De discussie over digitale soevereiniteit in Europa kent een hardnekkig misverstand: dat het gaat over de vraag waar de server staat. Wie een datacenter in Frankfurt heeft, meent soms al soeverein te zijn. Wie draait op een Amerikaanse hyperscaler, vreest het niet te zijn. Volgens Martin Merz, President SAP Sovereign Cloud, gaat dat debat grotendeels over het verkeerde onderwerp. “De discussie over cloudinfrastructuur is belangrijk, maar wie dat tot de enige maatstaf verheft voor soevereiniteit, mist de kern van het vraagstuk.”
Merz put uit twintig jaar praktijkervaring met soevereine cloud-implementaties bij overheden en veiligheidsdiensten wereldwijd. SAP werkt al sinds de vroege jaren 2000 met de Amerikaanse federale overheid aan zogenoemde trusted deployments, en breidde dat werk vervolgens uit naar Australië, Canada, Duitsland, Nederland en Frankrijk. Elk land voegde nieuwe eisen toe aan het raamwerk. Zo ontstond stap voor stap een geharde set van vereisten die SAP inmiddels wereldwijd als standaard gebruikt voor soevereine cloud-implementaties.
Vanuit die achtergrond kijkt Merz met scepsis naar het Europese soevereiniteitsdebat, dat hij te vaak ziet vastlopen op de infrastructuurvraag. Welke hyperscaler, welk datacenter, welk land: dat zijn niet de verkeerde vragen, maar wel vragen die te veel ruimte innemen ten koste van wat er werkelijk toe doet. Wat moet er precies geregeld zijn voordat een organisatie haar meest gevoelige data en processen veilig naar de cloud kan brengen? Zijn antwoord daarop is een raamwerk van vier dimensies dat verder gaat dan datacenterlocatie alleen.
Vier dimensies, één goedkeuring
De eerste dimensie is datasoevereiniteit: data en metadata blijven in het land of de regio, zonder uitzondering. Dat voorkomt dat gevoelige informatie ongemerkt onder buitenlandse jurisdicties of replicatieprocessen valt.
De tweede is operationele soevereiniteit. Organisaties geven alleen medewerkers toegang tot systemen en data als zij voldoen aan nationale eisen rond nationaliteit en screening. Voor sommige functies is ook een veiligheidsonderzoek verplicht. Voor defensie- en inlichtingendiensten is dat cruciaal. Zij moeten exact weten wie systemen beheert, support verleent of toegang heeft tot gevoelige informatie.
De derde dimensie is technische soevereiniteit. Daarbij wijst Merz op een element dat SAP volgens hem onderscheidt van andere aanbieders: het control plane van de cloudomgeving staat in het land zelf en niet in een centraal systeem elders. Dat control plane regelt onder meer beheer, updates en toegangsrechten. Volgens SAP houdt een organisatie zo meer controle over hoe de cloudomgeving wordt beheerd en wie erbij kan.
De vierde dimensie is juridische soevereiniteit. Daarbij draait het om de vraag onder welke wetgeving een cloudomgeving valt. Een organisatie moet erop kunnen vertrouwen dat gevoelige data en processen binnen het nationale rechtskader blijven en niet onder buitenlandse regelgeving of juridische claims vallen.
Soevereiniteit vraagt om officiële erkenning
Het voldoen aan die vier dimensies alleen is volgens Merz niet voldoende. Een cloudomgeving geldt pas als soeverein wanneer de nationale cybersecurity-autoriteit die status officieel bevestigt. Welke infrastructuur daaronder draait, is volgens Merz minder belangrijk. Dat kan SAP’s eigen cloudinfrastructuur zijn, maar ook een Amerikaanse hyperscaler of zelfs de datacenters van de klant zelf.
Volgens Merz kiezen ook militaire organisaties in Europa soms bewust voor een Amerikaanse hyperscaler. Zolang de nationale cybersecurity-autoriteit vaststelt dat de omgeving voldoet aan alle eisen voor soevereiniteit, biedt SAP die oplossing aan als soevereine cloud.
Weerbaarheid als strategie, niet als ideologie
Die infrastructuuronafhankelijkheid is volgens SAP geen marketingboodschap, maar een principiële keuze. Juist die keuze roept regelmatig weerstand op in het Europese debat over digitale soevereiniteit. Een deel van dat debat draait om het principieel weren van Amerikaanse technologie.
Merz zegt die reflex te begrijpen, maar noemt haar uiteindelijk onproductief. Volgens hem kon Europa decennialang vertrouwen op een relatief stabiele geopolitieke omgeving. Die periode is voorbij. Organisaties die hun cloudstrategie niet voorbereiden op alternatieve scenario’s, maken zichzelf kwetsbaar.
Een multi-cloudstrategie als veiligheidsnet
Concreet betekent dat volgens Merz dat een multi-cloudstrategie geen concessie is aan soevereiniteitsambities. Het is juist een manier om die ambities in de praktijk te brengen. Organisaties kunnen vandaag kiezen voor een Amerikaanse hyperscaler vanwege technologische voordelen, en tegelijk een Europees of eigen alternatief opbouwen. Die keuzes sluiten elkaar volgens hem niet uit.
SAP adviseert klanten daarom om niet volledig afhankelijk te worden van één provider, ook niet van de SAP-infrastructuur. Merz is van mening dat digitale weerbaarheid altijd vraagt om alternatieven die je achter de hand moet houden. Organisaties moeten die scenario’s nu al voorbereiden, en niet pas op het moment dat geopolitieke of technologische ontwikkelingen hen daartoe dwingen.
Dat vraagt wel dat organisaties stoppen met het behandelen van soevereiniteit als een compliance-vinkje dat eenmalig kan worden afgevinkt. De echte vragen zijn veel praktischer van aard. Wie heeft toegang tot de data? Onder welk rechtsstelsel valt de infrastructuur? En wat gebeurt er als een leverancier wegvalt of de geopolitieke situatie verandert? Wie die vragen niet beantwoordt, heeft een certificaat maar geen strategie.
Data benutten, niet bewaken
Die verschuiving van compliance naar weerbaarheid krijgt extra urgentie nu AI dieper doordringt in bedrijfsprocessen en organisaties steeds afhankelijker worden van de data die zij beheren. “Europa produceerde vorig jaar dertig zettabyte aan data. Om dat getal tastbaar te maken: als je één bit vergelijkt met één zandkorrel, dan praten we over dertig Sahara-woestijnen vol zand. Van al die data benutten we tien tot vijftien procent”, zegt Merz.
“Europa discussieert over de aanleg van nieuwe digitale infrastructuur, terwijl het overgrote deel van de data die al beschikbaar zijn onbenut blijven”, zegt Merz. “De werkelijke opgave is niet waar data worden opgeslagen, maar hoe Europa die data omzet in innovatie en concurrentiekracht.”
Voor Merz is soevereiniteit daarin geen rem maar een randvoorwaarde. Zonder controle over data en infrastructuur is het risico te groot om AI op schaal in te zetten in kritieke processen. Dat geldt niet alleen voor defensiebedrijven of inlichtingendiensten, maar voor elke organisatie die afhankelijk is van haar data voor haar kernprocessen. Wie zich niet kan veroorloven dat die data onbereikbaar, onbetrouwbaar of juridisch kwetsbaar worden, kan soevereiniteit niet langer als luxe beschouwen.
