Organisaties hebben niet voor niets de cloud omarmd. Nu volgt een schrikreactie: adoptie heeft geleid tot afhankelijkheid, met nu de drang deze af te laten nemen. Met welke (soms onverwachte) gevolgen moeten bedrijven en de publieke sector rekening houden bij hun streven naar digitale soevereiniteit? Experts van Thales, Rubrik, Eurofiber, Dynatrace en Cloudera delen hun visie hierover.
De huidige adoptie van Big Tech-diensten is vrijwillig geweest. Werkpleksoftware, dataplatformen en talloze andere clouddiensten bleken het aantrekkelijkst om af te nemen bij Microsoft, Google of Amazon. Met andere woorden: organisaties hebben hun digitale huis gebouwd in de cloud, aldus Frank Beerlage, Managing Director Benelux van Cloudera, maar de hyperscalers hebben de voordeursleutel. Dat huis is geleidelijk opgebouwd, legt hij uit, met lucratieve cloudcontracten die fors verbruik voordelig maakten. Nu organisaties de digitale controle weer willen opeisen, kan een pijnlijke verhuizing volgen. “Iedereen wil graag soeverein zijn, maar niemand wil het worden,” zegt Beerlage.
Guido Gerrits, VP IAM Sales Europe bij Thales, erkent dat er frictie bestaat bij de overgang naar soevereine oplossingen. “Daar staat tegenover dat je flexibeler wordt en de vendor lock-in afneemt. Maar je zal ook je personeel moeten omscholen.” Daarover later meer.
Niet zomaar wegrennen
De timing is uiterst ongelukkig. Juist nu de schaal van de public cloud inspeelt op de opkomst van AI en hardwarekosten de pan uitrijzen, suggereert de soevereiniteitswens dat eigen infrastructuur een vereiste is. Ook de meest geavanceerde AI-modellen, enkel beschikbaar via cloudgedreven API’s, zijn moeilijk verenigbaar met soevereiniteit. “Onze bedrijven gaan AI nodig hebben om competitief te blijven,” constateert Chris Geebelen, werkzaam als Solutions Engineering Director Benelux, Nordics, Eastern Europe & Iberia bij Dynatrace. “We zitten op een wereldmarkt, niet op een eiland in Europa. Amerikaanse bedrijven hebben zoveel toegang tot hardware, software en diensten dat ze razendsnel ontwikkelen. Onze bedrijven kunnen niet achterblijven.”

Niet zomaar wegrennen van de cloud en niet-Europese oplossingen dus. Een zekere erkenning van de realiteit anno 2026 is nodig. Maar Filip Verloy, Field CTO EMEA & APJ bij Rubrik, nuanceert de aanname dat overal toegang tot AI-topmodellen nodig is. “Een ziekenhuis heeft een frontier-model helemaal niet nodig om op een scan te zien of er een ziekte is. Die use case is totaal anders, en daar is wél privédata voor nodig.” Desondanks denkt Verloy dat Europa zich wél achter de oren moet krabben om competitief op het gebied van AI te zijn. “Tegelijkertijd kun je je afvragen: waar komt de innovatie van de frontier labs vandaan? Niet van onze kant.”
Kopzorgen die nog lang gevoeld worden. Toch moeten we als Europeanen er niet vanuit gaan dat de soevereiniteitswens, indien onvervuld, weer eenvoudig verdwijnt. “Er is een deurtje geopend dat niet meer dichtgaat,” zo stelt Ivo Veerman, Sales Director bij Eurofiber Cloud Infra.
De aanbestedingsparadox
Dat de wens blijft, betekent niet dat de uitvoering soepel verloopt. Soms botst soevereiniteit frontaal met het Europese instinct om alles netjes te regelen. Beerlage haalt busbouwer VDL aan, die met fors overheidsgeld een productielocatie in België opende — waarna een Europese aanbesteding voor nieuwe bussen alsnog naar een goedkopere Chinese fabrikant ging. “Aan de ene kant proberen wij werkgelegenheid te stimuleren, en tegelijkertijd hebben we strikte aanbestedingsregels waardoor we bij de Chinezen moeten kopen,” zegt hij. Daarin ziet hij een structurele neiging onder Europeanen met soms problematische gevolgen. “Wij willen alles eerlijk en netjes doen. Dat is goed, maar je moet ook niet naïef zijn.”
