Image: Waarom Europese organisaties nu moeten nadenken over cloudsoevereiniteit
Image
Actueel — Blog

Waarom Europese organisaties nu moeten nadenken over cloudsoevereiniteit

10 april 2025
Auteur: PQR
blog
IT
PQR
rustmakers
soevereine cloud

Cloudsoevereiniteit is geen ver-van-je-bed-show meer. Recente juridische en geopolitieke ontwikkelingen maken het voor Europese organisaties steeds urgenter om na te denken over waar en hoe ze hun data opslaan. Het gaat niet alleen om compliance met de GDPR, maar ook om bescherming tegen ongewenste toegang door buitenlandse overheden en de strategische controle over IT-infrastructuur. In deze blog bespreken we waarom organisaties juist nu actie moeten ondernemen en welke risico’s er spelen als ze dat niet doen. Dit blog is tot stand gekomen met behulp van het onderzoek ‘Sovereign Cloud for Europe’, uitgevoerd door University of London Queen Mary. 

Toezichthouders grijpen in

Een spraakmakende ontwikkeling vond plaats in maart 2024, toen de Europese Toezichthouder voor Gegevensbescherming (EDPS) oordeelde dat de Europese Commissie de GDPR had geschonden, door Microsoft Office 365 in de cloud te gebruiken. De EDPS stelde vast dat de Commissie er niet in was geslaagd om de vertrouwelijkheid van haar gegevens te beschermen. Dat er geen effectieve waarborgen waren tegen mogelijke toegang door de Amerikaanse overheid. Tot slot deed de cloudconfiguratie niet aan de GDPR-verplichtingen. De EDPS gaf de Commissie zes maanden de tijd om haar cloudgebruik in lijn te brengen met de GDPR.  

Dit markeert een belangrijk precedent: zelfs de Europese Commissie worstelt met cloudsoevereiniteit en toezichthouders zijn bereid om handhavend op te treden. Als grote organisaties zoals de Europese Commissie al moeite hebben om hun cloudgebruik compliant te maken, wat betekent dit dan voor bedrijven en overheden die afhankelijk zijn van cloudproviders buiten de Europese grenzen?  

De risico’s van een nieuwe Schrems-uitspraak

De juridische strijd over gegevensoverdracht tussen de EU en de VS is nog lang niet voorbij. Het EU-US Data Privacy Framework (DPF), dat in 2023 werd geïntroduceerd om data-uitwisseling te reguleren, lost niet alles op. Juridische experts voorspellen dat er een grote kans is dat het DPF wordt aangevochten bij het Europees Hof van Justitie (CJEU) en mogelijk wordt vernietigd, net zoals de vorige data-akkoorden (Schrems I en II). 

Dit zou opnieuw een schokgolf teweeg kunnen brengen en organisaties dwingen om alternatieven te zoeken. Door nu al te investeren in een soevereine cloudstrategie bent u beter voorbereid op zo’n scenario. 

Geopolitieke onzekerheden en de impact op de cloudmarkt

Naast juridische uitdagingen spelen ook geopolitieke spanningen een rol in de cloudmarkt. De nieuwe Trump-administratie in de VS zou een hardere ‘America First’-strategie kunnen voeren, wat Europese beleidsmakers nerveus maakt over de afhankelijkheid van Amerikaanse technologie. 

Tegelijkertijd werken Europese landen aan strategische initiatieven zoals Gaia-X en de European Data Act om digitale soevereiniteit te versterken.
Vanaf september 2025 moeten cloudproviders bijvoorbeeld transparant zijn over welke jurisdicties invloed hebben op hun infrastructuur en welke maatregelen ze nemen tegen internationale overheidstoegang. Europese bedrijven die hier nu al rekening mee houden, voorkomen dat ze plots moeten overstappen op andere oplossingen.  

De impact van AI en nationale veiligheidsrisico’s

AI maakt het risico op buitenlandse toegang tot gevoelige gegevens nog groter. Amerikaanse inlichtingendiensten verzamelen al decennialang data, maar met nieuwe AI-technologieën kunnen ze deze informatie sneller analyseren en verbanden leggen die eerder onopgemerkt bleven. 

Zoals een expert in het onderzoek ‘Sovereign Cloud for Europe’ van Universiteit London Queen Mary opmerkte: “AI wordt absoluut opgepakt door veiligheidsdiensten. Ze hebben al jarenlang enorme hoeveelheden data verzameld, maar ze wisten nooit goed wat ze ermee moesten doen. Nu heeft de technologie hen ingehaald en kunnen ze er eindelijk iets mee.” 

Dit roept serieuze vragen op voor organisaties in Nederland die gevoelige gegevens verwerken, bijvoorbeeld in de gezondheidszorg, financiën en overheidsdiensten. Het gebruik van Amerikaanse cloudinfrastructuur betekent dat deze gegevens theoretisch toegankelijk kunnen zijn voor buitenlandse overheden.  

Wat kunnen organisaties in Nederland nu al doen?

Nu handelen betekent later minder risico lopen. U kunt enkele stappen nemen om uw cloudstrategie toekomstbestendig te maken: 

  1. Data classificeren: Welke gegevens zijn kritisch en moeten beschermd worden tegen buitenlandse toegang? 
  2. Soevereine alternatieven overwegen: Zijn er Nederlandse cloudproviders die voldoen aan de beveiligings- en compliance-eisen? 
  3. Encryptie en sleutelbeheer verbeteren: Door encryptiesleutels te beheren binnen de EU, kunnen organisaties de controle over hun data behouden. 
  4. Hybride of private cloudmodellen evalueren: In sommige gevallen is een mix van private en publieke cloudoplossingen de beste strategie. 

Het is tijd om in actie te komen

Cloudsoevereiniteit is niet langer een abstract beleidsvraagstuk, maar een urgent onderwerp dat u direct raakt. Europese toezichthouders worden strenger, geopolitieke onzekerheden nemen toe en AI vergroot de risico’s van ongecontroleerde data-extractie. 

Organisaties die nu actie ondernemen, bijvoorbeeld door over te stappen op soevereine cloudoplossingen of door hun data governance-strategie te herzien, kunnen later grote problemen voorkomen. Wachten is geen strategie, proactief handelen wel. Wilt u weten hoe u uw organisatie kunt voorbereiden? Neem contact op met onze experts en ontdek de stappen die u nu al kunt ondernemen samen met mogelijkheden in de toekomst.  

Bron: Sovereign Cloud for Europe, research report 

 

Geplaatst door

PQR

In een steeds veranderende en complexer wordende wereld wordt iedereen steeds afhankelijker van IT. PQR streeft ernaar de beste partner te zijn die zich richt op de behoefte van organisaties en hen helpt controle over hun IT-infrastructuur te verkrijgen én te behouden.