijke vereisten moeten voldoen. Desalniettemin blijft juridische blootstelling een reële zorg voor overheden, defensie, gezondheidszorg, energie, justitie, banken en andere kritieke openbare diensten.
De zaak van Microsoft voor het Franse parlement maakte dit punt heel duidelijk. Volgens berichtgeving van The Register erkenden vertegenwoordigers van Microsoft Frankrijk onder ede dat zij niet konden garanderen dat gegevens van Franse burgers niet door de Amerikaanse autoriteiten zouden worden doorgegeven bij een geldige wettelijke bevel. Het bedrijf benadrukte dat het verzoeken kritisch beoordeelt, beperkt en bestrijdt, maar de kernboodschap was dat het geen absolute garantie kon bieden.
Hier ligt het punt waar soevereiniteit niet langer enkel een marketingclaim is. Een cloud kan datacenters in Europa hebben, Europees personeel, geavanceerde technische controles en solide contractuele toezeggingen. Maar als de moedermaatschappij onder een buitenlandse jurisdictie valt die wettelijk toegang kan krijgen, dan is de soevereiniteit niet volledig. Het is een verbetering ten opzichte van een globale cloud die wereldwijd opereert, maar het betekent niet automatisch dat je controle hebt binnen de EU.
| Concept | Wat betekent het | Waarom is het belangrijk |
|---|---|---|
| Dataresidentie | Data wordt opgeslagen in een specifieke regio | Helpt bij naleving, maar lost jurisdictie niet op |
| Operationele soevereiniteit | De dienst kan opereren zonder kritieke externe afhankelijkheden | Relevantie bij crises, sancties of geopolitieke onderbrekingen |
| Juridische soevereiniteit | De leverancier valt onder Europese wetgeving en controle | Verkleint blootstelling aan extraterritoriale regels |
| Soevereiniteit van het controlevlak | Administratie, support, sleutels en privileges worden door lokale entiteiten beheerd | Voorkomt dat derden de dienst kunnen manipuleren of verstoren |
| Soevereiniteit van de toeleveringsketen | Software, hardware en afhankelijkheden zijn controleerbaar en auditerbaar | Vermindert risico’s door verborgen lagen en kritieke technische componenten |
| Werkelijke soevereiniteit | Een combinatie van juridische, technische, operationele en bestuursmatige controle | De hoogste norm die verder gaat dan louter een label |
Van retoriek naar vertrouwen: de EU pakt het serieus aan
De Europese Commissie is begonnen met het expliciet maken van deze nuance. Het nieuwe pakket voor technologische soevereiniteit, aangekondigd op 3 juni 2026, omvat onder andere de Cloud and AI Development Act. Deze regelgeving introduceert een gelaagd kader voor het beoordelen van cloud- en AI-services in de publieke sector. Hoewel de voorstel nog door onderhandeling moeten, geeft het duidelijk richting aan de Europese beleidslijn.
Volgens Tech Policy Press heeft het kader vier vertrouwen niveaus voor cloud-diensten die door overheden worden gebruikt. Criteria omvatten eigendom en controle, afhankelijkheden in de toeleveringsketen, dataverwerking, locatie van infrastructuur en cybersecurity. Overheidsorganisaties zouden ten minste diensten van niveau 1 moeten gebruiken, terwijl meer kritieke functies—zoals nationale veiligheid, defensie, veiligheidsdiensten en grensbeheer—toewijding aan hogere niveaus met onafhankelijke audits vereisen.
TechTimes vat het framework helder samen: niveau 1 draait om infrastructuur die fysiek in de EU ligt; niveau 2 voegt onafhankelijkheid van derde landen toe en transparantie in de keten; niveau 3 vereist eigendom en controle binnen de EU; en niveau 4 zegt volledige controle en transparantie over de hele softwareketen, zonder inmenging van buitenaf.
