Soevereine cloud is een van de meest gebruikte termen in bedrijfstechnologie geworden.
Bijna elke grote provider heeft zich tot het uiterste ingespannen om hun versie ervan op de markt te brengen, waarbij ze beloven dat de data ‘lokaal’ of ‘afgeschermd in Europa’ zijn, maar de belangrijkste vraag blijft: wat betekent echte cloudsoevereiniteit eigenlijk?
Voor overheden, toezichthouders en bedrijven die met gevoelige werklasten omgaan, is het van cruciaal belang om onderscheid te maken tussen wat op de markt wordt gebracht als soeverein en wat in werkelijkheid soeverein is.
De dominantie van Amerikaanse hyperscalers in Europa maakt deze uitdaging nog urgenter. Amazon Web Services, Microsoft Azure en Google Cloud controleren samen meer dan tweederde van de cloud computing-markt in de regio, wat aanleiding geeft tot bezorgdheid over de controle door de jurisdictie en de beperkingen van het zogenaamde Europese cloudaanbod.
Nu de vraag naar soevereiniteit en veerkracht groeit, is de vraag hoe Europa een evenwichtiger en onafhankelijker cloud-ecosysteem kan opbouwen.
Het definiëren van ware soevereiniteit
Soevereine cloud is niet alleen een kwestie van waar gegevens zich fysiek bevinden, maar ook van wie er juridisch gezag over heeft en de afhankelijkheden die daarmee gepaard gaan, inclusief technologie, toeleveringsketens en leverancierslock-in, die de vrijheid van handelen mogelijk maken of beperken, zoals soevereiniteit wordt opgevat.
Dataresidentie beantwoordt de ‘waar’-vraag, soevereiniteit richt zich op het ‘wie’ en ’tot welk punt’. Dit onderscheid is van cruciaal belang bij het beschouwen van de verschillende aspecten van soevereiniteit. Neem bijvoorbeeld de kwestie van de juridische autoriteit, in het licht van wetgeving als de Amerikaanse CLOUD Act en Sectie 702 van de Foreign Intelligence Surveillance Act (FISA).
Beide wetten staan Amerikaanse rechtbanken en agentschappen toe om van bedrijven met hun hoofdkantoor in de VS te eisen dat zij toegang verlenen tot gegevens met betrekking tot onderzoeken via bevelschriften of andere processen, zelfs als deze in het buitenland worden gehost.
In de praktijk betekent dit dat een Europese bank, zorgaanbieder of overheidsdienst die afhankelijk is van een Amerikaanse cloudoperator niet gemakkelijk kan vaststellen of de gegevens van sommige van haar Europese klanten zijn verstrekt aan Amerikaanse wetshandhavings- of inlichtingendiensten, zelfs als de gegevens zich buiten de VS bevinden.
Voor organisaties die gevoelige informatie toevertrouwen, is die blootstelling niet theoretisch. Het is een live compliance- en vertrouwensprobleem.
Echte soevereiniteit vereist daarom meer dan lokale hosting. Het vereist dat zowel de infrastructuur als het rechtsgebied zijn afgestemd op de eigen juridische omgeving van de klant.
Het vereist ook interoperabiliteit en draagbaarheid tussen cloudomgevingen, waardoor organisaties kunnen kiezen waar en hoe workloads worden uitgevoerd zonder gebonden te zijn aan één enkele provider.
Het vereist ook transparantie over de onderliggende technologie en toeleveringsketen, evenals het vermogen om risico’s te beheersen en keuzes te maken die de afhankelijkheid of concentratie verminderen.
De slepende vragen
Dit is de reden waarom er nog steeds veel vragen zijn rond het soevereine aanbod van mondiale hyperscalers. Aanbieders hebben allemaal initiatieven gelanceerd die de nadruk leggen op versterkte Europese controle of partnerschappen met lokale entiteiten.
Maar omdat de moederbedrijven onderworpen blijven aan de Amerikaanse wetgeving, blijven klanten zich zorgen maken over een juridische kloof. Simpel gezegd: een soevereine verpakking rond niet-soevereine stichtingen lost het probleem niet in alle gevallen volledig op.
Klanten kunnen meer zekerheid krijgen over de locatie van data of operationele onafhankelijkheid, maar tenzij de operationele entiteit juridisch geïsoleerd is van buitenlandse jurisdictie en klanten in staat stelt keuzes te maken, blijft de aanspraak op soevereiniteit slechts gedeeltelijk.
Voor kritieke werklasten, zoals die in de publieke sector, gereguleerde industrieën en AI-toepassingen, brengt het vertrouwen op door de VS gecontroleerde clouds operationele en compliancerisico’s met zich mee die niet volledig kunnen worden beperkt door lokale hosting alleen.
