De discussie over digitale soevereiniteit levert in de praktijk al concrete gevolgen op. Zo blokkeert Nederland de verkoop van DigiD-hoster Solvinity aan een Amerikaans bedrijf. Bij soevereiniteit draait het om zelfbeschikking en onafhankelijkheid. Dat is voor digitale diensten een stuk lastiger te regelen dan voor fysieke goederen, zeker omdat veel technologie uit de Verenigde Staten en China komt. Waar voor bijvoorbeeld champagne en Zwitserse horloges strakke, formele definities bestaan, werkt Nederland nog aan zulke afspraken voor soevereine clouds.
De laatste tijd is er veel te doen om 'soevereine clouds'. De Amerikaanse techreuzen AWS, Microsoft en Google claimen het aan te bieden en experts pleiten ervoor bij de Nederlandse identiteitsdienst DigiD. Maar er is eigenlijk geen goede, bindende definitie van wat een soevereine cloud precies is, blijkt uit een rondvraag van Tweakers. Het vinden en gebruiken van een écht soevereine clouddienst staat daardoor nog in de kinderschoenen.
Volgens ict-marktonderzoeker Gartner is een soevereine cloud alleen mogelijk als je een Amerikaanse of Chinese organisatie bent. Een volledig soevereine cloudomgeving kan niet bestaan buiten die twee techgrootmachten, stelde analist Douglas Toombs in mei op een Australische conferentie van Gartner. Alleen de Verenigde Staten en China produceren alle technologie die nodig is voor een soevereine cloud.
In de complete technologiestack is er altijd wel sprake van buitenlandse onderdelen: onder besturingssystemen, databases, applicaties en andere software zitten servers, routers, gpu's en cpu's van buitenlandse komaf. Maar moet hardware wel worden meegenomen in de begrippen 'digitale soevereiniteit' en 'soevereine cloud'?
/i/2008137200.avif?f=imagenormal)
Champagne en Zwitserse horloges
Het antwoord op die vraag laat nog op zich wachten. Wat 'soevereine cloud' precies is, ligt niet formeel en bindend vast. Dat is anders dan bij champagne en Zwitserse horloges, waarvoor specifieke regels gelden. Van de mousserende wijn is bekend dat die alleen champagne mag heten als die uit de Franse streek Champagne komt. Voor Zwitserse horloges gelden specifieke, gedetailleerde regels. Zo moeten prototypes en constructie in Zwitserland zijn gemaakt, moet de fabrikant de laatste productinspectie zelf uitvoeren in Zwitserland en moet ten minste 60 procent van de fabricagekosten in Zwitserland worden gemaakt.
Zulke wettelijke vereisten voor ontwerp, productie en levering zijn makkelijker te realiseren voor fysieke goederen, zoals wijn en horloges, dan voor digitale diensten. Bij clouddiensten is er een toenemende behoefte aan soevereiniteit, waar aanbieders op inspringen. Naast de reguliere techreuzen zijn dit ook relatieve nieuwkomers en relatief kleinere partijen. Daarbij speelt de vraag of en in hoeverre het cloudaanbod wel soeverein is, of soeverein genoeg. Het ontbreekt voorlopig aan een formele, bindende definitie voor organisaties, bedrijven en overheden.
Europees raamwerk
Verschillende partijen werken wel aan het formuleren van een definitie van 'soevereine cloud'. Daarbij kijken zij ook naar het Cloud Sovereignty Framework van de Europese Unie. Dit beleidsdocument biedt een beoordelingskader met acht punten om claims van soevereiniteit voor clouds te kunnen verifiëren. Op basis van dit raamwerk selecteerde de Europese Commissie in april vier cloudaanbieders om een clouddienst voor Europese overheidsorganisaties te bouwen, waarvoor zij 180 miljoen euro krijgen.
/i/2008188788.avif?f=imagenormal)
Het Europese raamwerk is niet bindend voor organisaties, bedrijven, instellingen en overheden in EU-landen. Het is slechts gericht op aanbestedingen door de Europese Commissie zelf. Wel valt het te gebruiken als leidraad voor nationale richtlijnen, regels en zogeheten toetsingsinstrumenten. Zo'n instrument bestaat sinds maart dit jaar voor overheden en publieke organisaties in Nederland; de overheid biedt een gids om de afhankelijkheid van hyperscalers te toetsen.