De druk komt bovendien uit onverwachte hoek. Verloy schetst een grijze zone rond de Schwarz Group, het Duitse moederbedrijf van zowel Lidl als cloudaanbieder STACKIT. “Lidl heeft honderdvijftig winkels in de Verenigde Staten. Is er een economische link waarbij in Amerika besloten wordt: als jullie hier zaken willen blijven doen, dan wordt dit een interessant drukmiddel voor ons?” Voor Veerman bewijst die dynamiek vooral dat de markt het hier niet vanzelf oplost: “Als je de markt vrijlaat, gebeurt dit. Er is dus kennelijk een interventie vanuit de overheid nodig.”

Consequent zijn we daarbij zelf niet, relativeert Veerman: “Het is bekend dat Huawei-apparatuur nog steeds in vele netwerken wordt gebruikt.” En het is bovendien geen exclusief Europese kwestie. “Soevereiniteit is een mega-onderwerp in Amerika,” merkt Beerlage op, alleen valt het daar makkelijker op te lossen, en krijgt het wellicht een andere naam. “Voor hen is Microsoft soeverein,” voegt Veerman droog toe. Of digitaal autonoom, of onafhankelijk, zo u wilt.
Als de stekker eruit gaat
Het meest concrete gevaar is dat alle clouddienstverlening plotseling verdwijnt. Dat is veelal theorie, maar wordt soms werkelijkheid. Veerman wijst op de Amsterdam Trade Bank (ATB). Toen die onder de Rusland-sancties viel, werden de Microsoft-accounts volledig geblokkeerd. Kort erna was ATB bankroet. “Microsoft deed daar beveiligingstechnisch niets verkeerd; ze handelden naar een internationale boycot waar we als maatschappij achter staan,” zegt Veerman. “Maar het heeft desastreuze gevolgen gehad voor het bedrijf.”
Waarom dat zo gevoelig ligt, zit in de juridische werkelijkheid. De hyperscalers kunnen verklaren dat zij nog nooit Europese data overhandigden onder de Amerikaanse Cloud Act, ook al is dit nooit te garanderen. De Patriot Act en sectie 702 van de FISA zijn al helemaal een black box, omdat er een zwijgplicht voor geldt. Het tegengif noemt Verloy operationele soevereiniteit: “Als de mensen die de omgeving lokaal beheren een verzoek krijgen vanuit de Cloud Act, dan kunnen zij daar legaal gezien niet eens aan voldoen.” De bescherming zit dan in de keten zelf. Enkel een contractuele belofte is niet genoeg.
Maar de stekker hoeft niet eens politiek te zijn. Ook een doodgewone storing legt de rekening bij de organisatie zelf. Cloudspelers zijn voor sommige organisaties verantwoordelijk voor het draaien van praktisch alle IT-workloads. Dat betekent niet dat ze direct aansprakelijk zijn voor downtime, configuratiefouten of andere problemen. Een soevereine IT-infrastructuur of niet, de organisatie zelf blijft werkelijk verantwoordelijk. Veerman stelt dat nieuwe wetgeving zoals de vertaling van de NIS2-richtlijn organisaties aan het denken moet zetten. “Bestuurders zijn nu persoonlijk aansprakelijk als je niet compliant bent. Dat is nogal wat. Waar security en IT vroeger een kostenpost waren, geeft die persoonlijke aansprakelijkheid plus de dreiging van gigantische boetes nu een enorme impuls om soevereiniteit serieus te nemen.”
