Hoe soeverein is jouw clouddienst eigenlijk?

Een Amerikaans IT-bedrijf neemt de leverancier over die DigiD draaiende houdt. Een brede Kamermeerderheid eist dat de deal wordt geblokkeerd. Bij de gemeente Amsterdam, die net een contract had getekend met datzelfde bedrijf om minder afhankelijk te worden van Big Tech, valt de wethouder van haar stoel. En dan blijkt ook nog dat de SEC een onderzoek start naar de boekhouding van de koper en dat twee topbestuurders per direct vertrekken.

De Solvinity/Kyndryl-casus maakt in een klap zichtbaar wat er misgaat als je soevereiniteit niet structureel toetst. Er hing een Nederlands vlaggetje boven de serverruimte, maar de sleutelbos lag allang elders. De vraag die nu op tafel ligt: hoe voorkom je dit de volgende keer?

DICTU, de ICT-uitvoeringsorganisatie van het Ministerie van Economische Zaken en Klimaat, heeft een antwoord. In januari 2026 publiceerde het het Toetsingsinstrument Soevereiniteit Clouddiensten: een systematisch kader waarmee je clouddienstverleners beoordeelt op digitale autonomie. Formeel gebouwd voor eigen gebruik, maar dankzij de openbare publicatie bruikbaar voor iedere organisatie die verder wil kijken dan de marketingbeloften van haar cloudleverancier.

Drie bedrijven, zeventig procent van de markt

Meer dan 70% van de wereldwijde cloudmarkt is in handen van Microsoft, Google en Amazon. De Autoriteit Consument & Markt constateert toenemende consolidatie, gedreven door schaalvoordelen en netwerkeffecten. Vendor lock-in maakt overstappen duur en complex. Europese alternatieven komen moeilijk van de grond.

Dat weet de politiek inmiddels ook. Digitale soevereiniteit is een van de zes prioriteiten in de Nederlandse Digitaliseringsstrategie. Het nieuwe coalitieakkoord maakt digitale autonomie tot leidend principe. De initiatiefnota Wolken aan de horizon en adviezen van het Rathenau Instituut hameren erop: niet alleen afhankelijkheden benoemen, maar actief alternatieven ontwikkelen. En Nederland duwt inmiddels ook op Europees niveau, met een non-paper over cloudsoevereiniteit dat oproept tot eenduidige definities en strengere aanbestedingsrichtlijnen.

Wat tot nu toe ontbrak? Een praktisch meetinstrument. Dat is er nu.

Vijf dimensies, vijftien criteria, nul ruimte voor vaagheid

Het toetsingsinstrument is opgebouwd langs vijf dimensies, elk met concrete criteria en vijf soevereiniteitsniveaus. Geen abstracte principes, maar toetsbare vragen met meetbare antwoorden.

1. Juridisch: wie is hier eigenlijk de baas?

De meest fundamentele vraag van het hele instrument: aan welk juridisch en politiek systeem is de aanbieder uiteindelijk verantwoording schuldig?

DICTU kijkt naar drie dingen. Waar is het moederbedrijf gevestigd? Wie heeft de feitelijke zeggenschap? En: valt de aanbieder onder de CLOUD Act?

Die laatste vraag kent maar twee antwoorden: EU-rechtsmacht of niet. Geen grijstinten. En dat is terecht, want de CLOUD Act geeft Amerikaanse opsporingsdiensten het recht om data op te eisen bij Amerikaanse bedrijven, ongeacht waar die data staat. Een datacenter in Amsterdam biedt geen bescherming als het moederbedrijf in de VS zit. De AVG verbiedt diezelfde doorgifte. Resultaat: een juridische patstelling waar de klant de dupe van is.

De Solvinity-casus illustreert precies dit probleem. Het bedrijf was statutair Nederlands, maar economisch en strategisch al in Britse handen. Met het DICTU-instrument in de hand had je dat op criterium 1.2 (zeggenschap en eigenaarschap) direct kunnen signaleren.

2. Data & AI: beloften zijn geen bewijs

"Uw data is veilig bij ons." Dat zegt iedere cloudleverancier. Maar DICTU vraagt door. Worden alle klantdata, inclusief back-ups en metadata, daadwerkelijk uitsluitend binnen de EU opgeslagen en verwerkt? Zijn er technische maatregelen die het cryptografisch onmogelijk maken voor de aanbieder zelf om bij ongecodeerde data te komen? En is de aanbieder contractueel verplicht om buitenlandse dataverzoeken aan te vechten?