Deze gids van de Dienst ICT Uitvoering (DICTU), de ict-dienstverlener van de Nederlandse overheid, geeft wel een definitie van 'soevereine cloud'. Het gaat daarbij om 'een verzameling clouddiensten' die zich 'binnen een rechtsgebied' bevinden en voldoen 'aan de eisen voor datalokalisatie en operationele autonomie'. "De soevereine cloud moet ervoor zorgen dat de data, activiteiten, infrastructuurcomponenten en technologie niet kunnen worden beïnvloed door andere rechtsgebieden en beschermd moeten worden tegen directe invloed of toegang door overheden uit derde landen", aldus DICTU in dit beleidsdocument.
Digitale zaken, zoals soevereiniteit
DICTU valt onder het ministerie van Economische Zaken en Klimaat (EZK), dat voor de Rijksoverheid bezig is met het opstellen van een formele definitie van 'soevereine cloud'. Onder dat ministerie valt ook staatssecretaris Willemijn Aerdts, die Digitale Economie en Soevereiniteit in haar portefeuille heeft. Zij blokkeert de verkoop van DigiD-hoster Solvinity aan het Amerikaanse techbedrijf Kyndryl. Deze blokkade vindt plaats op advies van het Bureau Toetsing Investeringen (BTI), dat zich baseert op de Wet ongewenste zeggenschap telecommunicatie (WOZT).
:strip_exif()/i/2008000774.jpeg?f=imagenormal)
Naast dit specifieke geval, waarover al maanden veel te doen is, kijkt EZK ook naar het grotere geheel. Het ministerie voert nu binnen de Nederlandse Digitaliseringsstrategie (NDS) een zogeheten verkenning uit naar 'de realisatie van een soevereine overheidscloud'. Dit vooronderzoek omvat ook het opstellen van een formele definitie van een soevereine overheidscloud, laat de woordvoerder van staatssecretaris Aerdts weten aan Tweakers. "Deze verkenning is voor het eerste halfjaar van 2026 aan de Tweede Kamer toegezegd."
Exitstrategie en cloudkritiek
Het cloudbeleid van de Rijksoverheid kreeg twee jaar geleden flinke kritiek van de Auditdienst Rijk, die valt onder het ministerie van Financiën. De onafhankelijke interne auditor van en voor de Rijksoverheid concludeerde na onderzoek dat de overheid moet werken aan een betere exitstrategie voor clouddiensten.
In overeenkomsten met cloudaanbieders is wel geregeld dat data bij een migratie wordt overgedragen aan de overheid, waarna de aanbieder de opgeslagen data vernietigt. Maar voor continuïteit van de bedrijfsprocessen is niet genoeg aandacht, aldus de Auditdienst Rijk in 2024. Dit raakt ook een eventuele overstap naar soevereine clouds. Vragen hierover van Tweakers zijn door Financiën doorverwezen naar het ministerie van Economische Zaken.
Rond de tijd van het onderzoek door de Auditdienst Rijk voerde de Algemene Rekenkamer een eigen onderzoek uit naar het Rijk in de cloud. Begin vorig jaar kwam dit controlerende overheidsorgaan met de harde constatering dat de Rijksoverheid ondoordacht is gaan werken in de cloud. Daarbij keek de Algemene Rekenkamer ook naar soevereiniteit, continuïteit van de dienstverlening en gegevensbescherming.
:strip_exif()/i/2007988876.jpeg?f=imagenormal)
Van definitie naar normen
De financiële overheidscontroleur hanteert in zijn onderzoeksrapport een definitie voor digitale soevereiniteit, met het oog op economie, maatschappij en democratie. Deze instantie werkt deze definitie uit in concrete normen die organisaties kunnen gebruiken als ze willen overstappen naar digitale diensten die meer soeverein zijn. De normen omvatten zaken als de locatie waar data is opgeslagen, afspraken over dataoverdracht buiten de Europese Economische Ruimte (EER), praktisch toepasbaar recht op audits en interoperabiliteit van IT-systemen.
Daarnaast speelt toegang tot data met het oog op een overstap naar een andere aanbieder. Belangrijk daarbij is natuurlijk ook of een cloudgebruikende organisatie een realistische exitstrategie heeft. Begin dit jaar liet de Algemene Rekenkamer weten dat zij zelf weg wil uit de Microsoft-cloud.
Ook in gemeenteland
De wens voor en zoektocht naar digitale soevereiniteit spelen niet alleen op rijksniveau. Ook gemeenten zijn, via de Vereniging van Nederlandse Gemeenten (VNG), hiermee bezig. De organisatie komt binnenkort met een zogeheten bestek voor de soevereine cloud 'waarin we dit begrip ook definiëren', antwoordt de VNG op vragen van Tweakers. Een bestek is een officieel document met daarin bijvoorbeeld technische of juridische bepalingen, vereisten en wensen. Het is te gebruiken bij onder meer aanbestedingen.
Het bestek van de VNG gaat begin juni in een openbare consultatie, laat de woordvoerder weten. Na afronding wil de vereniging dit document, met daarin een definitie voor 'soevereine cloud', gebruiken voor gemeenten. Daarnaast wil de VNG het overheidsbreed inzetten in het kader van de Nederlandse Digitaliseringsstrategie, wat EZK ook aangrijpt.
:strip_exif()/i/2007906922.jpeg?f=imagenormal)
Naast de initiatieven van EZK en de VNG zijn er op Europees niveau ook meer ontwikkelingen. De VNG-woordvoerder stelt dat een EU-brede definitie van een soevereine cloud het beste zou werken. Hij verwijst naar de Cloud and AI Development Act (CADA), waar de Europese Commissie aan werkt. Deze toekomstige wetgeving moet de bestaande Data Act aanvullen, die al dataportabiliteit verplicht voor cloudaanbieders, zodat klanten makkelijker kunnen overstappen. Als de CADA eenmaal rond is, zal de VNG zijn bestek voor de soevereine cloud hierop aanpassen.
'Geen garantie'
Ondertussen is de vraag over soevereiniteit alleen maar relevanter geworden, stelt de Algemene Rekenkamer tegenover Tweakers. "Het belangrijkste voor soevereiniteit is dat je zelf zeggenschap en controle hebt over wat er in die cloud staat. Dat een ander land er niet zomaar wat mee kan doen", vat de woordvoerder samen.
Hij verwijst naar de Amerikaanse CLOUD Act, die in het rapport van begin 2025 wordt genoemd. Die wet geeft opsporings- en veiligheidsdiensten in de VS de mogelijkheid gegevens te vorderen bij Amerikaanse cloudaanbieders, zoals Microsoft, Google en Amazon. Deze vorderingsmacht geldt ook voor gegevens die niet op Amerikaans grondgebied zijn opgeslagen. De internationale reikwijdte van deze wetgeving leidt al geruime tijd tot zorgen over clouds en claims van soevereiniteit door aanbieders.
Het ministerie van EZK ontwijkt de vraag of het uiteenlopende aanbod van Amerikaanse cloudreuzen dan wel of niet als soeverein te beschouwen is. "De Rijksoverheid ziet op dit moment geen rol voor zichzelf in het accepteren of weerleggen van de genoemde claims", antwoordt de woordvoerder van EZK. De onafhankelijke Algemene Rekenkamer geeft wel een helder antwoord. "Servers van Amerikaanse bedrijven op EU-grondgebied zijn geen garantie voor soevereiniteit van de data", verklaart de woordvoerder.
Redactie: Jasper Bakker • Eindredactie: Monique van den Boomen
:strip_exif()/i/2007988370.jpeg?f=imagenormal)
:strip_icc():strip_exif()/i/2008022680.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2007958498.jpeg?f=fpa_thumb)
:strip_exif()/i/2007958500.jpeg?f=fpa)
/i/1289644242.png?f=fpa)
:strip_exif()/i/2007988378.jpeg?f=fpa)
/i/2008170324.png?f=fpa)
/i/2007231092.png?f=fpa)