Waarom het nu uitmaakt
De snelheid van de marktgroei maakt duidelijkheid urgent. De omvang van de mondiale markt voor soevereine clouddiensten zal naar verwachting groeien van 154,69 miljard dollar in 2025 naar 823,91 miljard dollar in 2032. Europa alleen al was in 2024 goed voor ongeveer 37% van de wereldmarkt.
Deze groei weerspiegelt de stijgende vraag naar veilige, vertrouwde omgevingen, vooral in Europa, waar regelgevingskaders zoals DORA, de AVG en de Data Act de nadruk leggen op lokale controle, risicobeheer, transparantie van de toeleveringsketen en concentratierisico.
De Europese Unie heeft bijvoorbeeld van digitale soevereiniteit een strategische prioriteit gemaakt, terwijl landen als Duitsland en het Verenigd Koninkrijk kaders onderzoeken om ervoor te zorgen dat hun kritieke gegevens niet kunnen worden onderworpen aan juridische claims in het buitenland. De reisrichting is duidelijk, de soevereiniteit moet worden gedefinieerd en gehandhaafd, en niet worden aangenomen.
Duidelijke normen en sterkere ecosystemen
Wat vandaag de dag ontbreekt is een consistent raamwerk dat definieert wat een soevereine cloud inhoudt.
EU-lidstaten hebben cloudcertificeringsprogramma’s opgezet, zoals C5 in Duitsland en SecNumCloud in Frankrijk, die soevereiniteitscriteria bevatten. DGIT, de IT-dienst van de Europese Commissie, heeft in de context van aanbestedingen een opmerkelijke poging gedaan om soevereiniteit te definiëren in de vorm van een schaal van eisen.
Hoewel al deze pogingen welkom zijn, tonen ze de fragmentatie van de EU-markt aan. Klanten worden vaak overgelaten aan het navigeren door concurrerende claims en complexe technische taal zonder duidelijke vergelijkingsnormen.
Een werkelijk soevereine cloud moet garanderen dat gegevens uitsluitend binnen het rechtsgebied van de klant worden gecontroleerd, benaderd en beheerd.
Dit bereiken betekent niet dat we ons moeten terugtrekken uit de mondiale innovatie. Het vereist dat lokale aanbieders in staat worden gesteld diensten te leveren die zonder compromissen aan de soevereiniteitscriteria voldoen. Europese cloudserviceproviders zoals Redcentric en ANS zijn goed gepositioneerd om deze rol te vervullen.
Door te opereren binnen lokale wettelijke en compliance-kaders en door lokaal te investeren, kunnen ze organisaties echte controle over hun data geven. In veel gevallen kan deze controle het beste worden gerealiseerd via private cloud-omgevingen, waar infrastructuur, governance en operationele autoriteit rechtstreeks kunnen worden afgestemd op de soevereiniteitsvereisten.
Technologieleveranciers spelen een rol bij het ondersteunen van dit ecosysteem. Door de platforms, infrastructuursoftware en interoperabiliteitsframeworks aan te bieden, kunnen ze lokale aanbieders empoweren zonder zelf exploitanten te worden.
Dit onderscheid is van belang. Het vermijdt verwikkelingen met buitenlandse jurisdicties en bevordert tegelijkertijd een omgeving waarin soevereiniteit is ingebed door het ontwerp in plaats van achteraf vastgeschroefd.
Een soevereine toekomst
Naarmate de markt evolueert, verschuift de focus van de vraag of er een soevereine cloud bestaat naar de vraag of deze werkelijk voldoet aan de behoeften van klanten. Lokale hosting- en nalevingsclaims moeten worden getoetst aan jurisdictiecontrole. Clouddiensten moeten vanaf het begin worden ontworpen met het oog op soevereiniteit, waarbij de bestuursstructuren zijn afgestemd op de gegevens die ze beschermen.
Uiteindelijk gaat het debat over de soevereine cloud over meer dan technologie. Het weerspiegelt bredere vragen over vertrouwen, onafhankelijkheid, ontwikkeling van vaardigheden, economische groei, veerkracht en controle in de digitale economie. Voor zowel bedrijven als overheden zal het doorbreken van de hype essentieel zijn om ervoor te zorgen dat soevereiniteit reëel is en niet retorisch.
We hebben de beste bescherming tegen identiteitsdiefstal aangeboden.
Dit artikel is geproduceerd als onderdeel van TechRadarPro’s Expert Insights-kanaal, waar we de beste en slimste koppen in de huidige technologie-industrie in beeld brengen. De hier geuite standpunten zijn die van de auteur en zijn niet noodzakelijkerwijs die van TechRadarPro of Future plc. Als u geïnteresseerd bent om een bijdrage te leveren, kunt u hier meer lezen: https://www.techradar.com/news/submit-your-story-to-techradar-pro
