Ik heb al een tijd een soort 'onrust in mijn buik'. Het begon niet met een kop of een rapport, maar met eindeloze gesprekken en dialogen in de branche. Van rechtenstudenten, systeemwetenschappers, gedragswetenschappers, cybersecurityexperts en talloze anderen met inzicht en meningen ontstond een beeld in mijn hoofd. Het kreeg echt vorm na veel gesprekken met leidinggevenden die slim, onder druk en menselijk zijn, maar met andere aandachtspunten dan cybersecurityspecialisten zoals ik. Hetzelfde patroon kwam steeds terug: als we praten over digitale soevereiniteit, digitaal onafhankelijk zijn, zijn we vaak erg goed in het aanwijzen van een plek, een land, een vlag, maar minder goed in het beantwoorden van de lastige vraag: wie heeft de controle als het stormt?
Want in een digitale wereld komt de storm vroeg of laat, incidenten gebeuren en zullen blijven gebeuren. Het is niet dramatisch, het is gewoon... het weer. Wisselvallige politici komen en gaan, beslissers met meer of minder begrip en inzicht in de digitale wereld. Geopolitieke situaties stormen en kennen ook periodes van stilte met helderblauwe luchten en vriendelijke wolken (bewuste keuze van woorden). Organisaties zijn als boten op deze enorme digitale oceaan. En daar wil ik de hele discussie neerzetten: digitale soevereiniteit gaat niet over waar de boot geregistreerd staat. Het gaat over welke reddingsboten er echt te water kunnen, wie de sleutels heeft, en of de bemanning geoefend heeft om aan land te komen als het stormt. Zeewaardigheid op een verstandige basis met controle.
Dit klinkt misschien vanzelfsprekend. Toch zitten we vast in een gesprek dat vaak doorschiet naar twee uitersten. De ene kant doet alsof geografie alles oplost. De andere kant doet alsof schaal alles oplost. Ik denk dat beide kanten iets missen. Maar ik denk ook dat de "geografische" kant het meest en het duurst kan missen voor de digitale samenleving.
De serieuze bedenking: jurisdictie is geen complot, het is een risico
Ik wil dit eerst zeggen, want het is belangrijk voor de integriteit van dit stuk: er zijn legitieme redenen om sceptisch te zijn over afhankelijkheden en jurisdictie. Wanneer Europese actoren extraterritoriale toepassing van niet-Europese wetten als een cybersecurityrisico aanduiden, is dat niet automatisch een complot. Het Franse presidentieel kabinet heeft bijvoorbeeld expliciet gewezen op extraterritoriale toepassing van niet-Europese wetgeving in verband met digitale technologie als een risicodimensie die Europa moet kunnen beheersen (Élysée, 2025).
Er zijn ook pogingen om het debat flink te nuanceren, vooral wat betreft de Amerikaanse CLOUD Act die sommigen in paniek bracht. Sommige analyses proberen te verduidelijken wat die in de praktijk betekent, welke misverstanden er rondgaan, en welke controles het risico kunnen beperken (CMS, 2026).
De kern is eenvoudig: jurisdictie kan een relevante kwetsbaarheid zijn, vooral voor het meest gevoelige en maatschappelijke cruciale. Doen alsof die niet bestaat is net zo oneerlijk als doen alsof die automatisch betekent dat "alles wordt afgeluisterd". Beide kanten creëren meer verwarring dan duidelijkheid.
Maar, en hier komt mijn standpunt, jurisdictie is geen geografisch vonnis. Het is een risicofactor die vertaald moet worden naar proportionele controle-eisen.
Wanneer het debat ontspoort: soevereiniteitstheater
Wat mij irriteert, is wanneer soevereiniteit wordt gereduceerd tot het veranderen van de vlag op de factuur van de dienstverlener en dat vervolgens controle en compliance noemen. Dat leidt tot soevereiniteitstheater: we schilderen de reddingsboten om en hopen dat de storm onder de indruk is. Het is niets anders dan valse veiligheid, schijncontrole.
Hier vind ik dat de Europese Commissie iets belangrijks doet: proberen soevereiniteit meetbaar en op bewijs gebaseerd te maken in plaats van symbolisch. Hun Cloud Sovereignty Framework beschrijft soevereiniteit in meerdere dimensies en is bedoeld om het toetsbaar te maken, niet alleen iets om te voelen (Europese Commissie, 2025).
En het Joint Research Centre van de Commissie neemt een opmerkelijk genuanceerd standpunt in in dit gepolariseerde debat: Europa moet open zijn, maar niet machteloos. Digitale soevereiniteit gaat dan om strategische handelingsvrijheid en capaciteit, niet om isolatie of protectionisme om het protectionisme (Europese Commissie, Joint Research Centre, 2025).
