altitudes® Cloud · Platform · AI Amsterdam · Rotterdam --:--
REGULATORY22 JUN 20268 min lezen
[INZICHT] / REGULATORY _

Soevereine cloud is een inkoopbeslissing, geen regio-instelling.

Soevereine cloud is in de laatste achttien maanden een inkoopcategorie geworden. De vragen van de koper niet. EU-regioselectie is het eerste antwoord waar de meeste teams naar grijpen, en het enige. Het is zelden het juiste antwoord voor de workload die het gesprek startte. De juiste vragen liggen boven regioselectie: wie beheert de encryptiesleutels, wie beheert de operator, en welk recht is van toepassing als een buitenlandse aanklager of een EU-toezichthouder een brief schrijft.

Soevereine cloud is een inkoopbeslissing, geen regio-instelling.

Wat kopers meestal vragen, en waarom het onvolledig is

De gebruikelijke inkoopvraag is: staat de data in de EU? De leverancier bevestigt een EU-regio voor opslag en compute. Inkoop vinkt het vakje af. Het contract gaat naar legal voor een standaard toets op de Standard Contractual Clauses (SCC). Klaar.

Het probleem met daar stoppen is het recht. De Amerikaanse CLOUD Act (Clarifying Lawful Overseas Use of Data Act) kan elke in de VS gevestigde cloudleverancier, inclusief de EU-dochters en de 'sovereign cloud'-aanbiedingen, dwingen om klantgegevens te overleggen op een geldig Amerikaans juridisch verzoek, ongeacht waar de gegevens fysiek staan. Microsoft rondde zijn EU Data Boundary af in februari 2025. AWS lanceerde zijn European Sovereign Cloud in Brandenburg in januari 2026. Beide verbeteren residentie. Geen van beide haalt de leverancier weg uit de Amerikaanse jurisdictie.

De EU beweegt de andere kant op. Het EU Cybersecurity Certification Scheme for Cloud Services (EUCS) is al jaren onderwerp van debat; de criteria voor soevereiniteit en immuniteit-tegen-buitenlands-recht op het hoogste assurance-niveau zijn toegevoegd, weer geschrapt en deels heroverwogen. Het Cybersecurity Act 2.0-voorstel van januari 2026 zet dat werk voort. Parallel daaraan tekende de Nederlandse overheid in april 2026 haar eerste contract met een Duitse soevereine leverancier (StackIT), met clausules over eigendomswijziging buiten Europa vastgelegd in de overeenkomst. Het gesprek is verschoven van 'waar staat de data' naar 'welk recht is van toepassing'.

De vier lagen van soevereiniteit

Soevereiniteit is niet één eigenschap. Het zijn vier eigenschappen, en een leverancier kan sommige aanbieden zonder de andere. Vragen naar één laag en aannemen dat de rest volgt, is de meest voorkomende inkoopfout.

Laag één: dataresidentie. De data wordt opgeslagen en verwerkt in de EU. Microsoft, AWS, Google, OpenAI en Anthropic bieden dit allemaal. Het voldoet aan de AVG-overdrachtsmechaniek. Op zichzelf voldoet het verder aan niets.

Laag twee: sleutelbeheer. De encryptiesleutels worden door de klant beheerd, in een door de klant gecontroleerde hardware security module (HSM), waarbij de leverancier technisch niet in staat is data te decrypten in rust of in transit. Dit is bring-your-own-key met hold-your-own-key (BYOK plus HYOK), gecombineerd met confidential computing voor het runtime-pad. Het verhoogt de drempel voor afgedwongen openbaarmaking: de leverancier kan ciphertext overhandigen, geen plaintext.

Laag drie: operationele soevereiniteit. Het control plane, het supportpersoneel en de fysieke toegang zijn beperkt tot EU-ingezetenen onder EU-recht. AWS European Sovereign Cloud is het bekendste voorbeeld onder de Amerikaanse aanbieders. EU-leveranciers zoals OVHcloud, Scaleway, IONOS Cloud, StackIT en T-Systems bieden dit vanaf dag één. Het personeel van het control plane kan niet worden gedwongen door een Amerikaans dwangbevel omdat het buiten Amerikaans bereik staat.

Laag vier: jurisdictionele soevereiniteit. De rechtspersoon die het klantcontract houdt, is niet in Amerikaans eigendom en niet in de VS gevestigd. Dit is de enige laag die de CLOUD Act-leemte sluit. AWS ESC, ondanks operatie met EU-personeel, is een honderd-procent-dochter van Amazon.com Inc. Microsoft Cloud for Sovereignty is een Microsoft-product. Een leverancier kan lagen één, twee en drie aanbieden zonder verandering bij de moedermaatschappij. Laag vier vereist een niet-Amerikaanse entiteit.

