In Brussel is de Europese Commissie stilletjes begonnen aan een project dat grote gevolgen kan hebben voor de manier waarop Europese organisaties hun cloudstrategieën vormgeven. Met het Cloud Sovereignty Framework, waarvan in september 2025 versie 1.2 verscheen, legt de Commissie een meetlat aan waarmee aanbestedende diensten kunnen beoordelen in hoeverre een cloudprovider werkelijk “soeverein” is. Daarmee krijgt een abstract begrip als digitale soevereiniteit voor het eerst concrete, meetbare invulling.
Het raamwerk is ontwikkeld door de Directie-Generaal voor Digitale Diensten en leunt op bestaande Europese initiatieven zoals Gaia‑X, het CIGREF Trusted Cloud Referential en de cybersecurityrichtlijnen van ENISA, NIS2 en DORA. Tegelijkertijd verwijst het naar nationale strategieën als het Franse Cloud de Confiance en de Duitse Souveräner Cloud. De Commissie probeert daarmee een gemeenschappelijke Europese standaard te scheppen die zowel juridische als operationele controle over clouddiensten binnen de EU moet versterken.
Centraal in het raamwerk staan acht zogeheten Sovereignty Objectives, variërend van strategische verankering en juridische controle tot operationele onafhankelijkheid en duurzaamheid. Elke aanbieder van cloudservices kan op deze thema’s worden beoordeeld, waarna een zogeheten Sovereignty Effectiveness Assurance Level (SEAL) wordt toegekend. Dat niveau loopt van SEAL‑0, waarbij een dienst volledig onder buitenlandse controle valt, tot SEAL‑4, dat staat voor volledige digitale soevereiniteit binnen EU-jurisdictie.
Daarbij is het niet voldoende om simpelweg aan te tonen dat data in een Europees datacenter wordt opgeslagen. De Commissie kijkt dieper. Voorbeelden zijn de locatie van de zeggenschap over de onderneming, de mate waarin het bedrijf afhankelijk is van niet-Europese technologie of financiering, en de herkomst van de hardware, software en firmware die in de dienst wordt gebruikt. Ook de juridische context speelt mee: aanbieders moeten kunnen aantonen dat hun data en processen niet vatbaar zijn voor extraterritoriale wetten zoals de Amerikaanse CLOUD Act of de Chinese Cybersecurity Law.
Het raamwerk maakt onderscheid tussen minimale assurance-niveaus en een meer gedetailleerde Sovereignty Score, een gewogen cijfer dat de mate van digitale autonomie van een aanbieder weergeeft. De score telt mee in de kwaliteitsbeoordeling van aanbestedingen, waardoor soevereiniteit een direct economisch voordeel kan opleveren bij Europese tenders. Operationele en supply-chain-soevereiniteit wegen het zwaarst mee met elk twintig procent, gevolgd door strategische en technologische autonomie met vijftien procent. Daarmee legt de Commissie de nadruk op praktische uitvoerbaarheid en veerkracht, niet enkel op juridische afscherming.
Interessant is dat het document ook AI-soevereiniteit introduceert als apart beoordelingscriterium. Dat omvat controle over data, trainingsmodellen en algoritmen die binnen de EU worden ontwikkeld en gebruikt. Volgens de Commissie moeten klanten volledige zeggenschap houden over wie toegang heeft tot hun data en waar die data precies wordt verwerkt. Bovendien moet duidelijk zijn of AI-modellen worden gehost of getraind op infrastructuur die onder EU-jurisdictie valt.
Voor datacenter- en IT-managers biedt dit raamwerk een nieuw perspectief op risicobeheer en leveranciersselectie. Waar de discussie over cloudkeuze jarenlang draaide om prijs, performance en compliance, komt er nu een vierde dimensie bij: soevereine controle. Dat betekent dat bij de inkoop niet alleen gekeken moet worden naar uptime of ISO-certificeringen, maar ook naar vragen als: kunnen we deze dienst blijven gebruiken als de geopolitieke situatie verandert? Kunnen we overstappen zonder buitenlandse toestemming of tussenkomst? En is de kennis aanwezig om het systeem zelfstandig te onderhouden?
Het document laat bovendien zien dat de Europese Commissie soevereiniteit niet los ziet van duurzaamheid. Het achtste doel, Environmental Sustainability, beoordeelt de autonomie van clouddiensten op het vlak van energieverbruik, grondstoffen en circulariteit. Dat betekent dat aanbieders niet alleen groene energie moeten gebruiken, maar ook transparant moeten rapporteren over emissies, waterverbruik en hergebruik van hardware.
De implicaties zijn aanzienlijk. Een clouddienst die zwaar leunt op Amerikaanse of Aziatische leveranciers, of die support buiten de EU organiseert, zal vermoedelijk niet hoger scoren dan SEAL‑2 of SEAL‑3. Alleen aanbieders die volledige operationele controle, lokale ondersteuning en open technologie kunnen aantonen, komen in aanmerking voor het hoogste niveau. Dat plaatst Europese spelers als IONOS, OVHcloud en Deutsche Telekom in een gunstige positie, zeker bij overheidsaanbestedingen waar de soevereiniteitscriteria bindend worden.
Voor private bedrijven is het raamwerk voorlopig adviserend, maar het geeft wel richting aan toekomstige regelgeving. Veel CIO’s en datacenterbeheerders zien het als een kans om hun afhankelijkheden in kaart te brengen en migratiestrategieën te plannen die aansluiten bij Europese waarden van autonomie, transparantie en veiligheid.
Uiteindelijk is het Cloud Sovereignty Framework meer dan een checklist: het is een poging van de EU om grip te krijgen op een infrastructuur die steeds bepalender wordt voor economie en veiligheid. Door digitale soevereiniteit te kwantificeren, maakt Brussel duidelijk dat de vraag niet langer is of Europese organisaties hun data en AI binnen eigen grenzen willen houden, maar hoe snel ze die controle daadwerkelijk kunnen realiseren.
Photo by Guillaume Périgois on Unsplash