Daar wil ik op uitkomen: soevereiniteit als controle, niet als "waar de server staat".
De tweede serieuze bedenking: "maar Amerikaanse clouds, zijn die geen risico?"
Ja, natuurlijk. Als iemand beweert dat alles veilig wordt alleen omdat het Azure, Amazon Web Services of Google Cloud heet, dan verwart diegene marketing met meteorologie. De storm maakt zich daar niets van. Tegelijkertijd moeten we één ding heel duidelijk hebben: hyperscale-leveranciers hebben een schaal die echte operationele capaciteit kan bieden. Microsofts Digital Defense Report beschrijft bijvoorbeeld de omvang van hun beveiligingsorganisatie en signaalverwerking (Microsoft, 2025), wat ongeëvenaard is als het gaat om echte en eenvoudige veiligheid.
Ik citeer dit niet om te zeggen "daarom zijn Amerikaanse clouds het beste". Ik citeer het om te zeggen: als we veiligheid vergelijken, moeten we vergelijken op capaciteit. Het is niet genoeg om te zeggen "we bouwen zelf" en te denken dat dat automatisch dezelfde reddingsbootcapaciteit, hetzelfde oefenniveau en dezelfde reddingsketen geeft.
Hier vind ik dat het geografische soevereiniteitdebat gevaarlijk kan worden. Niet omdat het afhankelijkheden wil verminderen, maar omdat het soms doet alsof je operationele diepte kunt vervangen door politieke uitspraken. En let op, hier willen ook EU-wetgevers echte veerkracht, waar het vermogen tot echte continuïteit meetbaar is.
"Splinternet" en data-lokalisatie: wanneer de muur een kwetsbaarheid wordt
Er is nog een ander probleem dat vaak vergeten wordt. Als we soevereiniteit bouwen als muren, riskeren we fragmentatie en digitale uitsluiting. Dit soort fragmentatie brengt kosten met zich mee, zowel economisch als op het gebied van veiligheid.
Het Europees Parlement heeft beschreven hoe internetfragmentatie ("splinternets") leidt tot uiteenlopende standaarden en protocollen, en dat dit gevolgen kan hebben voor innovatie, interoperabiliteit en governance (European Parliamentary Research Service, 2022).
De Organisatie voor Economische Samenwerking en Ontwikkeling laat zien dat data-lokalisatiemaatregelen toenemen en strenger worden, en dat ze bedrijven en grensoverschrijdende stromen kunnen beïnvloeden (Ferencz & López González, 2023).
Dit is een gebied waar ik vind dat het debat soms klinkt alsof "lokaal altijd beter is" of "Zweedse cloud is beter dan Amerikaanse". Maar lokaal kan ook betekenen: kleiner ecosysteem, minder talentenpoelen, duurdere redundantie en meer speciale oplossingen. En speciale oplossingen zijn vaak, in de praktijk, een veiligheidsrisico omdat complexiteit een favoriete maaltijd is voor incidenten en aanvallers. Je bent eigenlijk kwetsbaarder met lokaal en dichtbij. Kijk maar naar recente incidenten zoals Miljödata.
Ik zeg niet dat lokalisatie altijd fout is. Ik zeg dat lokalisatie een maatregel is met duidelijke afwegingen. En doen alsof die afwegingen er niet zijn, is alsof je een reddingsboot zonder bodemplug verkoopt. Of in controleperspectief: heb jij de controle die je wilt over je data in lokale clouds en technische oplossingen vergeleken met de alternatieven? Waar is jouw data het best beschermd en veilig gezien je kernactiviteiten, kosten, capaciteit en proportionaliteit?
Interne EU-conflict: het technische werd politiek
Als iemand wil zien dat "beide kanten" echt bestaan binnen de EU, dan is het voldoende om het debat rond certificering van clouddiensten en soevereiniteitseisen te volgen. Het EU Instituut voor Veiligheidsstudies beschrijft hoe een technische kwestie een politieke stresstest werd: hoe Europa veiligheid, prestaties en afhankelijkheid van dominante Amerikaanse leveranciers moet balanceren (European Union Institute for Security Studies, 2025).
Dit is goed om in gedachten te houden, want het laat zien dat het niet simpelweg "anti-VS" of "pro-cloud" is. Het is een echte belangenconflict tussen risicotypes: juridische controle, operationele robuustheid, marktdynamiek en geopolitieke handelingsvrijheid.
