In Brussel is de Europese Commissie stille­tjes begonnen aan een project dat grote gevolgen kan hebben voor de manier waarop Europese organi­sa­ties hun cloud­stra­te­gieën vormgeven. Met het Cloud Sovereignty Frame­work, waarvan in september 2025 versie 1.2 verscheen, legt de Commissie een meetlat aan waarmee aanbe­ste­dende diensten kunnen beoor­delen in hoeverre een cloud­pro­vider werke­lijk “soeve­rein” is. Daarmee krijgt een abstract begrip als digitale soeve­rei­ni­teit voor het eerst concrete, meetbare invulling.

Het raamwerk is ontwik­keld door de Directie-Generaal voor Digitale Diensten en leunt op bestaande Europese initi­a­tieven zoals Gaia‑X, het CIGREF Trusted Cloud Referen­tial en de cyber­se­cu­ri­ty­richt­lijnen van ENISA, NIS2 en DORA. Tegelij­ker­tijd verwijst het naar natio­nale strate­gieën als het Franse Cloud de Confi­ance en de Duitse Souveräner Cloud. De Commissie probeert daarmee een gemeen­schap­pe­lijke Europese standaard te scheppen die zowel juridi­sche als opera­ti­o­nele controle over cloud­dien­sten binnen de EU moet versterken.

Centraal in het raamwerk staan acht zogeheten Sovereignty Objec­tives, varië­rend van strate­gi­sche veran­ke­ring en juridi­sche controle tot opera­ti­o­nele onafhan­ke­lijk­heid en duurzaam­heid. Elke aanbieder van cloud­ser­vices kan op deze thema’s worden beoor­deeld, waarna een zogeheten Sovereignty Effec­ti­ve­ness Assurance Level (SEAL) wordt toege­kend. Dat niveau loopt van SEAL‑0, waarbij een dienst volledig onder buiten­landse controle valt, tot SEAL‑4, dat staat voor volle­dige digitale soeve­rei­ni­teit binnen EU-jurisdictie.

Daarbij is het niet voldoende om simpelweg aan te tonen dat data in een Europees datacenter wordt opgeslagen. De Commissie kijkt dieper. Voorbeelden zijn de locatie van de zeggen­schap over de onder­ne­ming, de mate waarin het bedrijf afhan­ke­lijk is van niet-Europese techno­logie of finan­cie­ring, en de herkomst van de hardware, software en firmware die in de dienst wordt gebruikt. Ook de juridi­sche context speelt mee: aanbie­ders moeten kunnen aantonen dat hun data en processen niet vatbaar zijn voor extra­ter­ri­to­riale wetten zoals de Ameri­kaanse CLOUD Act of de Chinese Cyber­se­cu­rity Law.

Het raamwerk maakt onder­scheid tussen minimale assurance-niveaus en een meer gedetail­leerde Sovereignty Score, een gewogen cijfer dat de mate van digitale autonomie van een aanbieder weergeeft. De score telt mee in de kwali­teits­be­oor­de­ling van aanbe­ste­dingen, waardoor soeve­rei­ni­teit een direct econo­misch voordeel kan opleveren bij Europese tenders. Opera­ti­o­nele en supply-chain-soeve­rei­ni­teit wegen het zwaarst mee met elk twintig procent, gevolgd door strate­gi­sche en techno­lo­gi­sche autonomie met vijftien procent. Daarmee legt de Commissie de nadruk op prakti­sche uitvoer­baar­heid en veerkracht, niet enkel op juridi­sche afscherming.

Interes­sant is dat het document ook AI-soeve­rei­ni­teit intro­du­ceert als apart beoor­de­lings­cri­te­rium. Dat omvat controle over data, trainings­mo­dellen en algoritmen die binnen de EU worden ontwik­keld en gebruikt. Volgens de Commissie moeten klanten volle­dige zeggen­schap houden over wie toegang heeft tot hun data en waar die data precies wordt verwerkt. Boven­dien moet duide­lijk zijn of AI-modellen worden gehost of getraind op infra­struc­tuur die onder EU-juris­dictie valt.

Voor datacenter- en IT-managers biedt dit raamwerk een nieuw perspec­tief op risico­be­heer en leveran­ciers­se­lectie. Waar de discussie over cloud­keuze jaren­lang draaide om prijs, perfor­mance en compli­ance, komt er nu een vierde dimensie bij: soeve­reine controle. Dat betekent dat bij de inkoop niet alleen gekeken moet worden naar uptime of ISO-certi­fi­ce­ringen, maar ook naar vragen als: kunnen we deze dienst blijven gebruiken als de geopo­li­tieke situatie veran­dert? Kunnen we overstappen zonder buiten­landse toestem­ming of tussen­komst? En is de kennis aanwezig om het systeem zelfstandig te onderhouden?

Het document laat boven­dien zien dat de Europese Commissie soeve­rei­ni­teit niet los ziet van duurzaam­heid. Het achtste doel, Environ­mental Sustai­na­bi­lity, beoor­deelt de autonomie van cloud­dien­sten op het vlak van energie­ver­bruik, grond­stoffen en circu­la­ri­teit. Dat betekent dat aanbie­ders niet alleen groene energie moeten gebruiken, maar ook trans­pa­rant moeten rappor­teren over emissies, water­ver­bruik en herge­bruik van hardware.

De impli­ca­ties zijn aanzien­lijk. Een cloud­dienst die zwaar leunt op Ameri­kaanse of Aziati­sche leveran­ciers, of die support buiten de EU organi­seert, zal vermoe­de­lijk niet hoger scoren dan SEAL‑2 of SEAL‑3. Alleen aanbie­ders die volle­dige opera­ti­o­nele controle, lokale onder­steu­ning en open techno­logie kunnen aantonen, komen in aanmer­king voor het hoogste niveau. Dat plaatst Europese spelers als IONOS, OVHcloud en Deutsche Telekom in een gunstige positie, zeker bij overheids­aan­be­ste­dingen waar de soeve­rei­ni­teits­cri­teria bindend worden.

Voor private bedrijven is het raamwerk voorlopig advise­rend, maar het geeft wel richting aan toekom­stige regel­ge­ving. Veel CIO’s en datacen­ter­be­heer­ders zien het als een kans om hun afhan­ke­lijk­heden in kaart te brengen en migra­tie­stra­te­gieën te plannen die aansluiten bij Europese waarden van autonomie, trans­pa­rantie en veiligheid.

Uitein­de­lijk is het Cloud Sovereignty Frame­work meer dan een check­list: het is een poging van de EU om grip te krijgen op een infra­struc­tuur die steeds bepalender wordt voor economie en veilig­heid. Door digitale soeve­rei­ni­teit te kwanti­fi­ceren, maakt Brussel duide­lijk dat de vraag niet langer is of Europese organi­sa­ties hun data en AI binnen eigen grenzen willen houden, maar hoe snel ze die controle daadwer­ke­lijk kunnen realiseren.