Cloudsoevereiniteit stond op elk lijstje. Maar niet bovenaan.

Op het CIONET podium in Haarlem, samen met VandeBron en SURF. Over de spanning tussen US hyperscaler-afhankelijkheid en Europese data-soevereiniteit voor Nederlandse organisaties.

14 februari 20266 min leestijd
Simon Janssen
Simon JanssenCTO & Board Member · HappyNurse · CIONET

In februari stond ik op het CIONET podium in Haarlem, samen met sprekers van VandeBron en SURF. Het thema: The Challenges of Realizing Sovereignty. De zaal: een brede doorsnede van Nederlandse CIO's en CTO's.

Wat opviel: iedereen kende het probleem. Niemand had een eenvoudige oplossing.

Het paradox van de hyperscaler

Nederlandse en Europese organisaties zijn diep afhankelijk van drie Amerikaanse cloudproviders: AWS, Azure en Google Cloud. Dat is op zich geen probleem — het zijn uitstekende platforms. Het wordt een probleem zodra je de vraag stelt: wat gebeurt er als de politieke wind draait?

Dat is geen hypothetische vraag meer. De afgelopen jaren hebben we gezien hoe exportcontroles, CLOUD Act-verzoeken en geopolitieke verschuivingen concreet invloed hebben op de beschikbaarheid en vertrouwelijkheid van cloudinfrastructuur.

Voor organisaties in gereguleerde sectoren — zorg, financiën, overheid — is dit geen theoretisch risico. Het staat letterlijk in de risicoregisters.

Pragmatisch souverein

Mijn framework, dat ik bij HappyNurse hanteer en op het CIONET podium presenteerde, heet "Pragmatisch Souverein." De kern:

Volledige soevereiniteit is een illusie. Zelfs als je on-premise draait, ben je afhankelijk van hardware uit Taiwan, software uit de VS, en updates van buiten je eigen grenzen. De vraag is niet of je afhankelijk bent, maar waar je de grens trekt.

Drie lagen van soevereiniteit:

  1. Data-soevereiniteit — waar liggen je data, en wie heeft er juridisch toegang toe? Dit is het meest realiseerbaar en het meest urgent.
  2. Operationele soevereiniteit — kun je blijven functioneren als een provider tijdelijk niet beschikbaar is? Multi-cloud of hybrid-cloud architectuur helpt hier.
  3. Strategische soevereiniteit — heb je de kennis en het talent om te switchen als dat nodig is? Dit is de moeilijkste — en de meest verwaarloosde.

Wat dit betekent voor de zorg

In de zorg wordt er dagelijks met gevoelige data gewerkt van patienten tot zorgprofessionals: identiteitsgegevens, BIG-registraties, zorguren, arbeidscontracten. NEN7510 en AVG zijn geen optionele extra's. Zr zijn de juridische randvoorwaarden waarbinnen we opereren.

Een keuze voor bijvoorbeeld Azure moet dan ook bewust worden gemaakt. Datacenters binnen de EU, duidelijke data processing agreements. Maar denk ook aan een roadmap richting EU-soevereine clouddiensten via initiatieven als GAIA-X. Niet perfect, maar pragmatisch.

De eerlijke conclusie

Cloudsoevereiniteit haalt het lijstje van elke CIO. Maar het haalt zelden de top drie, want het is een investering zonder directe business case. Tot het een crisis wordt.

Mijn advies: behandel soevereiniteit als architectuurprincipe, niet als compliance-checkbox. Begin met data-soevereiniteit — dat is de meest concrete en meest realiseerbare laag. En zorg dat je over drie jaar nog kunt antwoorden op de vraag: wie heeft er toegang tot onze data, en op basis van welk recht?

Meer lezen? Zie ook Waarom de AI Act er écht toe doet en AI Readiness Scan — om te toetsen waar je organisatie staat op governance en data-soevereiniteit.

Cloud SovereigntyCIONETAzureEuropaData Governance
Terug naar blog