Woordenlijst · Cloudarchitectuur Cloudsoevereiniteit
De architectonische en juridische eigenschap van cloudinfrastructuur die ervoor zorgt dat data, operaties en zeggenschap onder de jurisdictie van een specifiek land of regio blijven — meestal de EU.
## Wat cloudsoevereiniteit eigenlijk betekent
Cloudsoevereiniteit is het toepassen van [datasoevereiniteit](/nl/glossary/data-sovereignty/) en [digitale soevereiniteit](/nl/glossary/digital-sovereignty/) specifiek op cloudinfrastructuur. Een cloud is "soeverein" voor een jurisdictie als:
1. De cloudinfrastructuur fysiek in die jurisdictie staat
2. De cloud wordt beheerd door entiteiten die zijn opgericht in die jurisdictie (of in jurisdicties met gelijkwaardige rechtsbescherming)
3. Externe jurisdicties wettelijk geen openbaarmaking van data, operaties of toegang kunnen afdwingen
Voor specifiek Europese cloudsoevereiniteit is de derde voorwaarde de kritieke — en daar schieten Amerikaans-gevestigde cloudaanbieders structureel tekort vanwege de [CLOUD Act](/nl/glossary/cloud-act/).
## De vier soevereiniteitsniveaus
Europese cloudsoevereiniteit is niet binair. Ze bestaat op een spectrum:
### Niveau 0: Geen soevereiniteit
Standaard publieke cloud (AWS, Azure, GCP) zonder specifieke EU-configuratie. Data kan wereldwijd worden opgeslagen; volledige Amerikaanse juridische blootstelling.
### Niveau 1: EU-data residency
Amerikaans-gevestigde cloud met expliciete configuratie om data in EU-regio's te houden. Beter dan niveau 0, maar adresseert geen juridische dwang via CLOUD Act.
Dit is wat Microsoft adverteert als "EU Data Boundary". Nuttig voor algemene zakelijke workloads, maar juridisch ontoereikend voor de hoogste soevereiniteitseisen.
### Niveau 2: EU-gevestigde cloud
Cloud beheerd door EU-gevestigde entiteiten zonder Amerikaanse zeggenschap. CLOUD Act is niet van toepassing (entiteit is niet Amerikaans). Data is in EU-jurisdictie, beheerd door een EU-entiteit, geen extern dwangpad.
Voorbeelden: [Hetzner](/nl/alternatieven/hetzner-vs-aws/), [Scaleway](/nl/alternatieven/scaleway-vs-google-cloud/), [OVHcloud](/nl/alternatieven/ovhcloud-vs-microsoft-azure/), [Infomaniak](/nl/alternatieven/infomaniak-vs-digitalocean/), IONOS.
Dit is het praktische soevereiniteitsniveau voor de meeste Europese bedrijven.
### Niveau 3: Soevereine cloud (gecertificeerd)
EU-gevestigde cloud met aanvullende certificeringen die expliciete soevereiniteitsgaranties bieden:
- **Frans Cloud de Confiance** (Trusted Cloud) — strikte Franse overheidscertificering die geen buitenlandse juridische zeggenschap toestaat
- **Duitse BSI C5 sovereign cloud** — Duitse cyberveiligheidscertificering voor soevereine workloads
- **Italiaanse en andere nationale soevereiniteitskaders**
Voorbeelden: Open Telekom Cloud (Duitsland), T-Systems Sovereign Cloud (Duitsland), Outscale (Frankrijk, dochter van Dassault Systèmes), Bleu (joint venture van Microsoft + Capgemini + Orange voor de Franse soevereine cloud).
Dit is het niveau dat vereist is voor toepassingen met de hoogste belangen — publieke sector, gezondheidszorg, kritieke infrastructuur, defensie.
## Wat "EU sovereign cloud"-claims van Amerikaanse aanbieders feitelijk betekenen
Microsoft, AWS en Google Cloud adverteren allemaal met "sovereign cloud"-aanbiedingen voor Europese klanten. Deze verschillen aanzienlijk in de soevereiniteit die ze daadwerkelijk bieden:
**Microsoft EU Data Boundary** — niveau 1-soevereiniteit. Data wordt opgeslagen en verwerkt in de EU. Microsoft Corporation (Amerikaanse moeder) behoudt zeggenschap. CLOUD Act is van toepassing.
**AWS European Sovereign Cloud** (aangekondigd in 2023, beperkte uitrol) — streeft naar niveau 2/3 met een aparte operationele entiteit. Implementatietijdlijn onduidelijk.
**Google Cloud Sovereign Solutions** — varieert per partner. T-Systems Sovereign Cloud Germany wordt beheerd door Deutsche Telekom — zinvolle soevereiniteit. Andere Google Cloud + EU-partner-combinaties variëren.
