Voor die veelzijdigheid heeft de Europese Commissie een handvat geleverd. Het nieuwe EU Cloud Sovereignty Framework biedt een systematische manier om digitale soevereiniteit te beoordelen. In dit stuk staat eerst de werkdefinitie centraal, daarna het framework zelf, en tot slot de toepassing ervan op de eigen dienstverlening van Centric.
Definitie
DICTU heeft in haar toetsingsinstrument een werkbare definitie neergelegd. Een soevereine cloud is “een verzameling clouddiensten binnen een rechtsgebied die voldoet aan de eisen voor datalokalisatie en operationele autonomie. De soevereine cloud moet ervoor zorgen dat de data, activiteiten, infrastructuurcomponenten en technologie niet kunnen worden beïnvloed door andere rechtsgebieden en beschermd moeten worden tegen directe invloed of toegang door overheden uit derde landen.”
Die formulering is nuttig, want ze maakt meteen duidelijk dat soevereiniteit breder is dan ‘de data staat in Europa’. En gecombineerd met het Europese framework, geeft dit een holistisch beeld wat soevereiniteit behelst.
Framework
Het EU Cloud Sovereignty Framework onderscheidt op haar beurt acht aspecten: strategische, juridische, data- en AI-, operationele, toeleveringsketen-, technologische, beveiligings- en ecologische soevereiniteit. Per aspect wordt een SEAL-score toegekend. SEAL staat voor 'Sovereignty Effectiveness Assurance Level', het niveau van soevereinitiet. Dit loopt van niveau 0 (geen soevereiniteit) tot niveau 4 (volledig soeverein binnen de EU).
Elk van de aspecten is uitgewerkt in het framework, zodat je een interpretatie kunt geven. Strategisch: wie is de eigenaar van de dienst en is dat volledig Europees? Juridisch: onder welke wet- en regelgeving valt de cloudomgeving, en kan een buitenlandse overheid data opeisen? Operationeel: ben je afhankelijk van één leverancier, of kun je schakelen, integreren en vervangen? Enzovoorts.
Het mooie van het framework is, dat het open en algemeen toepasbaar is. Niet om alle diensten gelijk te behandelen, maar om ze langs dezelfde soevereiniteitsprincipes te beoordelen. Of het nu gaat over een werkplek of een kernsysteem. Zo ontstaat een gedeelde taal voor het gesprek met leveranciers en bestuur.
Centric
Wanneer we Centric binnen het framework plotten, valt op dat we hoog scoren op de soevereiniteitsaspecten. We zijn een volledig Nederlands bedrijf met uitsluitend Nederlandse aandeelhouders. Onze vestigingen in Duitsland, Roemenië en Litouwen vallen onder dezelfde Nederlandse holding. Er is geen invloed van buiten de EU. De diensten voor digitale overheid leveren we vanuit Nederland, onder Nederlands recht, in het Nederlands en met een supportteam in dezelfde tijdzone. Op strategische soevereiniteit komen onze oplossingen daarmee uit op SEAL 4: volledig soeverein. Ook op data- en operationele soevereiniteit halen we voor de meeste diensten het maximum, omdat we een groot deel van onze oplossingen in Nederlandse datacenters draaien, onder eigen regie.
Uitdagender wordt het in de technologische onderlaag. Veel oplossingen draaien op Windows Server met MS SQL of Oracle. Dat zijn bewezen, robuuste platforms, maar ze brengen afhankelijkheden mee van leveranciers buiten de EU. Daar scoren we dan ook lager. Die nuance zetten we er eerlijk bij. Wat ik wel belangrijk vind om te melden: de veiligheid van de dienst én de data is prima geborgd. Data staat in Europese datacenters en is versleuteld. Het framework kijkt juist voorbij die veiligheidsvraag. En natuurlijk kijken wij ook welke technologie we willen blijven gebruiken of juist moeten vervangen.
Label
Wanneer je de acht aspecten weegt en optelt, ontstaat een percentage. Dat werkt onhandig en leidt het gesprek af van waar het echt om gaat. We hebben de scores daarom vertaald naar een eenvoudig soevereiniteitslabel van A tot E, vergelijkbaar met de bekende energielabels. Van onze hoofdproducten hebben er vijf label A; de overige twaalf scoren een B. Ons laagste niveau is dus nog altijd B. Dat is het voordeel van een Nederlandse partij: de uitgangspositie is al goed, en daar houden we het niet bij.
Ambitie
Onze ambitie voor 2028 is eenvoudig te formuleren: alle diensten van Centric Digitale Overheid op soevereiniteitsniveau A. Dat doen we door, waar nodig, data en diensten te migreren naar onze private cloud, waar we de volledige controle hebben. Parallel werken we in de Open Cloud Alliantie met partners als KPN en Uniserver aan open continuïteit, en onderzoeken we samen met Nextcloud en andere Europese partners hoe de werkplek stap voor stap soevereiner kan worden. Dit hebben we ook vastgelegd in ons manifest.
Aan de slag
Voor gemeenten die dezelfde beweging willen maken, ligt de werkwijze voor de hand. Bepaal eerst de eigen ambitie: welk niveau wil je over twee jaar bereikt hebben? En wat zijn je kritische processen? Pas daarna het EU Cloud Sovereignty Framework toe op je eigen dienstenportfolio. Voor bestaande contracten werkt het even goed als voor nieuwe aanbestedingen. En neem een minimum-soevereiniteitsniveau op in je inkoopvoorwaarden. De GIBIT 2025 bevat daar delen van, met bijvoorbeeld aandacht voor open source, derdenprogrammatuur en AI-autonomie. Maar bijvoorbeeld strategische soevereiniteit heeft nog aandacht nodig.
Digitale soevereiniteit wordt geen werkelijkheid door beleid op papier; ze ontstaat door gezamenlijk handelen, stuk voor stuk, dienst voor dienst. Onze meetlat ligt er. Ik ben benieuwd welke ambitie anderen kiezen.
