De stap naar de cloud was de afgelopen vijftien jaar grotendeels onbetwist. Schaalbaarheid, gebruiksgemak en toegang tot moderne diensten boden voordelen die de on-prem wereld van weleer niet kon evenaren. De keerzijde, namelijk een verlies van controle aan Amerikaanse hyperscalers, wordt nu pas gevoeld. Hoe moeten Nederland en Europa digitaal autonomer worden en definiëren wat hun streven naar soevereiniteit werkelijk inhoudt? We bespreken het met experts van Cloudera, Dynatrace, Eurofiber, Rubrik en Thales.
De soevereiniteitsdiscussie is geen donderslag bij heldere hemel. Wel was dit lang een academische discussie, geeft Ivo Veerman, Sales Director bij Eurofiber Cloud Infra, aan. Nu laten verschillende incidenten zien dat soevereiniteit in de praktijk een grote impact heeft – met name als er een gebrek aan deze vorm van digitale controle is. Volgens Veerman draait soevereiniteit nu om concrete vragen: heb je grip en controle op je data, waar staat die data, wie kan erbij en wat zijn de consequenties als je toegang geblokkeerd wordt?
Voorheen floreerden andere zorgen. Filip Verloy, Field CTO EMEA & APJ Rx bij Rubrik, spreekt van een andere risicoanalyse dan eerder. “In het verleden zeiden mensen op board- en C-level dat ze geen beschikbaarheid hadden en dus de public cloud moesten gebruiken. Maar vandaag is dat risicoprofiel helemaal omgedraaid, en moet men zich zien los te koppelen. Dat is nu een groter probleem voor sommige organisaties.” Guido Gerrits, VP IAM Sales Europe bij Thales, ziet een vergelijkbare transitie. Daar waar bedrijven zich eerder vooral afvroegen hoe ze hun data geheim konden houden, is die vraag nu verschoven naar of men überhaupt wel bij de data kan.
De boodschap is duidelijk
Die bewustwording verschilt per organisatie, en is soms gewoon niet aanwezig. Gerrits kent meerdere voorbeelden waarbij IT-afdelingen veel data in Amerikaanse clouds hebben gebracht, inclusief binnen de kritieke infrastructuur. “Ik denk dat er nog veel educatie nodig is.”
Niet elke organisatie hoeft rücksichtlos te verkassen uit de cloud. Maar Chris Geebelen, Solutions Engineering Director Benelux, Nordics, Eastern Europe & Iberia bij Dynatrace, ziet dat overheden en financiële instellingen het gevaar van een grote digitale afhankelijkheid doorhebben. “Maar als je naar de maakindustrie kijkt, leeft dat bewustzijn minder.” Desondanks verwacht hij niet dat soevereiniteit als kopzorg verdwijnt als er een nieuwe VS-president aantreedt die minder confrontationeel is.
Frank Beerlage, Managing Director Benelux van Cloudera, spreekt van een “wake-up call”. Volgens hem heeft de stap naar soevereiniteit in slechts een paar jaar tijd geleid tot ooit ondenkbare conclusies. Denk aan banken en overheden die hun cloudmigratie terugdraaien en legitieme spelers als Microsoft, Amazon en Google als risico bestempelen. “De vraag is nu alleen: waar gaan we naartoe?”
Soevereiniteit is zelf niet een motivatie
Het is lastig om een alternatief voor de hyperscalers te vinden. Met name Microsoft en Google bieden een dermate breed scala aan producten dat het eenvoudig is om “Microsoft-first” of “Google-first” te worden als het om IT-keuzes gaat. Ook overkoepelende “cloud-only” ambities zijn gemeengoed geworden. Beerlage stipt aan dat cloud-initiatieven regelmatig klein begonnen, maar nu reusachtig kunnen zijn. Desondanks kiezen grote banken en overheidsintanties ervoor om de meest vertrouwelijke data weer weg te halen bij de cloudspelers.
Afhankelijkheid is ergens in de toeleveringsketen wellicht onoverkomelijk, zeker in 2026. Geebelen van Dynatrace verwijst naar het netwerk, de hardware, opslag, software. “Al die zaken kun je niet allemaal in Europa gaan doen.” De vraag is ook of dat wel moet. Veerman van Eurofiber benadrukt dat geen enkele organisatie soevereiniteit zelf nastreeft, simpelweg omdat dit “helemaal niet in het belang van het bedrijf” is. Daarin zijn partijen “niet principieel”, stelt hij. Men zoekt in plaats daarvan naar continuïteit: hoe beperk je de risico’s van downtime, conflicten met providers of juridische problemen? De stap naar soevereiniteit wordt dus hooguit indirect bereid, tenzij daar extra prikkels voor te verzinnen zijn.
Filip Verloy van Rubrik benadrukt dat deze drang naar onafhankelijkheid neerkomt op een nieuwe dimensie in de risicoafweging van organisaties. Waar bedrijven de cloud vroeger vooral zagen als een manier om innovatie en hoge beschikbaarheid te garanderen, is het risicoprofiel inmiddels compleet omgedraaid. “Nu komt die cloud echt op mij af en moet ik mij proberen los te koppelen,” merkt hij op. Dit is volgens Verloy echter geen eenmalig project, maar een “constant evoluerend idee”. Organisaties baseren zich op de huidige wetgeving en de rol van de VS, maar moeten zich over een paar jaar wellicht weer verhouden tot compleet andere mondiale verschuivingen. Soevereiniteit is daarmee simpelweg een permanente, extra kolom geworden in de brede risicoanalyse van bestuurders. En dus ook: een vaardigheid waarin sommige organisaties in uitblinken en andere partijen tekortschieten.
Toch een tussenweg?
Toch hoeft deze onafhankelijkheid niet te betekenen dat Amerikaanse techniek volledig in de ban wordt gedaan. Althans, dat is de insteek van Gerrits’ bedrijf Thales. Een sprekend voorbeeld van zo’n hybride oplossing is de joint venture tussen Thales en Google (GCP), S3NS (uitgesproken als ‘sense’). