De discussie over cloud soevereiniteit laait op in Nederland en Europa. Van DigiD en Microsoft 365 tot aan overheidsdiensten die naar Amerikaanse hyperscalers overstappen. De media en politiek zijn in rep en roer en het wordt steeds meer een emotioneel debat. Maar hoe realistisch zijn de eisen voor volledige digitale onafhankelijkheid? En wat zijn de praktische gevolgen voor organisaties?

In deze aflevering van Techzine Talks duiken Erik, Sander en Coen in het complexe vraagstuk van cloud soevereiniteit. De aanleiding is duidelijk: de NOS, Volkskrant en NRC schrijven over de overstap van overheidsdiensten naar Microsoft 365, en er wordt alarm geslagen over Amerikaanse toegang tot gevoelige data. Maar klopt dat beeld wel?

Het DigiD-debat: polarisatie in plaats van nuance

De discussie rondom DigiD en Microsoft 365 illustreert het probleem. In de Tweede Kamer ontstond ophef omdat niemand kon garanderen dat data 100% soeverein is. Maar 100% garanties zijn simpelweg niet mogelijk. “Als je de eis stelt dat het allemaal 100% soeverein moet zijn, dan is DigiD niet beschikbaar,” aldus Sander.

De vraag is of journalisten wel altijd de juiste vragen stellen. Het eisen van absolute zekerheid leidt tot een onmogelijke situatie. Bovendien wordt de discussie veel te emotioneel gevoerd, terwijl een nuchtere risicoanalyse veel zinvoller zou zijn.

Data-soevereiniteit is niet hetzelfde als business continuity

Een cruciaal onderscheid dat vaak over het hoofd wordt gezien: data-soevereiniteit versus business continuity. De eerste gaat over waar data staat en wie er toegang tot heeft. De tweede over de vraag wat er gebeurt als leveranciers de stekker eruit trekken.

Tot voor kort ging het heel veel over data-soevereiniteit en dat hebben veel aanbieders wel opgelost. Steeds meer aanbieders bieden de mogelijkheid alle data te versleutelen en het keymanagement bij de klant neer te leggen. Ook neemt het aanbod van confidential computing toe. Ook als iemand dat toegang zou hebben tot de data kan die er niets mee, want deze is nog steeds versleuteld.

Het probleem verschuift nu naar business continuity: wat als de geopolitieke situatie zo verslechtert dat Amerikaanse bedrijven geen diensten meer mogen leveren aan Europese klanten? Dit is een realistischer scenario dan de vaak aangehaalde Cloud Act-problematiek.

Europese alternatieven: de harde realiteit

Proton, Nextcloud, LibreOffice, Mistral AI, er zijn wel wat Europese alternatieven. De vraag is alleen zijn die volwaardig genoeg? Vaak is dat niet het geval en dat is de vraag, hoe groot is de stap die je terugzet in productiviteit en efficiëntie? Het beste zou natuurlijk zijn als we in Europa met zijn allen zouden kiezen voor Europese alternatieven, want dan krijgen die organisaties de middelen om meer te investeren en hun oplossingen te verbeteren en nog competitiever te worden met de Amerikaanse tegenhangers. Dat lijkt echter een utopie, want organisaties willen beter en efficiënter werken en niet eerst een stap terug doen.

Als we kijken naar cloudinfrastructuur is er ook nog werk aan de winkel. Een representant van BIT stelde dat 80% van wat hyperscalers bieden ook in Europa kan. Maar de cruciale vraag is: hoeveel organisaties hebben die andere 20% hard nodig? “DDOS-bescherming op hoog niveau bestaat gewoon niet in Europa,” constateert Coen. Ook hoogwaardige AI-infrastructuur, onbeperkt opschalen, en geavanceerde security-features ontbreken vaak bij Europese alternatieven.

Als we dat gat willen dichten is er een enorm investeringsgat. AWS heeft alleen al in Europa naar eigen zeggen meer dan 200 miljard dollar geïnvesteerd over de afgelopen 20 jaar. Bij Google en Microsoft gaat het ongetwijfeld om gelijkwaardige bedragen. Dat soort platformen kan je als Europa niet in een paar jaar evenaren. Ook is het de vraag wie dat gaat betalen?

