De behoefte binnen de EU aan een soevereine cloud is groot. De vrees is alom aanwezig dat vertrouwelijke data in verkeerde handen vallen of dat de Amerikaanse regering een provider dwingt een klant van diensten af te snijden. Maar de one-fits-all-oplossing bestaat niet, het hangt helemaal van de situatie af welke oplossing het beste is.
Dit blijkt vandaag tijdens de European Sovereign Cloud Day 2025 in Brussel. Het evenement brengt de tech-industrie en beleidsmakers samen om de Europese vooruitgang te onderzoeken bij het ontwikkelen van soevereine cloudoplossingen om digitale zelfredzaamheid te vergroten.
Begrip
David Michels, onderzoeker bij het Cloud Legal Project van de Queen Mary University of London, zegt dat er meerdere definities zijn van het begrip ‘soevereine cloud’, en ook verschillende manieren om Europese data te beschermen. Een soevereine cloud kan drie dingen betekenen: de klant is autonoom, óf een buitenlandse regering heeft geen controle over de data, óf strategische autonomie, en aldus kan Europa onafhankelijk handelen. Zijn we overgeleverd aan Amerikaanse leveranciers, dan is de regering-Trump in staat providers voor haar karretje te spannen.
De meest vergaande vorm van autonomie is alles weer in-house te doen. Maar on-premisse mis je een aantal voordelen van de cloud zoals de toegang tot de laatste technologie of de mogelijkheid tot snelle opschaling. De tweede vorm is een EU-cloud. De derde is samenwerking tussen Europese en Amerikaanse providers waarbij de data geïsoleerd blijven maar de software vooral Amerikaans is. Het Franse Bleu (Microsoft en Orange) en de Duitse samenwerking tussen Arvato, SAP en Microsoft zijn daar voorbeelden van.
De vierde vorm is US Hyperscaler Plus. Microsoft, AWS en Google rollen voor Europese klanten soevereiniteitsprogramma’s uit in een reactie op vrees voor lekkage van data naar Trump of stopzetting van dienstverlening om politieke redenen. Volgens Michels is het een misverstand te denken dat Amerikaanse providers de soevereiniteit van data kunnen garanderen als ze via een afzonderlijke dochter werken die in de EU is gevestigd of een Europese raad van bestuur hebben. Ze blijven dan onder de Amerikaanse jurisdictie vallen. Technische maatregelen zoals geavanceerde versleuteling werken beter. Als de provider geen toegang tot de data heeft, kan deze de gegevens niet overdragen tot de Amerikaanse regering. Behalve in-house-oplossingen werken de andere arrangementen alleen goed onder bepaalde condities om soevereiniteit als klant te krijgen, stelt Michels.
Levensvatbaarheid
Bedrijven en instellingen moeten geval voor geval bekijken wat voor hen het beste werkt. Daar spelen twee factoren mee: de wenselijkheid van een bepaalde oplossing en de levensvatbaarheid. Als de kosten redelijk zijn, is zo’n alternatief haalbaar. Er is geen universele oplossing die altijd geldt. Het hangt maar net van de sector en het soort data af hoe goed een oplossing werkt.
Ten slotte hamert Michels op actief risicobeheer, een proactieve benadering waarbij risico’s worden geïdentificeerd en verzacht voordat ze uitgroeien tot echte problemen. De verdere opkomst van artificiële intelligentie maakt de behoefte aan een soevereine cloud nog urgenter, aldus Michels. Want dan wordt het nog belangrijker dat (persoonlijke) data vertrouwelijk blijven en diensten niet om politieke redenen worden stopgezet zoals Microsoft deed bij het account van de hoofdaanklager van het Internationale Strafhof in Den Haag.
Martin Hosken, field CTO voor cloud providers bij Broadcom/VMware, besloot het evenement in Brussel met de opmerking dat datasoevereiniteit niet hetzelfde is als ‘data residency’. Als data buiten de VS worden opgeslagen en verwerkt, zijn ze nog niet veilig voor de Amerikaanse overheid. Cruciaal is de jurisdictie waaronder gegevens vallen. Als er geen autoriteit over data is, is er geen soevereine cloud.
Ai-race en EU Cloud and AI Development Act
Manuel Mateo Goyer, bij DG Cnect van de Europese Commissie verantwoordelijk voor cloud en software, zegt dat cloud en edge computing essentieel zijn wil het Europese bedrijfsleven de ai-race blijven volgen. High-performancecomputers en hardware in datacenters die ‘s nachts buiten gebruik zijn, moeten in de stille uren worden ingezet voor het trainen van ai-modellen.
Rekenwerk voor ai-modellen om voorspellingen te doen op basis van nieuwe data stuwen de vraag naar gedecentraliseerde computercapaciteit dichtbij de databron op. In 2023 slokten ai-workloads wereldwijd acht procent van de totale datacenter-capaciteit op. In 2028 wordt dat al vijftien tot twintig procent. Europa kent enorme uitdagingen om voldoende capaciteit bij te bouwen.
Het ontbreekt aan beschikbare sites, de toegang tot kapitaal is beperkt, vergunningen zijn moeilijk te krijgen en energie en water zijn een probleem. Gigantische investeringen in de VS en China zorgen voor extra concurrentiedruk.
De EU Cloud and AI Development Act is het antwoord hierop. Deze wet beoogt meer r&d in duurzame datacenters, software en diensten. In de komende vijf tot zeven jaar moet de Europese capaciteit voor de verwerking van data ten minste verdrievoudigen, wil in 2035 aan de behoeften kunnen worden voldaan. Derde pilaar onder deze wet is autonomie. EU moet de juiste voorwaarden scheppen om eigen, streng beveiligde cloudcapaciteit te krijgen voor kritieke gebruikstoepassingen. Verder moeten meer leveranciers een kans krijgen, zo besluit de EU-topambtenaar.
Soevereiniteit gaat om de juridische zeggenschap, nationaal of supranationaal. Want je kunt geen autonomie prediken als je door eerdere afspraken gebonden bent. Europa kan dan ook nooit digitaal onafhankelijk worden als we militair, sociaal en economisch met Amerika verbonden zijn. Data geïsoleerd maar de software (en hardware) vooral Amerikaans gaat dan ook niet om de cloud maar om de versleuteling. Europa moet, als het serieus over digitale soevereiniteit spreekt, daarom inzetten op:
1. Eigen cryptografische standaarden (post-quantum, open source).
2. SaaS-oplossingen die echt Europees zijn van stack tot sleutel.
3. Beëindiging van de afhankelijkheden in strategische sectoren.
4. Juridisch herziening van verdragen die toegang tot data verplichten.
Er is maar één oplossing: alles terughalen naar on-premise waarbij het in een datacentrum staat van een bedrijf welke niet direct of indirect eigendom is van een Amerikaans bedrijf.
Snelle schaalbaarheid is niet relevant voor de meeste bedrijven en kan trouwens ook door lokale providers worden aangeboden. Zo kan je met een schuifregelaar vaak het aantal CPU’s, RAM en hard disk capaciteit vergroten bij de meeste VPS providers.
Zelf meer doen kost tijd, mankracht en geld maar is het uiteindelijk waard. Je wil toch niet het risico lopen dat je als bedrijf niet meer bij je programmatuur en data kan omdat je wat lelijks heb gezegd over de Amerikaanse president?
Ditzelfde geldt overigens ook voor zakendoen met China.