Kroonjuwelen
Dit gaat gevolgen hebben voor waar data staat. “Het begint met de vraag: wat zijn mijn kroonjuwelen? Heb ik regie, heb ik controle?” zegt Veerman. “En: what if? Als je dat vanaf daar afhankelijkheden blijft afpellen en de risico’s inzichtelijk maakt, wordt vanzelf duidelijk waar je jezelf kunt verbeteren.” Gerrits van Thales kan zich vinden in deze inschatting. “Wat zijn mijn kritieke processen, wat is mijn afhankelijkheid, en is die afhankelijkheid acceptabel of moet ik me daarop aanpassen?”

Geebelen ziet dat het antwoord op die vragen veelal minder prettig is dan je zou hopen. “Wij geven klanten de visibility om te zien wat er draait en waar de afhankelijkheden zitten, want een IT-omgeving is vaak één grote spaghetti. Welke componenten draaien waar, en wat is de impact als je iets verplaatst of als het uitvalt?”
Die uitval, meestal gedeeltelijk of op zijn minst van korte duur, is eenvoudig uit te besteden. De schuld geven aan een rood kleurend dashboard bij een cloudspeler is echter veel te makkelijk. Het terugtrekken uit de cloud naar eigen IT-infrastructuur betekent dat er opnieuw moet worden nagedacht over beschikbaarheid en de omgang met uitval. “Disaster recovery is iets waar niemand het over wil hebben, net als soeverein willen worden,” zegt Beerlage van Cloudera. Hij constateert dat er al gauw op deze kritieke taak wordt beknibbeld. Het is en blijft een abstracte oplossing voor een theoretisch probleem; tot de uitval werkelijk plaatsvindt.
Heropleving on-prem
De heroverweging door de soevereiniteitsdiscussie verplaatst het zwaartepunt van de data op een meetbare manier. “Van alle data staat nu zo’n 60 tot 65 procent in de cloud,” zegt Beerlage. Ooit, zo stelt hij, was een groei naar 95 procent reëel. “Dat gaat niet meer gebeuren. Misschien gaan we langzaam naar 50-50, waarbij de vertrouwelijke, AI-gevoelige data on-premises komt en de salesrapportages in de cloud blijven.” Bij kritieke infrastructuur is die keuze soms al een harde eis. Gerrits ziet het in zijn eigen pijplijn: “We zien al migraties van Amerikaanse access-managementoplossingen naar Europese.” Met name landen in de Nordics en nu ook de Benelux lopen op dit gebied voorop, zegt hij.
Die terugkeer maakt fysieke infrastructuur opeens weer interessant. Datacenters zijn weer hot voor organisaties, stelt Veerman. “De vraag trekt enorm aan, en dat zijn niet alleen de hyperscalers en AI, maar ook gewoon bedrijven die hun IT-infrastructuur deels zelf willen regelen.” Aan kapitaal ontbreekt het niet, vult Beerlage aan: van grote private equity als KKR en EQT tot het Noorse staatsfonds, “de grootste investeerder ter wereld. Als dat soort partijen achter deze uitbouw gaan staan, is dat meer dan genoeg.” Tegelijk verschuift het probleem mee. Wie namelijk van Azure naar een Europese aanbieder gaat, ruilt de ene afhankelijkheid in voor de andere. Beerlage ziet daar meteen een nieuwe markt: “Dataplatform-managers waarmee je vijf of zes verschillende cloudomgevingen centraal beheert. Je bepaalt dan zelf welke gegevens waar draaien.”
Soeverein versus AI
Bij dat alles wringt één onderwerp het hardst, en laat dat nu net het meest actuele tech-thema zijn. “Soeverein versus AI is een strijd,” vat Beerlage samen. De kern van die strijd is de data, niet het model. “Een zelflerend model heeft op zichzelf geen waarde; er moet data op zitten,” legt hij uit. “En als je dat combineert met dataopslag, is het op z’n minst verrassend dat ze in de zorg patiëntgegevens in ChatGPT plakken. Dat is even makkelijk een Excel-sheet uploaden. Het model wordt buiten Europa getraind, en de data wordt opgeslagen.” Het gevolg laat zich raden: “We gaan nog heel veel breaches zien.” Sommige organisaties trekken inmiddels een harde grens. “Letterlijk een lijst: gebruik je deze software, dan word je per direct ontslagen.”

