Halverwege 2026 EU-techsoevereiniteit: een voortgangsrapport

door BetterInEurope | | 7 min lezen
digital-sovereigntyEU-toolsGDPRgovernancepolicy

Wat veranderde in de eerste helft van 2026

Toen 2026 begon, was Europese techsoevereiniteit nog grotendeels een beleidsdiscussie. Eind mei is het een operationele realiteit geworden met concrete gebeurtenissen, concrete leveranciers en concrete regulatoire mechanismen. Dit is het geconsolideerde voortgangsrapport.

Zes ontwikkelingen springen eruit.

1. De stap van de Infomaniak-stichting

In mei 2026 droeg Boris Siegenthaler de meerderheid van de stemrechten in Infomaniak over aan de nieuw opgerichte Infomaniak-stichting — een Zwitserse stichting van publiek belang waarvan de niet-overdraagbare stemaandelen de soevereiniteitsmissie van het bedrijf structureel verankeren tegen elke toekomstige overname.

Dit is het eerste grote Europese cloudbedrijf dat steward ownership op het governance-niveau toepast. De Carl-Zeiss-Stiftung, Robert Bosch Stiftung en vergelijkbare stichtingen gebruiken dit model al meer dan een eeuw voor industriële bedrijven. Het toepassen ervan op een cloudinfrastructuurbedrijf dat rechtstreeks concurreert met AWS, Microsoft en Google voor Europese klanten is werkelijk nieuw — en zal waarschijnlijk de blauwdruk vormen voor meer vergelijkbare stappen.

Verwacht dat meer Europese tech-oprichters in 2026-2030 stichtingsgovernance zullen overnemen, met name bedrijven waarvan de waardepropositie afhangt van langetermijnvertrouwen. Privacy-gerichte tools, soevereine cloudaanbieders en AI-bedrijven met niet-extractieve toezeggingen zijn de meest waarschijnlijke volgende toepassers.

2. De ICC/Microsoft-soevereiniteitsles definitief verankerd

Het incident uit 2025 waarbij de aanklager van het Internationaal Strafhof de toegang tot zijn Microsoft-e-mail verloor onder druk van Amerikaanse sancties blijft de Europese inkooppraktijk vormgeven.

Concrete gevolgen die in de eerste helft van 2026 zichtbaar zijn:

  • Meerdere lidstaten hebben EU-cloud-first-inkoopbeleid voor de publieke sector en gereguleerde industrie uitgevaardigd of aangescherpt
  • Nieuwe inkoopclausules die scenario’s rond sancties en afsluiting adresseren, circuleren binnen Europese juridische teams
  • De omstreden soevereiniteitscriteria in het EUCS-schema kregen hernieuwde steun van eerder twijfelende lidstaten
  • Europese soevereine cloud-aanbestedingen in de publieke sector stegen wezenlijk in volume

De verschuiving is niet van “volledig inzetten op Amerikaanse clouds” naar “er volledig uitstappen”. Het is een verschuiving van “abstracte zorg” naar “expliciete risicoregisterpost” — en die risicoregisterpost informeert nu echte inkoopbeslissingen.

3. Het AI Office op vol operationeel tempo

Het Europese AI Office — opgericht onder de AI Act binnen DG CNECT — voltooide halverwege 2026 zijn eerste volledige operationele jaar. De bezetting groeide tot enkele honderden technische en beleidsmedewerkers. De eerste GPAI Code of Practice werd eind 2025 gepubliceerd met deelname van grote aanbieders van foundationmodellen.

De eerste formele handhavingsacties van het Office vormen nu precedent. Aanbieders van foundationmodellen die de EU bedienen, hebben nu een duidelijke regulatoire gesprekspartner — en die gesprekspartner heeft laten zien echte bevoegdheid te kunnen uitoefenen, niet alleen richtlijnen te publiceren.

Voor Europese AI-startups heeft de coördinatie van regulatoire sandboxes door het AI Office experimenteren met nieuwe use cases aanzienlijk beter begaanbaar gemaakt. Verschillende sandboxes in lidstaten zijn van aankondiging naar operationele toetsing gegaan.

