“Staan onze data in Europa?” Het is bijna altijd de eerste vraag die bestuurders stellen als digitale soevereiniteit op tafel komt. En het is eigenlijk bijna altijd de verkeerde vraag. Want de locatie van je data zegt feitelijk weinig over wie er werkelijk de regie heeft.
Jeffrey Kusters is CTO bij ITQ en hij ziet organisaties die gerustgesteld worden door een Europese datacenterlocatie, terwijl de echte vraag onbeantwoord blijft: van welke leveranciers, technologieën en jurisdicties zijn we eigenlijk afhankelijk, en wat gebeurt er als daar iets verschuift? “Weinig organisaties voelen zich echt ‘in control’. De oorzaak: ze zijn het zicht kwijt op waar ze van afhankelijk zijn. Wat je niet ziet, kun je niet sturen.”
Hij verwijst naar de Franse Senaat, waar een vertegenwoordiger van Microsoft werd gevraagd of hij kon garanderen dat data in een Europese tenant nooit in Amerikaanse handen zouden komen. Het antwoord was nee. “Zodra er een Amerikaanse aandeelhouder boven een bedrijf zit, valt het onder de Amerikaanse Cloud Act. Je kunt van alles regelen in Europa, maar het restrisico is nooit nul. Dat is wel een reden om het bewust te managen.”
Soevereiniteit is een afweging
Volgens Kusters bestaat soevereiniteit uit drie lagen die je apart moet wegen: waar je data staan, inclusief back-ups en logs; wie er operationeel aan de knoppen zit; en hoe afhankelijk de technologie zelf is. “De som van die drie bepaalt of je in controle bent. Het is geen ja of nee, maar een schaal. De kunst is bepalen welk controleniveau je voor welke toepassing écht nodig hebt, en daar bewust naar handelen.”
Hij waarschuwt nadrukkelijk voor het andere uiterste: alles weghalen bij Amerikaanse clouds en zelf gaan draaien. “Dat is een ideologische reflex, geen strategie. Blijf rationeel: wat is gezien jouw eisen de verstandigste keuze voor deze toepassing?”
AI maakt de inzet groter
De opkomst van AI brengt het vraagstuk in een stroomversnelling, en op twee manieren. “AI heeft data nodig, dus elke AI-toepassing vergroot het raakvlak tussen je bedrijfsdata en externe systemen. Tegelijk groeit de afhankelijkheid van AI in je kernprocessen razendsnel, vaak sneller dan de governance eromheen.”
Wat dat betekent, maakt hij concreet met de Anthropic-casus van 12 juni 2026: de Amerikaanse overheid droeg Anthropic op om toegang tot twee modellen, Fable 5 en Mythos 5, voor buitenlanders stop te zetten, zowel binnen als buiten de Verenigde Staten. Anthropic stelde dat het gevolg van die maatregel was dat het beide modellen abrupt voor alle klanten moest uitschakelen om compliant te blijven. Andere Anthropic modellen bleven beschikbaar.
“Het gaat niet om de betrouwbaarheid van een provider, Anthropic was het zelf oneens met de maatregel. Het punt is dat een provider onder juridische en geopolitieke verplichtingen kan vallen die je toegang tot een model van de ene op de andere dag raken.”
Platformlaag standaardiseren
Hier ligt voor ITQ de kern van de oplossing. “We standaardiseren op de platformlaag”, zegt Kusters. “Daardoor kan dezelfde applicatie draaien in je eigen datacenter, in een door ons beheerde omgeving of in een publieke cloud, zonder dat je telkens hoeft te herbouwen. Je kiest per applicatie en dataset waar het thuishoort, en je kunt later weer schuiven.”
Die verplaatsbaarheid is volgens hem niet alleen technisch handig, maar ook bestuurlijk noodzakelijk geworden. “De NIS2-wetgeving, de Europese cybersecuritywet, vraagt dat je kunt aantonen dat je niet structureel vastzit aan één partij. Een werkende exitstrategie is geen papieren oefening meer, het is een eis. Een consistente platformlaag maakt die onafhankelijkheid concreet en controleerbaar.”
Om soevereiniteit bespreekbaar en toetsbaar te maken, gebruikt ITQ het Cloud Sovereignty Framework van de Europese Commissie als praktische lens. “Het framework is nog jong en deels een kwestie van interpretatie, dus we presenteren het als beoordeling, niet als keurmerk. Maar het maakt in één gesprek zichtbaar waar de grootste gaten in je digitale autonomie zitten.”
Voor de bestuurstafel
Digitale soevereiniteit is geen IT-onderwerp meer, benadrukt Kusters. “In kleinere organisaties ligt het bij de directie, in grotere bij Risk of de CFO. Onder NIS2 is de bestuurder persoonlijk aansprakelijk voor dit risico. Je komt er niet meer mee weg dat een andere afdeling dit had moeten regelen.”
Zijn advies aan bestuurders die nu hun cloud- en AI-strategie herzien: begin met inzicht. “Breng de hele keten van afhankelijkheden in kaart, niet alleen het zichtbare stukje. Bepaal daarna rationeel welke risico’s je niet accepteert, en zet daar gerichte keuzes tegenover. Niet alles tegelijk, wel bewust.”
En ITQ zelf? Kusters: “Dit is voor ons geen nieuwe sprong, we ontwerpen en beheren al dagelijks cloud- en VMware-omgevingen. Wat we toevoegen is de mogelijkheid om dat ook op een door ons beheerde, Europese omgeving te draaien, te beginnen in Nederland, onder één contract. De klant kiest bewust wat waar draait, en wij nemen het beheer en de afhankelijkheden uit handen. De komende maanden vertellen we daar meer over.”