Het gevolg is duidelijk: Amerikaanse cloudgiganten kunnen voldoen aan datadataresidentie of zelfs geïsoleerde Europese regio’s creëren, maar het zal moeilijk zijn om de hoogste niveaus te behalen zolang ze onder Amerikaanse wetgeving blijven vallen. Het gaat niet per se over de kwaliteit van hun technologieën—die blijven vaak leidend in schaal, veiligheid, beschikbaarheid en innovatie—maar over wie uiteindelijk de juridische beslissingsbevoegdheid heeft over de provider.
De Europese Commissie erkent de afhankelijkheid. Volgens Tech Policy Press beheersen Amerikaanse cloudbedrijven meer dan 70% van de Europese markt. In tegenstelling daarmee produceert de EU minder dan 10% van de wereldwijde halfgeleiders en besteedt het jaarlijks circa 264 miljard euro, hoofdzakelijk aan Amerikaanse technologische producten en diensten. Europa probeert deze asymmetrie te corrigeren, maar kan dat niet alleen door labels te veranderen.
Reagende industrie bevestigt dat verandering nodig is
De reactie van Amerikaanse techlobbies laat zien dat de Europese voorstellen niet enkel symbolisch zijn. De Computer and Communications Industry Association (CCIA), die grote Amerikaanse technologiegiganten vertegenwoordigt, kwalificeerde de hogere niveaus van het kader als “gesloten markt”-vereisten die geheime beleidsdoelen verbergen, aldus TechTimes. Ze vrezen dat deze criteria het moeilijk maken voor buitenlandse aanbieders om mee te dingen bij gevoelige contracten.
Deze kritiek heeft enige politieke en commerciële logica. Als de EU controle binnen Europa vereist voor kritieke workloads, verliezen grote Amerikaanse providers toegang tot belangrijke overheidscontracten. Tegelijk bevestigt dat de mate van soevereiniteit echt invloed heeft. Als het enkel marketing was, zou er geen weerstand zijn.
De kern van de discussie gaat niet over de kwaliteit of de betrouwbaarheid van AWS, Microsoft of Google, maar over de onderliggende juridische en strategische control. Europa heeft decennia lang haar kritieke digitale infrastructuur deels uitbesteed aan niet-Europese bedrijven. Nu probeert het controle terug te winnen, vooral omdat cloudwerkzaamheden een fundament vormen voor bestuur, AI, defensie, gezondheidszorg en digitale economie.
De grote cloudproviders hebben hun eigen ‘sovereign cloud’-initiatieven gelanceerd. AWS presenteert bijvoorbeeld haar European Sovereign Cloud; Microsoft kondigt nieuwe soevereiniteitsmogelijkheden aan met haar Microsoft Sovereign Cloud; Google werkt samen met Thales aan S3NS en andere projecten voor een Europese ‘cloud with sovereignty’. Hoewel deze oplossingen veel toepassingen kunnen invullen, losten ze niet automatisch de juridische vraagstukken op die altijd enige controle vereist.
Daarom wordt het onderscheid belangrijk: een “meer soevereine” cloud is niet hetzelfde als een volledig ‘soevereine cloud’. Er zijn gradaties, controles, residuale risico’s en verschillende toepassingen. Voor een bedrijfswebsite of niet-kritische applicaties kan een Europese regio volstaan. Voor staatsgeheimen, gerechtelijke gegevens, defensie, kritieke infrastructuren of gevoelige publieke AI-diensten kan een hogere standaard worden vereist.
Soevereiniteit vereist ook het opbouwen van Europese capaciteit
Europa heeft gelijk dat het meer controle wil over kritieke data, maar dat is alleen geloofwaardig als het de capaciteit kan opbouwen om zelf concurrerende alternatieven te ontwikkelen. Het beperkt zich niet tot uitsluitingen of beperkingen, maar streeft naar het daadwerkelijk realiseren van alternatieven in cloudtechnologie, cybersecurity, chips, AI, netwerken, datacenters, energie en talent.