4. EHDS-implementatie van start

De European Health Data Space, als verordening aangenomen in maart 2025, beweegt in 2026 van wet naar infrastructuur. Health Data Access Bodies (HDABs) zijn aangewezen in 23 van de 27 lidstaten. Frankrijk (Health Data Hub uitgebreid onder EHDS), Duitsland (Forschungsdatenzentrum Gesundheit), Finland (Findata) en Estland (Tehik) zijn operationeel het verst.

De eerste grensoverschrijdende vergunningen voor onderzoeksgegevens worden afgegeven. De MyHealth@EU-infrastructuur voor eerstelijnszorg wordt uitgebouwd richting de verplichte toepassingsdatum van 2030. EU-only beveiligde verwerkingsomgevingen voor onderzoek met gevoelige gezondheidsgegevens worden aanbesteed.

Voor zorgtechleveranciers wordt EHDS-compliant infrastructuur een inkoopcategorie. Voor in de VS gevestigde health-cloudaanbieders beperken de soevereiniteitsvereisten directe deelname — joint-venture-constructies komen op als omweg.

5. Strategische projecten onder de Critical Raw Materials Act goedgekeurd

De Critical Raw Materials Act — de fundamentele toeleveringsketenlaag onder digitale soevereiniteit — kende in 2026 zijn eerste golf van aanwijzingen als strategisch project. Lithiumprojecten in Portugal, Tsjechië en Duitsland kregen versnelde vergunningen. Uitbreiding van batterijrecyclingcapaciteit is in meerdere lidstaten aangewezen als strategisch project.

Dit doet ertoe voor digitale soevereiniteit omdat halfgeleiders, batterijen en AI-rekeninfrastructuur allemaal afhankelijk zijn van materialen die onder de CRMA vallen. EU-toegang tot deze materialen is niet langer een kwestie van pure marktdynamiek — het is ook een structurele beleidskwestie.

Strategische partnerschappen zijn ondertekend met Australië, Canada, Chili, Groenland, Kazachstan, Noorwegen, Servië, Oekraïne en Zambia. De benchmarks voor diversificatie naar derde landen (niet meer dan 65% afhankelijkheid van één niet-EU-land) geven deze partnerschappen expliciet vorm.

6. De Cyber Solidarity Act wordt echte infrastructuur

De Cyber Solidarity Act, aangenomen eind 2024, ging in 2025-2026 over naar operationele implementatie. Het Europese Cybersecurity Shield is gedeeltelijk operationeel. Grensoverschrijdende SOC-consortia (Frankrijk-Duitsland-België, Noords-Baltisch) draaien uitwisselingen van dreigingsinformatie. De eerste kaderovereenkomsten voor de EU Cybersecurity Reserve zijn ondertekend met doorgelichte Europese cybersecurityaanbieders.

Voor cybersecurityleveranciers is lidmaatschap van de Reserve een betekenisvol inkoopsignaal geworden. Voor in de VS gevestigde cybersecuritybedrijven hebben de soevereiniteitsvereisten structurele drempels voor deelname gecreëerd, consistent met SecNumCloud en het bredere EU-certificeringsecosysteem.

Wat dit betekent voor Europese kopers

Voor de meeste Europese bedrijven was soevereiniteit in 2024 en 2025 een concept. Halverwege 2026 is het in toenemende mate een inkoopcategorie met specifieke leveranciers, specifieke certificeringen en specifieke governancestructuren om te evalueren.

De praktische implicaties zijn concreet:

Voor inkoopteams: leverancieronderzoek omvat nu redelijkerwijs corporate jurisdictie, status van stichtings-/steward-ownership, EU-certificering (EUCC, EUCS, SecNumCloud, BSI C5) en transparantie over de toeleveringsketen (CRMA-conform). Dit waren twee jaar geleden academische overwegingen. Vandaag zijn ze in toenemende mate inkooprelevant.