**Bleu (Microsoft + Capgemini + Orange)** — Franse soevereine cloud gebouwd op Azure-technologie maar geëxploiteerd als volledig Franse entiteit. Ontworpen om gecertificeerd te worden als niveau 3 / Cloud de Confiance.
Het patroon: Amerikaanse aanbieders kunnen technisch hoge soevereiniteitsniveaus bereiken via complexe partnerschapsstructuren die operationele entiteiten scheiden van zeggenschap. Deze werken, maar vereisen zorgvuldige beoordeling van specifieke contractuele en technische garanties.
## Wanneer welk soevereiniteitsniveau zinvol is
Voor Europese bedrijven die cloudarchitectuurbeslissingen nemen:
**Niveau 0 (standaard publieke cloud)** — aanvaardbaar voor algemene zakelijke workloads zonder specifieke soevereiniteitsvereisten. Voorbeelden: hosting van marketingwebsites, publieke assets, algemene kantoorproductiviteit.
**Niveau 1 (EU-data residency)** — aanvaardbaar voor de meeste bedrijfsworkloads met algemene AVG-nalevingsvereisten. Voorbeelden: klantgerichte SaaS, interne samenwerkingstools, hosting van bedrijfsapplicaties.
**Niveau 2 (EU-gevestigde cloud)** — aanbevolen voor gevoelige data, gereguleerde sectoren en bedrijven waar soevereiniteit een concurrentievoordeel is. Voorbeelden: zorggerelateerde toepassingen, juridische diensten, B2B-SaaS voor Europese ondernemingen.
**Niveau 3 (soevereine cloud)** — vereist voor publieke sector, defensie, sterk gereguleerde sectoren (banken onder DORA, zorg met patiëntgegevens) en elke organisatie met expliciete soevereiniteitsmandaten.
De meeste Europese bedrijven opereren op niveau 1 met selectief niveau 2 voor gevoelige workloads. De strategische vraag is of niveau 2 / 3-voetafdruk in de loop van de tijd moet worden uitgebreid.
## Cloudsoevereiniteit en DORA
DORA (Digital Operational Resilience Act, van kracht sinds januari 2025) creëert specifieke cloudsoevereiniteitsdruk voor Europese financiële instellingen:
- **Eisen aan concentratierisico** — financiële instellingen mogen niet alle kritieke infrastructuur op één cloudaanbieder hebben, wat multi-cloudstrategieën dwingt die vaak EU-residente aanbieders bevatten
- **Toezicht op kritieke ICT-derden** — grote cloudaanbieders die meerdere financiële instellingen bedienen, staan nu onder direct EU-regulatoir toezicht
- **Specifieke contractvereisten** — DORA vereist clausules die de standaardvoorwaarden van Amerikaanse aanbieders doorgaans moeten worden aangepast om aan te kunnen sluiten
Voor specifiek Europese fintech is cloudsoevereiniteit verschoven van voorkeur naar operationele vereiste.
## Kostenimplicaties
Hogere soevereiniteitsniveaus kosten meestal meer, maar het verschil is kleiner dan vaak gedacht:
- **Niveau 0 versus niveau 1**: minimaal kostenverschil (vooral configuratie)
- **Niveau 1 versus niveau 2**: EU-gevestigde aanbieders (Hetzner, Scaleway) zijn doorgaans *goedkoper* dan Amerikaanse hyperscalers, vaak 50-80%
- **Niveau 2 versus niveau 3**: certificeringen voor soevereine cloud verhogen de kosten, doorgaans 20-50% premie boven standaard EU-gevestigde cloud
De overgang van niveau 1 naar 2 is economisch bijzonder gunstig — betere soevereiniteit + lagere kosten. De overgang van niveau 2 naar 3 kost meer maar is vereist voor specifieke toepassingen met hoge belangen.
Voor een concrete kostenvergelijking, zie onze [kostencalculator AWS versus EU-cloud](/nl/cloud-savings-calculator/).
## Wat 2026-2027 brengt
Cloudsoevereiniteit is een actief regulatoir en technisch domein. Let op:
- **EU Cloud Certification Scheme (EUCS)** — pan-Europese certificering voor cloudbeveiliging en soevereiniteit, momenteel in afronding
- **Soevereiniteitskaders van lidstaten** blijven evolueren (Duitse Cloud Act 2024, geactualiseerde Franse Cloud de Confiance-criteria)
- **DORA-handhaving** verduidelijkt verwachtingen voor cloudsoevereiniteit in de financiële sector
- **EU AI Act** voegt AI-specifieke cloudsoevereiniteitsoverwegingen toe
- **Soevereine AI** waar cloudsoevereiniteit raakt aan EU AI Act-verplichtingen
Voor Europese bedrijven sluit het behandelen van cloudsoevereiniteit als een doorlopende strategische houding aan op de regulatoire richting.
Was dit nuttig?
Bedankt voor je feedback!