BLOG – EU-beleidsdocumenten lezen doorgaans alsof ze zijn geschreven door een commissie van juristen die te veel espresso hebben gedronken en achter hun toetsenbord alsnog in slaap zijn gevallen. Maar zie, met het EU Cloud Sovereignty Framework zet de Europese Commissie een belangrijke stap in het concretiseren van digitale soevereiniteit. Waar het begrip ‘sovereign cloud’ lange tijd diffuus en marketinggedreven was, introduceert dit framework voor het eerst een gestructureerde en toetsbare benadering.
Jarenlang was ‘sovereign cloud’ een term zonder betekenis. Iedere cloudprovider claimde het, niemand kon het definiëren, en klanten hadden geen manier om claims te verifiëren. Het nieuwe Cloud Sovereignty Framework (het volledige stuk is hier te lezen) verandert dit door twee complementaire beoordelingssystemen te introduceren.
Allereerst is er het Sovereignty Effectiveness Assurance Level (Seal), dat fungeert als harde ondergrens. Leveranciers die het vereiste niveau niet halen, worden uitgesloten van deelname. De niveaus lopen van volledige afhankelijkheid van niet-EU jurisdicties (Seal-0) tot volledige EU-controle zonder kritieke externe afhankelijkheden (Seal-4).
Daarmee introduceert de Commissie een mechanisme dat vooraf selecteert op minimale soevereiniteit, in plaats van dit achteraf mee te wegen.
Vervolgens differentieert de Sovereignty Score tussen gekwalificeerde aanbieders. Deze score is gebaseerd op acht dimensies, waaronder strategische, juridische, operationele en supply chain-soevereiniteit. De weging van deze dimensies maakt expliciet welke aspecten het zwaarst wegen, met name de controle over de toeleveringsketen.
Twee factoren
De effectiviteit van het framework zal in de praktijk afhangen van twee factoren.
Ten eerste het gekozen SEAL-niveau. Indien aanbestedende diensten genoegen nemen met lage drempels, blijft de feitelijke impact beperkt en ontstaat ruimte voor aanbieders met substantiële afhankelijkheden buiten de EU. Ten tweede de toepassing van de weging binnen de Sovereignty Score. Met name de vraag of lage scores op strategische en juridische soevereiniteit gecompenseerd kunnen worden door hogere scores op andere dimensies, is bepalend voor de uitkomst. Deze balans is niet alleen technisch, maar ook beleidsmatig van aard.
Marktimpact en positionering hyperscalers
Volgens de de non-profitbrancheorganisatie Cispe bestaat het risico dat dominante niet-Europese aanbieders, zoals Amazon Web Services, Microsoft Azure en Google Cloud, via Europese entiteiten en aanvullende compliance-maatregelen alsnog concurrerend blijven binnen dit model. De vraag is in hoeverre het framework in staat is om structurele afhankelijkheden — bijvoorbeeld op het gebied van governance, wetgeving en technologie — daadwerkelijk zichtbaar en doorslaggevend te maken in de beoordeling.
Praktijktest
De lopende aanbesteding van de Europese Commissie voor sovereign-clouddiensten, met een omvang van 180 miljoen euro over zes jaar, fungeert als eerste praktijktest. De selectie van maximaal vier aanbieders zal inzicht geven in de mate waarin het framework onderscheidend vermogen heeft.
Deze casus zal richtinggevend zijn voor bredere adoptie binnen zowel de publieke sector als gereguleerde industrieën.
Voor organisaties biedt het framework een bruikbaar referentiekader voor cloudstrategie en leveranciersselectie. De acht dimensies van de Sovereignty Score kunnen direct worden vertaald naar evaluatiecriteria. Dit vraagt wel om een meer volwassen benadering van inkoop en architectuur, waarbij niet alleen naar functionaliteit en kosten wordt gekeken, maar ook naar juridische positie, operationele autonomie en ketenafhankelijkheden.
Dit betekent:
- het expliciet meenemen van juridische en geopolitieke risico’s in besluitvorming;
- het opvragen van aantoonbare bewijslast en onafhankelijke audits;
- het ontwerpen van architecturen met interoperabiliteit en portabiliteit als uitgangspunt;
- het ontwikkelen van interne expertise om leveranciersclaims kritisch te beoordelen.
Conclusie
Het EU Cloud Sovereignty Framework markeert een verschuiving van beleidsmatige ambities naar praktische instrumenten. Voor het eerst wordt digitale soevereiniteit vertaald naar concrete en toetsbare criteria. De uiteindelijke impact zal echter niet alleen worden bepaald door het framework zelf, maar vooral door de wijze waarop organisaties het toepassen. Strikte drempelwaarden en consistente beoordeling zijn daarbij essentieel. Zonder die discipline bestaat het risico dat het framework verwordt tot een compliance-instrument zonder wezenlijke invloed. Met de juiste toepassing kan het daarentegen bijdragen aan een structurele versterking van digitale autonomie binnen Europa.
Robbrecht van Amerongen, hoofd strategie, Amis, hoofd iot, Conclusion