Voor CTO”s en engineeringleiders: keuzes voor cloud, database en SaaS zijn niet langer puur technische beslissingen. Het ICC/Microsoft-incident en de aankondiging van de Infomaniak-stichting omsluiten een jaar waarin structureel leveranciersrisico in veel organisaties een gesprek op bestuurlijk niveau werd.

Voor compliance-teams in gereguleerde industrieën: NIS2, DORA, de AI Act, EHDS en de Cyber Resilience Act creëren samen een regulatoire omgeving die inkoop vormgeeft en die er in 2023 simpelweg nog niet was. Soevereiniteitsoverwegingen zijn niet langer optionele redactionele keuzes — ze zijn in toenemende mate ingebed in regulatoire verwachtingen.

Voor Europese tech-leveranciers: het inkoopsignaal verschuift. EU-jurisdictie, stichtingsgovernance, gecertificeerde soevereiniteit en transparantie in de toeleveringsketen zijn in toenemende mate differentiatie-pijlers die kopers actief evalueren. Het Europese leveranciersecosysteem (Infomaniak, OVHcloud, Scaleway, Mistral, Mullvad, Threema, Element, Mojeek, DeepL, Cubbit, Tixeo, Scalingo, Clever Cloud, Aiven en vele andere) kan in toenemende mate concurreren op meer dan alleen prijs- en featurepariteit.

Wat nog niet veranderd is

Het is goed eerlijk te zijn over wat niet verschoven is.

De meeste Europese bedrijven kiezen voor het overgrote deel van hun stack nog steeds standaard voor Microsoft 365, AWS en Salesforce. Migratiekosten blijven reëel. Vaardigheden en vertrouwdheid met het ecosysteem blijven de gevestigde spelers in de kaart spelen. Het Europese techecosysteem kan nog niet in elke categorie en op elke schaal concurreren met de Amerikaanse hyperscalers.

Wat wel veranderd is, is dat de richting van verandering nu structureel in Europees voordeel uitvalt op een manier die twee jaar geleden niet zo was. De combinatie van regulatoire druk (NIS2, DORA, AI Act, EHDS, CRA), incidentgedreven risicoperceptie (ICC/Microsoft) en geloofwaardige Europese alternatieven produceert zichtbare verschuivingen in inkoop aan de marge.

Die marge stapelt op in de loop van de tijd.

De eerlijke vooruitblik

Europese techsoevereiniteit halverwege 2026 is niet langer een defensief verhaal over het niet verder verliezen van terrein. Het is in toenemende mate een offensief verhaal over specifieke structurele voordelen — corporate jurisdictie, stichtingsgovernance, gecertificeerde soevereiniteit, transparantie in de toeleveringsketen — die Europese leveranciers geloofwaardig kunnen bieden en Amerikaanse gevestigde spelers structureel niet.

De komende 18 tot 24 maanden zullen bepalen of dit voordeel zich vertaalt in significante marktaandeelverschuivingen of een kleine maar duurzame structurele premie blijft. De voorwaarden voor het eerste worden zichtbaar opgebouwd. De uitvoering is de vraag.

Voor iedereen die verantwoordelijk is voor Europese tech-inkoop is het voortgangsrapport van halverwege 2026 duidelijk genoeg: het abstracte is nu operationeel. De leveranciers bestaan. De certificeringen bestaan. De governancestructuren bestaan. De regulatoire druk sluit aan. De vraag is niet langer of soevereiniteit reëel is. De vraag is of uw organisatie zo is gestructureerd dat ze ernaar kan handelen.

Wil je een gepersonaliseerde Europese stack-aanbeveling? Probeer onze 2-minuten beslissingswizard — die stelt vier vragen over je prioriteiten en geeft een gerangschikte shortlist van EU-gebouwde tools terug. Of doe de US Exposure Assessment om je huidige leverancier-jurisdictierisico in kaart te brengen.

Was dit nuttig?

Blijf Op De Hoogte

Ontvang het laatste nieuws over Europese alternatieven en digitale soevereiniteit.

Wij respecteren je privacy. Op elk moment uitschrijven. Geen tracking, geen spam.