Op het hoogste soevereiniteitsniveau moet de klant eigen encryptiesleutels beheren ("Hold Your Own Key") en moet data ook tijdens verwerking cryptografisch geisoleerd blijven via confidential computing. Dat is een wezenlijk andere garantie dan een checkbox in een verwerkersovereenkomst.

3. Technologie: vrijheid of gouden kooi?

DICTU vat het mooi samen: technologie kan je compleet afhankelijk maken als de werking een "black box" is, maar kan ook juist vrijheid bieden als alles op open standaarden is gebouwd.

De criteria raken aan interoperabiliteit, open-source gebruik, software-transparantie en operationele omkeerbaarheid. Die laatste verdient aandacht: kan een derde partij de dienst overnemen als de aanbieder wegvalt? Is de documentatie toereikend om de boel elders opnieuw te deployen? Wie daar nooit over nadenkt, ontdekt het antwoord op het slechtst mogelijke moment.

4. Operationeel: controle voorbij het contract

Waar staan de servers? Waar draait de control plane? En wie zit er achter het toetsenbord als er iets misgaat?

Dat laatste punt gaat ver. Op het hoogste niveau eist DICTU dat alle medewerkers met privileged access burger en ingezetene zijn van de EU, in dienst bij een Europese entiteit, en fysiek vanuit Europa werken. De reden: voorkomen dat een systeembeheerder in een ander rechtsgebied gedwongen kan worden om toegang te verlenen aan een buitenlandse autoriteit.

5. Mens: de vergeten dimensie

Dit is de dimensie die DICTU zelf toevoegt ten opzichte van bestaande Europese frameworks. En het is een slimme toevoeging. Want uiteindelijk zijn het mensen die systemen bouwen, beheren en doorontwikkelen. Zijn die mensen gescreend en gecertificeerd? Is dat controleerbaar? En beschikt de leverancier over voldoende eigen EU-capaciteit om niet structureel afhankelijk te zijn van externe non-EU ondersteuning?

Niet in een vacuüm gebouwd

Het instrument bouwt voort op twee Europese referentiekaders: het EuroStack-initiatief en het European Commission Cloud Sovereignty Framework. EuroStack hanteert een strikt pass-fail-principe. Het EC-framework werkt met flexibele Sovereignty Effectiveness Assurance Levels (SEALs) en soevereiniteitsscores.

DICTU combineert het beste uit beide: de scherpe, concrete criteria van EuroStack met de gelaagde niveaubenadering van het EC-framework, plus een eigen toevoeging van de menselijke dimensie. Het resultaat is een instrument dat zowel selectief als genuanceerd is.

Waarom dit ook voor jou relevant is

Het instrument is geschreven voor DICTU, door DICTU. Maar de waarde reikt verder.

Als spiegel: hoe soeverein zijn de clouddiensten die je nu gebruikt? Weet je eigenlijk waar je data staat, wie erbij kan, en wat er gebeurt als de spelregels veranderen?

Als instrument: voor organisaties in gereguleerde sectoren of met overheidsopdrachten biedt het concrete handvatten om leveranciers te vergelijken op criteria die er werkelijk toe doen.

Als signaal: het feit dat de Nederlandse overheid dit publiceert, bevestigt dat digitale soevereiniteit geen beleidsjargon meer is. Het is een selectiecriterium geworden. En wie er niet over nadenkt, maakt impliciet een keuze.

Begin bij de bijlage

Niet iedere organisatie hoeft op niveau 5 te zitten voor ieder criterium. Maar het bewust kiezen van een niveau, op basis van een risicoafweging, is iets fundamenteel anders dan onwetend op niveau 1 opereren. Dat is precies het verschil dat Solvinity pijnlijk zichtbaar maakte: je kunt een Nederlands vlaggetje op een server plakken, maar als je niet structureel toetst op eigenaarschap, jurisdictie en operationele controle, ben je overgeleverd aan het volgende overnamebericht.

Scroll door naar de bijlage (pagina 25). Daar staan alle dimensies, criteria en niveaus overzichtelijk bij elkaar. Pak er je huidige cloudcontract bij, en stel jezelf per criterium de leidende vraag. De antwoorden zouden weleens verrassend kunnen zijn.