De vragen die thuishoren in het inkoopdossier

Voor elke workload boven een gewone gevoeligheidsdrempel moet de koper de volgende vijf vragen aan de leverancier stellen voor ondertekening. Ze horen thuis in de request for proposal (RFP) en het contractaddendum, niet in een zijgesprek.

Eén: waar staat de data opgeslagen, waar wordt het verwerkt, en waar zitten de support-engineers die het kunnen benaderen? Drie antwoorden, geen één. De meeste contracten beantwoorden de eerste en laten de andere twee impliciet.

Twee: wie houdt de encryptiesleutels, en kan de leverancier klantgegevens technisch decrypten zonder medewerking van de klant? Als het antwoord is 'wij beheren de sleutels in onze HSM,' kan de leverancier decrypten. Stap over op BYOK met een door de klant gecontroleerde HSM als de workload dit rechtvaardigt.

Drie: welke rechtspersoon houdt ons contract, en wat is de uiteindelijke moedermaatschappij? Lees het land van vestiging van de moeder, niet het adres van de regionale dochter. Het contract noemt de dochter; de openbaarmakingsverplichtingen volgen de moeder.

Vier: wat is het gepubliceerde proces als de leverancier een buitenlands overheidsverzoek om data ontvangt dat in strijd is met EU-recht? De eerlijke leveranciers publiceren het. De oneerlijke antwoorden met 'we hebben een lange geschiedenis van het weerstaan van dergelijke verzoeken.' Dat is een uitspraak, geen proces.

Vijf: onder welke voorwaarden, en binnen welk tijdsbestek, kunnen wij het platform verlaten en onze data en operationele staat herstellen? Soevereine cloud zonder een geloofwaardige exit-clausule is soevereine cloud alleen op papier.

"Het contract noemt de dochter. De openbaarmakingsverplichtingen volgen de moeder."

Sebastiaan van Parijs / Founder

Drie workloads waar het antwoord verschilt

Marketinganalytics, interne kennis-zoekfunctie en customer-support-tooling passen prima bij een in de VS gevestigde leverancier met een EU-regio en het juiste Hoofdstuk V-mechanisme. Het risicoprofiel is gewone persoonsgegevens. Verder gaan is betalen voor bescherming die de workload niet nodig heeft.

Gereguleerde financiële diensten, gezondheidsdossiers, HR-gegevens onder OR-toezicht en EU-defensie-gerelateerde gegevens zitten in een andere bak. Het risicoprofiel is gevoelige persoonsgegevens en handelsgeheimen, met nationale-veiligheidsaccenten in het defensie-geval. Voor deze workloads is BYOK met door de klant beheerde sleutels het minimum. Voor de meest gevoelige subset is een niet-Amerikaanse leverancier het antwoord. De kostenpremie is reëel en de moeite waard.

Overheidsworkloads en EUCS-High-kandidaten zitten in de derde bak. Verschillende lidstaten schrijven vrijheid van buitenlands afgedwongen openbaarmaking in hun inkoopcriteria, met de Nederlandse StackIT-deal als recent voorbeeld. AWS ESC en Microsoft Cloud for Sovereignty halen die lat vandaag niet. De realistische kandidaten zijn OVHcloud, IONOS Cloud, Scaleway, T-Systems' Open Sovereign Cloud, StackIT en een klein aantal nationale leveranciers. De afweging is verminderde feature-breedte tegenover volledige jurisdictionele controle.

Als je dit tegen je eigen omgeving wilt toetsen

Wij helpen Europese mid-market- en enterprise-teams om het soevereiniteitsgesprek van een slide naar een inkoopgereed standpunt te brengen. Twee outputs. Een één-pagina-mapping van elke workload naar een van drie soevereiniteitsniveaus, met de kolommen residentie, sleutelbeheer, operator en jurisdictie ingevuld. Een aangescherpte vragenlijst voor leveranciers, klaar voor de volgende inkooprondes, plus een concept-addendum dat je juridische team kan inbrengen bij bestaande contracten.

Het gesprek is meestal korter dan kopers verwachten. Het meeste werk is eerlijke classificatie. Zodra de niveaus zijn opgeschreven, volgen de architectuurkeuzes zonder discussie.

Als je tegen een soevereiniteitsvraag aanloopt en de antwoorden niet kloppen, schrijf ons. Eén gesprek, één geschreven samenvatting, geen slidedeck.

Geschreven door Sebastiaan van Parijs Founder
[VERDER PRATEN]

Herken je dit in je eigen platform? Eén gesprek, één geschreven samenvatting.