Dienst ICT Uitvoering lanceert toetsingsinstrument voor soevereine cloud

In dit artikel:

DICTU, de IT-uitvoerende organisatie van het Rijk, heeft een toetsingsinstrument gepubliceerd om clouddiensten systematisch te beoordelen op digitale soevereiniteit. De maatregel komt voort uit de zorg over de sterke concentratie van de markt bij Amerikaanse hyperscalers (meer dan 70% bij Microsoft, Google en Amazon) en is bedoeld voor gebruik bij overheidsaanbestedingen en selectieprocedures.

Het instrument bouwt voort op het EuroStack-initiatief en het Cloud Sovereignty Framework van de Europese Commissie, maar voegt een eigen vijfde dimensie toe: Mens (in plaats van een economische dimensie). De beoordeling werkt met vijf dimensies — juridisch, data & AI, technologie, operationeel en mens — en voor elke dimensie bestaan vijf oplopende soevereiniteitsniveaus.

Kernpunten per dimensie:
- Juridisch: welke rechtsmacht geldt voor de aanbieder; een lokale EU-vestiging volstaat niet: moedermaatschappij en hoofdkantoor moeten juridisch binnen de EU zitten. Bescherming tegen extraterritoriale wetgeving zoals de Amerikaanse CLOUD Act is een harde voorwaarde.
- Data & AI: controle over fysieke opslaglocatie, toegangsrechten en afdwingbare encryptie. Hoogste niveau vereist cryptografische isolatie (bijv. HYOK) en confidential computing.
- Technologie: gebruik van open standaarden en opensource om vendor lock‑in te voorkomen.
- Operationeel: volledige infrastructuur en control plane moeten fysiek binnen EU/EER/EFTA zijn en door Europees personeel worden beheerd.
- Mens: screening, certificering en capaciteit van personeel om soevereine cloudomgevingen zelfstandig te bouwen en door te ontwikkelen.

Het instrument biedt zo een objectieve, transparante en herhaalbare manier voor de overheid om cloudaanbieders te toetsen op Europese soevereiniteitseisen.