Het kan ook anders, benadrukt Veerman, en in de zorg is dat geen detail. “Het is mogelijk om mammografieën of scans door AI te laten beoordelen, maar dan in een afgesloten omgeving waar niemand bij kan.” Oftewel: private AI. Zijn ondergrens is helder: “AI is here to stay, het is disruptief en belangrijk. Maar als je het niet veilig adopteert, is het wat mij betreft geen optie meer.” En de volgende generatie problemen tekent zich al af, waarschuwt Beerlage: “Met agentic systemen krijg je agents die andere agents aansturen. Binnen een mum van tijd maken ze een enorme rotzooi, simpelweg omdat ze de verkeerde data gebruiken.” Dit wijst op het belang van digitale controle in een meer algemene zin dan alleen de aanbieder.
Bereid zijn een prijs te betalen
Soevereiniteit is dus zelden gratis; de rekening komt in functionaliteit en, tijdelijk, in geld. Zoals Gerrits in het begin al aanstipte: de overgang komt met frictie: “misschien wat minder functionaliteit en tijdelijk wat hogere kosten.” Dat zelfs de hyperscalers de volledige prijs niet betalen, illustreert Verloy met AWS: “Die heeft een sovereign cloud, maar in werkelijkheid is dat een partitie ergens in Baden-Württemberg met twee availability zones. Zelfs AWS kan zich niet eens loskoppelen van zijn eigen commerciële cloud.” Desalniettemin rekenen hyperscalers regelmatig flink hogere prijzen voor hun soevereine opties.
Het grootste risico is uiteindelijk de optelsom van afhankelijkheden. Een losse SaaS-applicatie als Microsoft 365 of Salesforce valt nauwelijks te ontlopen. De wildgroei daaromheen is echter nooit beperkt gehouden omdat soevereiniteit jarenlang geen belangrijk thema was. Beerlage beschrijft hoe het sluipt: een dataplatform begint met een klein project, maar breidt geleidelijk uit totdat het de overgrote meerderheid van de bedrijfsdata huisvest. “Eén zo’n systeem maakt je niet chantabel. Maar de combinatie van al je gegevens bij elkaar in één dataomgeving, dat maakt je chantabel.” Of, in een wat minder dramatisch klinkende vorm maar ook zorgwekkend: afhankelijk.
Conclusie
Waar de soevereiniteitsdiscussie naartoe gaat, daarover lopen de meningen uiteen. Maar niemand aan tafel verwacht een terugkeer naar af. Beerlage acht het een kwestie van tijd voordat de wetgeving zelf hard wordt. Een drastisch voorbeeld is Turkije, dat strenge mandaten heeft vastgelegd om persoonlijke data vrijwel altijd binnen de landsgrenzen houdt
Gerrits ziet de onderliggende beweging onverminderd doorzetten. “Europa en Amerika groeien steeds verder uit elkaar, en die trend stopt voorlopig niet.” Hij ziet dat de stap naar verdere soevereiniteit blijft komen. Zijn boodschap aan organisaties die tot de kritieke infrastructuur behoren, is dat zij ten minste hun kritieke processen en data moeten inventariseren en hier gericht maatregelen voor moeten treffen. Beerlage acht het nog onzeker wat de werkelijke opbrengst gaat worden van deze digitale ambities. Europa is een economisch zwaargewicht, en “ook al maken we maar 10 à 15 procent van ons continent soevereiner, dat zou al heel goed zijn. Twee jaar geleden was dit alles nog een gedachteoefening.” Die tijden zijn voorbij.
Lees ook: Digitale soevereiniteit: van idealistische theorie naar harde praktijk