Digitale soevereiniteit wordt vaak teruggebracht tot één vraag: “Staat onze data in Europa?” Dat is begrijpelijk. Jarenlang draaide het debat over cloud vooral om privacy, compliance en regelgeving zoals GDPR, met veel aandacht voor waar data juridisch mocht staan. Daardoor ontstond impliciet het idee dat datalocatie gelijkstaat aan controle. Maar die aanname houdt steeds minder stand.
In de praktijk zien we omgevingen waarbij data binnen Europa staat, terwijl operationele toegang, supportstructuren en besluitvorming elders georganiseerd zijn. Data residency is daarmee relatief eenvoudig te realiseren, maar daadwerkelijke controle veel minder. De discussie verschuift daardoor van datalocatie naar iets fundamentelers: afhankelijkheid.
Auteur: Marijn de Vlieger - Head of Technology bij TrueFullstaq
Europa draait op Amerikaanse cloud. Zo’n 70 procent van de markt is in handen van AWS, Microsoft en Google, terwijl Europese aanbieders rond de 15 procent blijven hangen. Jarenlang was dat logisch. Maar die vanzelfsprekendheid verdwijnt snel.
Cloud is niet langer alleen een technische keuze, het is ook steeds vaker een strategische afhankelijkheid. Geopolitieke spanningen, sancties en de toenemende handels- en politieke onzekerheid zorgen ervoor dat organisaties anders naar die afhankelijkheid kijken. In gesprekken met organisaties in zowel de publieke als private sector komt steeds vaker dezelfde vraag terug: wat gebeurt er als die afhankelijkheid ineens een risico wordt?
Die angst is niet louter theoretisch. Toen sancties de Russische moedermaatschappij van Amsterdam Trade Bank troffen, verloren bankmedewerkers en later ook curatoren toegang tot cruciale cloudsystemen en data. De operatie kwam tot stilstand en binnen enkele weken volgde faillissement. Niet door een cyberaanval of technisch falen, maar doordat digitale infrastructuur plotseling niet meer beschikbaar was.
Rond het Internationaal Strafhof in Den Haag verschenen vergelijkbare berichten: dat Microsoft op basis van Amerikaanse sancties de toegang tot e-mail van de hoofdaanklager beperkte, waardoor het functioneren van het hof direct werd geraakt. En dichter bij huis leidt de voorgenomen overname van cloudprovider Solvinity door het Amerikaanse Kyndryl tot aanhoudende politieke discussie over controle over vitale digitale dienstverlening, zoals DigiD.
Dat soort gebeurtenissen maakt zichtbaar wat lang abstract bleef: digitale infrastructuur is geopolitiek geworden. Dat geldt niet alleen voor cloudplatformen, maar voor de hele digitale stack - van infrastructuur en identity tot applicatiediensten.
Verstoringen
Vanuit de markt zien we dat die afhankelijkheden vaak impliciet blijven, totdat er iets gebeurt. Pas bij verstoring wordt duidelijk welke processen écht kritisch zijn en hoe beperkt de manoeuvreerruimte in de praktijk is. Precies die dynamiek zien we inmiddels ook terug in Europese regelgeving. Zo laat de DORA-wetgeving (Digital Operational Resilience Act) zien dat afhankelijkheid van IT-leveranciers en continuïteit van dienstverlening kernonderdelen zijn van risicobeheersing.
Daarmee verschuift de discussie over digitale soevereiniteit zichtbaar. Van een juridisch en compliance-vraagstuk naar een vraag over operationele weerbaarheid.
Niet alleen: “mag deze data hier staan?”, maar ook: “blijft onze operatie functioneren als de context verandert?”. Die vraag raakt aan een ongemakkelijke realiteit.
Vrijwel alle kritieke processen - van identiteit en communicatie tot financiële systemen en overheidsdiensten - draaien vandaag op een klein aantal cloudplatformen. Dat maakt efficiëntie en innovatie mogelijk, maar creëert tegelijk een geconcentreerd systeemrisico.
Geen afscheid van hyperscalers
Zolang alles werkt, voelt die afhankelijkheid abstract. Maar incidenten van de afgelopen jaren laten zien wat er gebeurt wanneer technische infrastructuur onderdeel wordt van politieke, juridische of economische dynamiek. Wat daarbij opvalt: veel organisaties zijn wel compliant ingericht, maar hebben beperkt zicht op wat er operationeel gebeurt als een leverancier wegvalt of onder druk komt te staan.
Dat betekent overigens niet dat organisaties direct volledig afscheid moeten nemen van hyperscalers. De voordelen zijn daarvoor te groot en alternatieven nog niet overal vergelijkbaar. Dat vraagt wel om scherpere keuzes in welke afhankelijkheden je accepteert. Volledige digitale onafhankelijkheid is in een mondiale technologiesector bovendien nauwelijks realistisch.
De vraag verschuift daarmee van óf organisaties afhankelijk zijn, naar hoe bewust en beheersbaar die afhankelijkheid is ingericht. In de praktijk zien we dat organisaties die hier serieus naar kijken hun cloudstrategie anders beginnen te benaderen. Niet langer alleen vanuit kosten, functionaliteit en security, maar ook vanuit de vraag hoeveel controle ze behouden over hun meest kritieke processen wanneer omstandigheden veranderen.
Dat vraagt om een andere manier van denken over architectuur, leverancierskeuze en risico. Wat dat concreet betekent voor cloud- en ontwerpkeuzes verschilt per organisatie, maar het wordt steeds duidelijker dat datalocatie alleen geen voldoende antwoord meer is.
Digitale soevereiniteit gaat daarmee uiteindelijk over meer dan waar je data staat. Het gaat over de vraag hoeveel controle je overhoudt wanneer het er écht toe doet en hoeveel daarvan je vandaag daadwerkelijk hebt georganiseerd.
Marijn de Vlieger is Head of Technology bij TrueFullstaq en werkt aan cloudarchitectuur en digitale soevereiniteit, met een sterke focus op controle, afhankelijkheid en cloud-native platformen. Marijn is spreker tijdens het Telecom Society event over soevereiniteit op 21 mei 2026 bij Defensie in Maasland.
De vereniging Telecom Society is hét onafhakelijkse platform voor kennisuitwisseling, ontmoeting en inspiratie binnen de Nederlandse telecomsector.
