Image: Wat betekent ‘soevereine cloud’ écht? Feiten en definities.
Image
Actueel — Blog

Wat betekent ‘soevereine cloud’ écht? Feiten en definities.

10 april 2025
Auteur: PQR
blog
IT
PQR
rustmakers
soevereine cloud

De term ‘soevereine cloud’ duikt steeds vaker op, vooral nu Europese organisaties worstelen met naleving van de GDPR en zorgen hebben over buitenlandse toegang tot data. Maar wat betekent ‘soeverein’ eigenlijk in de context van cloud computing. In deze blog ontrafelen we de feiten achter de soevereine cloud met behulp van het onderzoek ‘Sovereign Cloud for Europe’, uitgevoerd door University of London Queen Mary, en geven we handvatten om door de hype heen te prikken​.​ 

Wat is een soevereine cloud?

Soevereiniteit in de context van cloud computing verwijst naar het vermogen om volledige controle te behouden over data en IT-infrastructuur, zonder ongewenste inmenging van buitenlandse overheden of bedrijven. Dit houdt in dat:

  • data binnen de EU blijft en niet wordt overgedragen naar landen zoals de VS;
  • alle beheer- en supportprocessen binnen Europa plaatsvinden;
  • cloudproviders geen juridische verplichtingen hebben om data te delen met buitenlandse overheden.

Toch bestaat er geen officiële definitie van een ‘soevereine cloud’. Dit betekent dat zowel Europese als niet-Europese cloudproviders de term vrij kunnen gebruiken, waardoor het voor bedrijven lastig wordt om feit van fictie te onderscheiden.

De juridische en technische nuances van cloudsoevereiniteit

De noodzaak van een soevereine cloud wordt grotendeels gedreven door de General Data Protection Regulation (GDPR) en zorgen over buitenlandse toegang tot Europese gegevens. Zo kunnen Amerikaanse cloudproviders onder de CLOUD Act en FISA Sectie 702 worden verplicht om data over te dragen aan de Amerikaanse overheid, zelfs als die data fysiek in Europa is opgeslagen. Dit vormt een compliance-risico voor Europese bedrijven en overheden die met gevoelige data werken.

Europese regelgevers, zoals de Franse CNIL en de Europese Toezichthouder voor Gegevensbescherming (EDPS), hebben hun zorgen uitgesproken over het gebruik van cloudproviders die buiten de Europese jurisdictie vallen. Maar tot nu toe ontbreken duidelijke richtlijnen over wat er precies vereist is om GDPR-compliant te zijn op het gebied van soevereine cloud. 

Waarop moet u letten?

Veel cloudproviders, inclusief Amerikaanse hyperscalers zoals AWS, Microsoft en Google, hebben producten gelanceerd die als ‘soeverein’ worden gepositioneerd. Maar betekent dit ook dat ze voldoen aan de Europese eisen voor data-soevereiniteit? Hier zijn een paar kritische vragen die u zichzelf kunt stellen bij het beoordelen van een cloudoplossing: 

  • Wie heeft de uiteindelijke controle over de data?
    Wordt data in Europa opgeslagen en verwerkt, en zijn er juridische waarborgen tegen toegang door buitenlandse overheden?
  • Wie heeft toegang tot de encryptiesleutels?
    Een cloudprovider kan claimen dat data versleuteld is, maar als de encryptiesleutels onder controle van een buitenlands moederbedrijf vallen, biedt dat weinig bescherming.
  • Voldoet de provider aan een erkende gedragscode?
    Er bestaan verschillende gedragscodes voor cloudproviders, maar geen enkele richt zich specifiek op bescherming tegen buitenlandse toegang. Een toekomstige gedragscode over soevereine cloud zou hier verandering in kunnen brengen. 

Hoe navigeert u door de verwarring en wat kunt u doen?

Voor bedrijven en overheden die willen overstappen op een echt soevereine cloud, is het belangrijk om verder te kijken dan de gegeven claims. Mogelijke strategieën zijn: 

  1. Kiezen voor een volledig Europese cloudprovider, zonder banden met niet-Europese entiteiten.
  2. Gebruik maken van encryptie met third-party sleutelbeheer, zodat zelfs de cloudprovider geen toegang heeft tot gevoelige data.
  3. Combineren van verschillende cloudmodellen, zoals private en public cloud, om risico’s te minimaliseren.
  4. Wachten op een nieuwe gedragscode, die duidelijke richtlijnen biedt voor naleving van GDPR en bescherming tegen buitenlandse inmenging. ​     ​

Lees ook: Kiest u voor de hybride cloud, multicloud of voor beide?

Controle

De term ‘soevereine cloud’ wordt op verschillende manieren gebruikt, en niet elke aanbieder die deze claim maakt, voldoet daadwerkelijk aan de verwachtingen van Europese wetgeving en organisaties. Door kritisch te kijken naar waar data wordt opgeslagen, wie de controle heeft en welke juridische verplichtingen er gelden, kunt u een cloudoplossing kiezen die écht veilig en compliant is.  

Wil u meer weten over hoe u de juiste cloudstrategie voor uw organisatie kiest waarvan security, compliance, beschikbaarheid, continuïteit én een exit-strategie onderdeel zijn? Neem contact op met onze experts.

Bron: Sovereign Cloud for Europe, research report 

 

Geplaatst door

PQR

In een steeds veranderende en complexer wordende wereld wordt iedereen steeds afhankelijker van IT. PQR streeft ernaar de beste partner te zijn die zich richt op de behoefte van organisaties en hen helpt controle over hun IT-infrastructuur te verkrijgen én te behouden.