Duitsland loopt voorop met soevereine oplossingen. Delos, een dochteronderneming van SAP, biedt een complete cloud-omgeving waar de Duitse overheid gebruik van maakt. Ze kunnen zelfs Microsoft 365 aanbieden zonder tussenkomst van Microsoft zelf. Ook StackIT van de Schwarz-groep biedt soevereine diensten aan, waaronder Google Workspace. In Nederland ontbreekt dit soort aanbod grotendeels. In Nederland zijn er geen spelers op dat niveau, de vraag is waarom de Nederlandse overheid niet in gesprek gaat met deze Duitse partijen. We horen uit de markt dat elk Europees land zo zijn eigen eisen heeft voor een soevereine cloudomgeving. Het schijnt enorm lastig te zijn om de Europese lidstaten zover te krijgen dat ze akkoord gaan met één uniform Europese ontwerp voor een cloudomgeving.

Moet alles wel soeverein?

Het mag duidelijk zijn dat een volledige soevereine cloud vrijwel onmogelijk is, maar daarnaast is het ook een stuk duurder. Het is verstandiger voor organisaties om te kijken naar hun specifieke behoeften. De niet-kritieke workloads, misschien wel 70-80% van alle systemen, moeten die wel in een soevereine cloud? Die kunnen in principe overal draaien. “De dagelijkse line of business moet in principe doordraaien,” stelt Coen. Het gaat om de kritieke en meest essentiële workloads, die moeten altijd beschikbaar zijn en in geval van calamiteiten snel kunnen worden hersteld.

Het echte werk zit dan ook in het identificeren van kritieke businessprocessen en infrastructuur. Iets wat veel organisaties nog steeds niet gedaan hebben. Als dat wel gedaan is, inclusief een gedegen risicoanalyse. Dan kan je keuzes gaan maken voor een sovereine cloud.

Praktische aanbevelingen voor organisaties

Wat moeten CIO’s en IT-beslissers nu doen? Allereerst: niet meegaan in de emotionele, polariserende discussie. Maak een nuchtere risicoanalyse:

1. Identificeer je kritieke businessprocessen en data

2. Bepaal welke workloads echt soeverein moeten draaien

3. Accepteer dat 100% soevereiniteit niet realistisch is

4. Focus op business continuity voor kritieke systemen

5. Overweeg Duitse soevereine oplossingen voor gevoelige workloads

6. Niet-kritieke workloads kunnen blijven staan, maar zorg wel voor een uitwijkplan

7. Neem contractueel op dat je weg kunt bij overname door niet-Europese partij

De toekomst: investeren in Europese technologie

Wil Europa minder afhankelijk worden, dan is investeren noodzakelijk. Niet via subsidies per se, maar wel via een beter investeringsklimaat. In Amerika staat venture capital klaar voor startups, in Europa zijn er eindeloze regels en moet er binnen drie jaar winst zijn. Bedrijven als Mistral AI verdienen meer Europese backing. ASML heeft geïnvesteerd, maar meer grote Europese bedrijven zouden moeten volgen. Ook kijken naar DeepSeek’s aanpak, meer bereiken met minder middelen, kan waardevol zijn.

Tegelijkertijd moet Europa uitkijken voor protectionisme. De discussie mag niet eindigen bij “alleen maar Europese cloud-leveranciers”, want dan krijg je ook roepen om Europese security, Europese IT-servicemanagement, enzovoort. Dat leidt niet tot best-of-breed oplossingen.

Conclusie: nuance en realisme

De soevereiniteitsdiscussie is belangrijk, maar wordt te emotioneel gevoerd. Media scoren met pakkende koppen over Amerikaanse toegang tot Nederlandse data, terwijl de technische realiteit genuanceerder is. Data-soevereiniteit is grotendeels opgelost door hyperscalers met Europese regio’s en encryptie. Business continuity is het grotere risico.

Organisaties moeten ophouden met denken in absolutismen. Niet alles hoeft 100% soeverein, niet alles kan bij hyperscalers. Een gedifferentieerde aanpak op basis van risico-analyse is verstandiger dan een emotionele keuze voor of tegen Amerikaanse technologie.

Europa en Amerika hebben elkaar nodig, zowel economisch, technologisch als geopolitiek. Volledige ontkoppeling is niet realistisch en waarschijnlijk ook niet wenselijk. Wel is meer Europese autonomie op kritieke punten zinvol, mits ondersteund door realistische investeringen en een beter innovatieklimaat.

