De Europese Unie begint een ongemakkelijke realiteit te onderkennen: het reguleren van kunstmatige intelligentie, beschermen van persoonsgegevens en praten over strategische autonomie is niet voldoende als de kritieke infrastructuur blijft afhankelijk van Amazon, Microsoft en Google. Cloud computing is uitgegroeid tot het zenuwstelsel van overheidsinstanties, banken, ziekenhuizen, energie, defensie, industrie en digitale diensten. Wie die laag controleert, host niet alleen servers; beheert ook rekenkracht, AI-tools, identiteitsbeheer, netwerken, observability, automatisering en continuïteit van de bedrijfsvoering.
De nieuwe thematiek in Brussel richt zich precies daarop. Volgens documenten die bekend zijn bij Reuters, werkt de Europese Commissie aan strengere criteria voor cloud-diensten die worden ingezet in zeer kritische publieke aanbestedingen. Het voorstel, verbonden aan de toekomstige Cloud and AI Development Act, zou grote Amerikaanse leveranciers in het nadeel kunnen brengen of zelfs uitsluiten van strategische contracten tenzij ze voldoen aan eisen omtrent soevereiniteit, juridische controle, databeveiliging en toeleveringsketens.
Het debat komt te laat, maar het komt. Jarenlang accepteerde Europa dat haar digitale infrastructuur in handen was van Amerikaanse platforms, terwijl het haar politieke energie richtte op het reguleren van de gevolgen van die afhankelijkheid. Nu maakt kunstmatige intelligentie de berekening anders. Zonder cloud, datacenters, chips, energie, software en operationeel talent is er geen soevereine AI. En zonder soevereine AI loopt Europa het risico een markt te reguleren die het niet onder controle heeft.
Soevereiniteit is geen loze woorden meer, maar een aanbestedingscriteria
De innovatie ligt niet alleen in dat Brussel het heeft over digitale soevereiniteit. Dat gebeurt al jaren. Wat echt telt, is dat de Commissie wil invoeren dat in gevoelige overheidsopdrachten niet meer alleen de goedkoopste of technisch krachtigste optie wordt gekozen. In plaats daarvan moeten er criteria komen die bepalen wie de infrastructuur controleert, onder welke wetgeving zij opereert, wie de leveranciers zijn, waar de gegevens staan en in hoeverre er afhankelijkheid bestaat van derde landen.
Deze verandering kan de markt aanzienlijk beïnvloeden. AWS, Microsoft Azure en Google Cloud domineren momenteel een groot deel van de Europese publieke cloudmarkt. Het Europees Parlement waarschuwt herhaaldelijk voor de sterke concentratie van de cloudmarkt in handen van Amerikaanse bedrijven, terwijl Europese aanbieders een veel kleinere marktdeelname hebben. Daar komt nog bij dat de Amerikaanse CLOUD Act het mogelijk maakt dat Amerikaanse jurisdictie-eisers gegevens kunnen opeisen, zelfs als die gegevens buiten de VS opgeslagen zijn.
De grote spelers hebben het risico onder ogen gezien en bewegen snel. AWS biedt nu bijvoorbeeld zijn European Sovereign Cloud aan, met gescheiden infrastructuur in Duitsland en een aangekondigde investering van 7,8 miljard euro. Microsoft werkt aan haar Sovereign Cloud, haar EU Data Boundary en samenwerkingen met lokale partners zoals Bleu (gecontroleerd door Orange en Capgemini) en Delos Cloud (een dochteronderneming van SAP op Azure). Google heeft strategische allianties gesloten, zoals S3NS met Thales, en samenwerkingen met Europese partijen om ook bij gevoelige contracten relevant te blijven.
De vraag is of dat voldoende is. Een cloud kan in Europa worden gehost, worden beheerd door Europees personeel, sterke encryptie bieden, voldoen aan de AVG en toch technische, juridische of update-afhankelijkheid behouden ten opzichte van een niet-Europese leverancier. Zeer veilig, nuttig en zelfs redelijk voor veel toepassingen, maar volledige soevereiniteit vraagt meer dan dat.
Het gevaar van “sovereignty washing”
Europa loopt het risico een comfortabele tussencategorie te creëren: ‘voldoende soevereine’ cloudoplossingen die de grote leveranciers niet veel hoeven te aanpassen, maar die niet echt onafhankelijk genoeg zijn om de strategische afhankelijkheid significant te verminderen. Ditzelfde probleem zien we in andere technologische sectoren: er wordt een raamwerk opgezet, niveaus toegekend, uitzonderingen geaccepteerd en uiteindelijk wordt een gematigde versie van afhankelijkheid gesoevereerd alsof het volledige onafhankelijkheid betekent.
De Commissie zelf is begonnen met het meten van soevereiniteit via haar Cloud Sovereignty Framework en de SEAL-niveaus. Het model onderscheidt data-soevereiniteit, digitale veerkracht en hogere mate van autonomie. Op papier vooruitgang: het levert criteria, verplicht tot documentatie en maakt vergelijkingen mogelijk. Maar het schept ook een grijze zone. In april 2026 besteedde de Commissie tot 180 miljoen euro aan een contract voor ‘soberane cloud’ aan vier Europese leveranciers of consortia, waaronder een consortium onder leiding van Proximus dat gebruikmaakt van S3NS, een joint venture van Thales en Google Cloud. De Commissie stelde zelfs dat niet-Europese technologieën kunnen voldoen aan minimale soevereiniteitsniveaus, zolang ze opereren binnen een strikte regelgeving.
