Achtergrond - Rel rond DigiD-hoster toont probleem: niemand weet wat soevereine cloud echt is

In dit artikel:

De discussie over digitale soevereiniteit heeft concrete gevolgen in Nederland: staatssecretaris Willemijn Aerdts (EZK) heeft op advies van het Bureau Toetsing Investeringen de verkoop van DigiD-hoster Solvinity aan het Amerikaanse Kyndryl geblokkeerd. Deze zaak illustreert dat zelfbeschikking over digitale diensten lastig te verankeren is, vooral omdat veel cruciale technologie uit de VS en China komt.

Er bestaat nog geen eenduidige, bindende definitie van wat een 'soevereine cloud' is. Grote aanbieders zoals AWS, Microsoft en Google claimen dergelijke diensten, en kleinere partijen profileren zich eveneens als alternatief, maar onafhankelijk onderzoek en marktanalisten wijzen op beperkingen. Gartner-analist Douglas Toombs stelde recentelijk dat een volledig soevereine cloud eigenlijk alleen mogelijk is voor organisaties uit de VS of China, omdat die landen de meeste benodigde technologische componenten leveren. In een clouddienst zijn altijd buitenlandse onderdelen aanwezig — van servers en routers tot chips — waardoor onduidelijk blijft of en hoe hardware onderdeel moet zijn van een soevereiniteitsbegrip.

Vergelijkingen met fysieke producten zoals champagne of Zwitserse horloges maken het verschil zichtbaar: die kennen strikte, wettelijke definities. Voor clouds ontbreekt zo’n heldere, afdwingbare normering nog. Wel bestaan er kaders die als leidraad dienen. De Europese Commissie publiceerde een Cloud Sovereignty Framework met acht toetsingspunten en selecteerde in april vier aanbieders voor een door de EU gefinancierde clouddienst voor overheden. Dat kader is echter niet algemeen bindend en geldt primair voor EU-aanbestedingen.

Nationaal heeft DICTU (de ICT-dienstverlener van de Rijksoverheid) een gids en een werkdefinitie geformuleerd: een soevereine cloud betreft clouddiensten binnen een rechtsgebied die voldoen aan eisen rond datalokalisatie en operationele autonomie, en die bescherming bieden tegen invloed of toegang door overheden uit derde landen. EZK werkt verder aan een formele definitie binnen de Nederlandse Digitaliseringsstrategie; een verkenning over de realisatie van een soevereine overheidscloud is toegezegd aan de Tweede Kamer voor het eerste halfjaar van 2026.

Controleorganen luiden de noodklok over operationele risico’s. De Auditdienst Rijk (2024) en de Algemene Rekenkamer rapporteerden dat de Rijksoverheid onvoldoende exitstrategieën en continuïteitsplannen heeft bij cloudmigraties. De Rekenkamer werkt een praktische set normen uit voor digitale soevereiniteit — onder meer over datalocatie, afspraken bij gegevensoverdracht buiten de EER, auditrechten, interoperabiliteit en realistische exitopties — en heeft aangekondigd zelf weg te willen uit de Microsoft-cloud.

Ook decentrale overheden zijn actief: de Vereniging van Nederlandse Gemeenten ontwikkelt een bestek met een definitie van een soevereine cloud, dat in juni in consultatie gaat en later mogelijk wordt afgestemd op toekomstige EU-wetgeving zoals de Cloud and AI Development Act (CADA), die aanvult op de Data Act en aandacht besteedt aan dataportabiliteit.

Een belangrijk juridische struikelblok blijft de Amerikaanse CLOUD Act, die Amerikaanse opsporingsdiensten bevoegdheden geeft om gegevens op te vragen bij Amerikaanse aanbieders, ook als die data buiten de VS staan. Die reikwijdte ondermijnt vaak de praktische waarde van lokale servers als garantie voor soevereiniteit. Het ministerie van EZK wil niet stellingnemen over de soevereiniteitsclaims van commerciële cloudreuzen; de Algemene Rekenkamer benadrukt echter dat servers van Amerikaanse bedrijven op EU-grondgebied op zichzelf geen garantie bieden voor datasoevereiniteit.

Kortom: Nederland en Europa ontwikkelen kaders, definities en praktische normen, maar de combinatie van geopolitieke technologieafhankelijkheid, juridische instrumenten zoals de CLOUD Act en ontbrekende eenduidige standaarden maakt de route naar echt soevereine clouddiensten voorlopig complex en onvolledig geregeld.