De Commissie beseft dat ook. Het pakket voor technologische soevereiniteit omvat maatregelen om datacenters te versnellen, cloudcapaciteit te coördineren via bijvoorbeeld een toekomstige EuroCloud Federation, nationale strategieën voor cloud en AI te stimuleren, en de halfgeleidersector te versterken met een Chips Act 2.0. Tech Policy Press schat dat investeringen in die sectoren tonnen bedragen: 120 miljard euro voor chips, 200 miljard voor datacenters tot 2036, 100 miljard voor cloud en AI, en 2 miljard voor open source software over zeven jaar.
Soevereiniteit wordt niet van vandaag op morgen afgedwongen. Het vergt betrouwbare leveranciers, interoperabiliteit, open standaarden, slimme overheidscontracten en klanten die bereid zijn meer te betalen dan enkel de prijs van een virtuele machine. Het vereist ook het vermijden van de valkuil van ‘sovereignty washing’, waarbij oplossingen lijken Europees maar in werkelijkheid afhankelijk blijven van buitenlandse technologie, support of eigendom.
Het eerste ‘sovereign cloud’-contract van de Europese Commissie, met een waarde van 180 miljoen euro, illustreert die complexiteit. Aanbieders waren onder andere Europese groepen zoals Post Telecom met CleverCloud en OVHcloud, StackIT, Scaleway en Proximus. De aanwezigheid van S3NS, een joint venture van Thales met Google Cloud, riep echter kritieken op van CISPE wegens het risico dat volledige soevereiniteit niet werd gerealiseerd en dat het beleid institutionalisering van incomplete soevereiniteit bevorderde. De Commissie stelde dat niet-Europese technologieën in streng gereguleerde omstandigheden toch kunnen voldoen aan bepaalde normen, waarmee wordt bevestigd dat het debat gelaagder is dan een simpele ja/nee-vraag.
Voor bedrijven en overheden zou de juiste vraag niet moeten zijn “Is mijn cloud Europees?”, maar “Welke mate van soevereiniteit heb ik nodig?” Niet alle gegevens vereisen dezelfde behandeling. Maar de meest kritische gegevens—zoals staatsgeheimen, justitiële informatie, defensie of publieke AI—behoren onder strengere controle en juridische zekerheid.
Soevereine cloud is niet langer slechts een goedkope marketingterm. Europa begint het te profileren als een juridische en operationele standaard. Dit zal sommige aanbieders boos maken, vooral degenen die de soevereiniteit als een simpele dataresidentie-positionering zien, maar het dwingt kopers ook om kritischer te worden. Uiteindelijk draait het niet meer om de locatie van de server, maar wie de controle kan uitoefenen, die kan beheren, auditen, wettelijk kan dwingen of bij problemen toegang tot de gegevens kan verkrijgen.
Veelgestelde vragen
Wat is het verschil tussen een ‘soevereine cloud’ en dataresidentie?
Dataresidentie geeft aan waar de data opgeslagen of verwerkt wordt. Overheidssoevereiniteit voegt daar nog bijkomende elementen aan toe: jurisdictie van de provider, operationele controle, sleutels, support, toeleveringsketen, servicecontinuïteit en het vermogen om externe inmenging te weerstaan.
Is een AWS-, Microsoft- of Google-cloud in Europa automatisch soeverein?
Niet per definitie. Het kan voldoen aan residentie- en veiligheidsvereisten en lokaal opereren, maar blijf je onder Amerikaanse wetgeving, dan ontbreekt het aan volledige soevereiniteit. Het hangt af van het type gegevens, de architectuur en het controlemodel.
Wat brengt de nieuwe Europese voorstel over cloud en AI?
De Cloud and AI Development Act introduceert niveaus van vertrouwen voor cloud- en AI-diensten in de publieke sector. Kritische workloads vereisen hogere niveaus van soevereiniteit, met strengere eisen over eigendom, controle, toeleveringsketen en jurisdictie.
Waarom is de CLOUD Act relevant in dit debat?
Omdat de wet Amerikaanse providers verplicht om, onder bepaalde juridische orders, data te overhandigen, zelfs als die data buiten de VS opgeslagen zijn. Providers benadrukken dat er geen automatische toegang is, maar dat de juridische druk bestaat.