Dat dilemma is duidelijk. Als Europa een cloud accepteert die gebaseerd is op Amerikaanse technologie maar waarvan de contractuele en operationele omkadering Europees is, kan dat op korte termijn soevereiniteit verbeteren, maar houdt het ook de afhankelijkheid in stand. Als Europa meteen volledige soevereiniteit eist, riskeert het dat het de capaciteit ontbeert voor geavanceerde AI-diensten, elasticiteit of kostenbeheersing in bepaalde projecten.
De uitweg ligt niet in het volledig afwijzen van grote hyper-scalers. AWS, Microsoft en Google bieden uiterst geavanceerde technologie op het gebied van AI, managed services, databases, observability, beveiliging en wereldwijde deployment. Veel Europese bedrijven kunnen niet zomaar alle functies overnemen zonder verlies van capabilities. Toch is het niet slim om zomaar te vertrouwen op de redenering dat een Europese commerciële laag automatisch soevereiniteit betekent, zolang de fundamentele afhankelijkheid van technische keuzes, licenties, updates, intellectueel eigendom en jurisdictie blijft bestaan.
Europa heeft eigen aanbieders nodig, geen louter strengere regels
De toekomstige Cloud and AI Development Act kan een belangrijke stap zijn indien die wordt ingezet om daadwerkelijk vraag te creëren naar Europese aanbieders. Spelers zoals Stackscale (Aire), OVHcloud, Scaleway, StackIT, Clever Cloud, T-Systems, Orange Business, Aruba, IONOS, SAP, Proximus, regionale operators en private infrastructuurbedrijven hebben een kans als Europa consistent aan haar eigen cloud wil werken. Het is niet genoeg te spreken over soevereiniteit in retoriek en vervolgens de meest gevoelige contracten toewijzen aan dezelfde afhankelijkheidsketen als altijd.
Ook moeten de limieten erkend worden. Europa beschikt niet over een volledige vervanging van AWS, Azure of Google Cloud in alle lagen. Wel zijn er goede aanbieders voor infrastructuur, private cloud, bare-metal, colocatie, Kubernetes, managed services en soevereine platformen. Maar een volledig continentale aanbieding met evenveel diepgang op AI, chips, foundation models, PaaS-software, analytics en wereldwijde diensten ontbreekt. Veel hardware wordt gemaakt in Aziatische of Amerikaanse toeleveringsketens. Het suggereert dat al dat hardware Europees moet zijn, klinkt mooi, maar is vandaag moeilijk volledig te realiseren.
De politiek moet daarom slim en gefaseerd handelen. Kritieke sectoren zoals gezondheidszorg, justitie, defensie, digitale identiteit, energie, systeemkritische banken en gevoelige overheidsdata zouden strengere controlevoorwaarden moeten krijgen, inclusief Europese controle, portabiliteit, reversibiliteit, encryptie, lokale operaties en het vermijden van afhankelijkheid van derde landen. Minder gevoelige workloads kunnen in hybride cloud-omgevingen, waarbij hyper-scalers nog een rol spelen, zolang de controle over data, sleutels en architectuur expliciet bij de gebruiker blijft.
Het zou een grote fout zijn om soevereiniteit te reduceren tot een soort premiumlabel dat je bij dezelfde leveranciers koopt, met hogere kosten en langere contracten. Soevereiniteit moet geen optionele extra zijn, maar een ontwerpprincipe: wie mag opereren, beheren, toegang krijgen, vernieuwen, auditen, reageren op crises en uiteindelijk overstappen naar een andere provider.
Europa bevindt zich op een lastige keuze. Kan het kiezen voor snelle verkoop van digitale soevereiniteit via Amerikaanse producten en daarmee het probleem afvinken? Of kan het publieke inkoopmacht gebruiken om echt capaciteit te ontwikkelen binnen Europa, al is dat lastiger, trager en minder indrukwekkend in pitches? Het eerste biedt korte-termijn rust, het tweede bouwt aan onafhankelijkheid.
Digitale soevereiniteit bereik je niet door Amerikaanse logo’s te weren of barrières op te werpen zonder alternatief. Het vereist investeren, kiezen voor Europese aankopen waar nodig, portabiliteit eisen, Europese cloud-initiatieven versterken, open source software ondersteunen, publieke vraag voortdurend stimuleren en de verwarring tussen naleving en controle opgeven. Als Europa deze nuances niet goed doorziet, betaalt het straks meer voor een vorm van soevereiniteit die het niet volledig bezit.
Veelgestelde vragen
Wat wil de EU veranderen aan cloud-aanbestedingen?
Brussel werkt aan strengere criteria voor uiterst kritische publieke contracten. Het doel is dat niet alleen prijs, maar ook soevereiniteit, dataveiligheid, jurisdictie, keten en operationeel beheer meetellen.
Kunnen AWS, Microsoft en Google dan worden uitgesloten?
Ze kunnen mogelijk uit de strijd worden gehaald of in disbalans raken bij strategische contracten als de eisen voor sterk Europees toezicht en minimale extracommunautaire jurisdictie worden aangescherpt. Het voorstel kan nog wijzigen en zal politieke steun nodig hebben.
Is een cloud van AWS, Microsoft of Google die in Europa wordt gehost, volledig soeverein?
Nee, dat verbetert vooral datagebruik, naleving en operationele controle, maar geen volledige soevereiniteit. De kern blijft wie de technologie, operationele controle, sleutels, updates, beheerlaag en exitstrategie controleert.
Wat moet Europa doen om niet teveel afhankelijk te zijn van hyper-scalers?
Gebruik de publieke inkoop voor het creëren van stabiele vraag naar Europese clouddiensten, versterk lokale aanbieders, eis portabiliteit, investeer in datacenters, software, talent, chips en open standaarden, en reserveer kritieke workloads voor infrastructuur onder Europeesch controle die verificatie toelaat.