De cloud heeft de manier waarop we werken, opslaan en innoveren fundamenteel veranderd. Wat begon als een technische versneller is uitgegroeid tot het fundament onder vrijwel elke digitale strategie. Toch gaat de discussie over cloud vaak over schaal, kosten en prestaties, en veel minder over de politieke en juridische werkelijkheid waarin die technologie opereert.
En dat is opvallend. Want de cloud is allang geen neutrale technologie meer. Organisaties die werken met gevoelige data, onder toezicht staan van wet- en regelgeving of actief zijn in vitale sectoren, kunnen zich die aanname niet meer permitteren.
Cloud is infrastructuur, en infrastructuur is macht
Tegenwoordig vormt data de ruggengraat van zorg, overheid, energie, financiële dienstverlening en industriële innovatie. Daarom is de controle over digitale infrastructuur strategisch van belang geworden. Niet alleen op bedrijfsniveau, maar ook op geopolitiek vlak.
Waar jouw data fysiek wordt opgeslagen en onder welke wetgeving die valt is daardoor veel meer dan een IT-vraag. Het is een bestuursvraagstuk, en in toenemende mate een kwestie van digitale autonomie.
Amerikaanse wetgeving stopt niet bij de grens
Veel organisaties kiezen voor Amerikaanse hyperscalers zoals AWS, Microsoft Azure of Google Cloud, in de veronderstelling dat data veilig is zolang het wordt opgeslagen in Europese datacenters. In de praktijk blijkt dat complexer.
Wetgeving zoals de Cloud Act (2018), de Foreign Intelligence Surveillance Act (FISA) en Executive Order 12333 geven Amerikaanse autoriteiten het recht om toegang te vragen tot data van Amerikaanse bedrijven, ongeacht waar die data fysiek staat opgeslagen. Dat betekent dat data van Europese bedrijven, die bij Amerikaanse cloudproviders is ondergebracht, mogelijk onder Amerikaans toezicht valt.
Digitale burgerrechtenorganisaties zoals EDRi waarschuwen al langer voor deze situatie. Volgens hen kunnen Amerikaanse autoriteiten namelijk data opvragen zonder dat de betrokkenen daarvan op de hoogte zijn.
Bronnen:
- Cloud Act – U.S. Department of Justice: https://www.justice.gov/opa/press-release/file/1049606/download
- EDRi – US Cloud Act and European Data Protection: https://edri.org/our-work/us-cloud-act-and-european-data-protection/
- Scientific American – How U.S. Laws Apply to Foreign Data: https://www.scientificamerican.com/article/u-s-laws-apply-to-data-stored-abroad/
Europese tegenreactie: Regulering en regie terugpakken
De Europese Unie heeft dit risico scherp op het vizier. In nieuwe beleidsstrategieën en wetgeving wordt steeds nadrukkelijker gestuurd op het verminderen van afhankelijkheid van niet-Europese technologiepartijen.
De NIS2-richtlijn, de AI Act, de Data Act en de Data Governance Act benadrukken het belang van transparantie, datacontrole en digitale autonomie. Ook in eerdere documenten, zoals de Digital Strategy van de Europese Commissie, wordt opgeroepen tot meer grip op de eigen infrastructuur.
In maart 2024 werd dit opnieuw bevestigd door de European Data Protection Supervisor (EDPS). Volgens hun strategierapport hebben data-infrastructuren directe invloed op de bescherming van persoonsgegevens én op democratische waarden binnen Europa.
Bron:
- EDPS Strategy 2024–2029: https://edps.europa.eu/data-protection/our-work/strategy_en
De mythe van neutraliteit
Dat de cloud neutraal is, is in veel gevallen meer marketing dan werkelijkheid. Zelfs wanneer je werkt met Europese datacenters van Amerikaanse providers, is de onderliggende controle nog steeds verbonden aan buitenlandse wetgeving, bestuursstructuren en securitymodellen.
Neutraliteit bestaat dus alleen in theorie. In de praktijk bepaalt jurisdictie wie er toegang heeft tot jouw data en onder welke voorwaarden.
De soevereine cloud: van alternatief naar strategische keuze
Door de bovenstaande risico’s kiezen steeds meer organisaties bewust voor een soevereine cloudomgeving. Niet als afwijzing van de public cloud, maar als strategische stap richting meer controle, transparantie en compliance.
- Data-opslag en verwerking binnen Europese grenzen
- Toegang uitsluitend onder Europese wetgeving
- Transparantie over beheer en verwerkingen
- Inrichting in lijn met NIS2 en AVG
Voor organisaties in sectoren waar datasoevereiniteit, compliance en risicobeheersing randvoorwaarden zijn – zoals de zorg, overheid, juridische dienstverlening en finance – is dit geen voorkeur meer, maar noodzaak.
Digitalisering vraagt om bewuste keuzes
De cloud is geen neutrale ruimte. Het is een complex geheel van technologie, juridische kaders en internationale belangen. Wie werkt aan digitale transformatie of AI-integratie, moet dus ook zeker nadenken over eigenaarschap en controle.
Digitale autonomie vraagt om bewuste keuzes. Niet alleen over functionaliteit of schaalbaarheid, maar ook over compliance, governance en risico’s op de lange termijn.
Meer weten? Download onze whitepaper om te ontdekken wat een soevereine cloudoplossing in de praktijk betekent:
