Cloudsoevereiniteit krijgt tanden: Europa’s nieuwe meetlat voor autonomie

Geschreven door BijzonderStrafrecht.nl

Wat betekent het écht als een cloudprovider ‘Europees’ is? Is een datacenter in Frankfurt genoeg, of schuilt de macht in wie de stekker eruit kan trekken? De Europese Commissie gooit het over een nieuwe boeg met het Cloud Sovereignty Framework: geen marketingpraatje, maar een ijskoud meetinstrument.

Wat is er aan de hand?

In september 2025 introduceerde de Europese Commissie een strategisch kader voor cloudsoevereiniteit. Het Cloud Sovereignty Framework is bedoeld voor aanbestedingen, maar zijn reikwijdte is veel breder. Het functioneert als:

  • beoordelingssysteem voor cloudproviders;

  • kwaliteitscriterium in Europese IT-tenders;

  • geopolitiek signaal aan Big Tech.

Met acht gedefinieerde “Sovereignty Objectives” en vijf assurance-niveaus (van SEAL-0 tot SEAL-4) maakt Brussel duidelijk: soevereiniteit is meetbaar, toetsbaar en – vooral – afdwingbaar.

Het Framework sluit aan bij eerdere initiatieven zoals Gaia-X, het Trusted Cloud Label van CIGREF, en nationale strategieën zoals “Cloud de Confiance” (Frankrijk) en “Souveräner Cloud” (Duitsland). Maar dit keer komt het uit de koker van de Europese Commissie zelf. En dat verandert alles.

Hoe werkt het?

Het Cloud Sovereignty Framework toetst aanbieders van clouddiensten op acht soevereiniteitsdimensies, elk met bijbehorende weging en toetsingscriteria:

  1. Strategische soevereiniteit (15%) – Hoe Europees is het eigenaarschap, de governance en de financiering?

  2. Juridische en rechtsmachtsoevereiniteit (10%) – Kunnen Amerikaanse of Chinese wetten alsnog toegang forceren?

  3. Data- en AI-soevereiniteit (10%) – Wie heeft cryptografische sleutelcontrole, en waar wordt AI getraind?

  4. Operationele soevereiniteit (20%) – Kan de EU het systeem zélf beheren bij geopolitieke stress?

  5. Supply chain soevereiniteit (20%) – Komt de hardware en software echt uit EU-hand?

  6. Technologische soevereiniteit (15%) – Is er openheid en interoperabiliteit, of vendor lock-in?

  7. Security & compliance (10%) – Is beveiliging in Europese handen, mét EU-certificeringen?

  8. Milieu & duurzaamheid (5%) – Kan cloud ook circulair en transparant zijn?

Per dimensie wordt een aanbieder ingeschaald op een Sovereignty Effectiveness Assurance Level (SEAL), van:

  • SEAL-0 (geen autonomie, volledig buiten-EU),
    tot

  • SEAL-4 (volledige controle, alleen onder EU-recht).

Bij de aanbesteding geldt een minimumniveau per dimensie (onder de lat? Dan exit.) De totaalscore – de Sovereignty Score – weegt alle onderdelen en bepaalt mede de gunning.

Waarom is dit belangrijk?

1. Een juridisch houvast voor publieke inkopers

Waar overheden vroeger worstelden met vage claims van ‘Europese cloud’, krijgen ze nu een objectieve beoordelingssystematiek. Geen checklists of buzzwords, maar onderbouwde scoringskaarten.

“Strategic autonomy is no longer a slogan. This framework operationalizes it.” – [bron onbekend]

2. Duiding voor contract- en aanbestedingsjuristen

Het Framework integreert juridische toetsing met technische vereisten. Denk aan:

  • contracten onder EU-recht;

  • bescherming tegen extraterritoriale wetten (zoals de US CLOUD Act);

  • reversibiliteit van data en interoperabiliteit van software;

  • eisen rond logtoegang en auditbaarheid.

Het beïnvloedt dus niet alleen IT-keuzes, maar raakt aan contracten, aansprakelijkheid, compliance en exit-strategieën.

3. Machtspolitiek zonder sancties

Het Framework is géén bindende wet, maar krijgt normerende werking door het in te bedden in aanbestedingen. Wie mee wil doen aan Europese overheidsprojecten, moet zich verhouden tot dit model.

Voor juristen betekent dit: check of je leverancier überhaupt boven SEAL-2 uitkomt. Zo niet, dan is er werk aan de winkel – technisch én juridisch.

Wat kun je hiermee als jurist?

De kern: cloudsoevereiniteit is geen IT-dossier, maar een juridisch en strategisch vraagstuk.

Wat kun je doen:

  • Toets bestaande contracten op SOV-dimensies: waar zit je afhankelijkheden?

  • Stel SEAL-eisen in je volgende aanbesteding of RFP.

  • Gebruik de framework-taal in je juridische beoordeling – het biedt een gemeenschappelijke standaard.

  • Werk samen met security en procurement: de brug tussen techniek en recht is nu officieel.

AI dwingt juristen om dit vraagstuk opnieuw te bezien: wie AI zegt, zegt datasoevereiniteit – en dus cloud.

BijzonderStrafrecht.nl https://www.bijzonderstrafrecht.nl
Vorige

De wirwar van cloud-vereisten: hoe de EU het ongrijpbare probeert te grijpen
Volgende

Analyse: AI wortelt zich in het dagelijks leven