Mijn conclusie: controle is de reddingsboot, geografie is slechts de haven
Hier is mijn kernpunt, en dat blijf ik bepleiten na het goed aanhoren van de "andere kant": digitale soevereiniteit is echt wanneer we controle kunnen aantonen in drie eenvoudige vragen:
Ten eerste: kunnen we toegang en sleutels beheren op een manier die bestand is tegen zowel technische als juridische schokken?
Ten tweede: kunnen we schade snel detecteren en isoleren, ook als de leveranciersketen hapert?
Ten derde: kunnen we echt herstellen en dat aantonen met oefeningen, niet alleen met documenten?
Het maakt niet uit of de boot Europees of Amerikaans is als de reddingsboten niet te water kunnen. En hier vind ik dat complottheorieën een probleem worden voor onze digitale samenleving en organisaties in de publieke en private sector. Niet omdat ze altijd "fout" zitten met hun zorgen, maar omdat ze vaak belangrijke stappen overslaan om hun standpunt te bewijzen. Ze vervangen risicowerk door morele paniek. Ze lijken controle te zoeken, maar leveren vaak alleen angst, onwetendheid en soms paniek.
Angst kan ons in beweging brengen. Maar angst kan ons ook de verkeerde kant op sturen.
Groepsimmuniteit als volwassen antwoord in een grensloze storm
Mijn eigen positie hierin is daarom een combinatie die ik realistisch en verantwoordelijk vind: samenwerking met gelijkgestemde democratieën waar het kan, en selectieve, op bewijs gebaseerde soevereiniteit waar de consequenties dat vereisen.
De EU en de VS hebben al structuren voor samenwerking op het gebied van technologie, standaarden en veerkracht via de Trade and Technology Council, wat laat zien dat "alliantielogica" in de digitale ruimte een concrete, lopende strategie is, geen abstract idee (U.S. Trade Representative, 2024).
Dat betekent niet dat we naïef moeten zijn. Het betekent dat we volwassen moeten zijn. In een wereld waar aanvallers, leveranciersketens en geopolitiek grenzen overschrijden alsof het streepjes in het zand zijn, is de meest praktische vorm van soevereiniteit vaak gemeenschappelijke minimumeisen, een gedeeld dreigingsbeeld en gezamenlijke capaciteit om te herstellen.
Ik denk dat de concurrentiekracht van de toekomst wordt gemeten aan hoe goed we de koers kunnen houden in de storm op de wereldwijde digitale oceanen. Niet aan hoe hard we "onafhankelijkheid" roepen vanaf het dek terwijl we rondvaren in een optimist in de lokale haven.
Slotwoord: de storm komt toch, de vraag is of we geoefend zijn
Als ik je als lezer één beeld mee mag geven, is het dit. Stel je een kapitein voor op de brug met een kaart waarop alle gevaren zijn gemarkeerd. De kaart is mooi. Maar hij is waardeloos als de reddingsboten nooit zijn getest, de sleutels aan de verkeerde sleutelbos hangen en de bemanning nooit geoefend heeft op het handelen als het gebeurt.
Digitale soevereiniteit is geen adres. Het is een capaciteit. Het is controle.
En als we integriteit in het debat willen, moeten we dit tegelijk kunnen zeggen: ja, jurisdictie en afhankelijkheden zijn een reëel risico. Ja, hyperscale kan een echte kracht zijn. Ja, muren kunnen een echte kwetsbaarheid worden. En nee, we mogen veiligheid niet veranderen in theater.
Want de storm geeft niets om onze slogans. De storm geeft om onze reddingsboten.
Referenties
Europese Commissie. (2025). Cloud Sovereignty Framework (PDF).
Europese Commissie, Joint Research Centre. (2025). Open maar niet machteloos: Naar een gemeenschappelijk begrip van EU digitale soevereiniteit (Policy brief).
European Parliamentary Research Service. (2022). "Splinternets": Het hernieuwde debat over internetfragmentatie (PE 729.530).
European Union Institute for Security Studies. (2025). Technisch is politiek: Wanneer een cloudcertificeringsschema Europa verdeelt.
Élysée. (2025). Het bereiken van Europa's cloud- en data-soevereiniteit.
Ferencz, J., & López González, J. (2023). De aard, evolutie en mogelijke gevolgen van data-lokalisatiemaatregelen (OECD Trade Policy Papers, Nr. 278). OECD Publishing.
Microsoft. (2025). Microsoft Digital Defense Report 2025.
U.S. Trade Representative. (2024). VS-EU gezamenlijke verklaring van de Trade and Technology Council.
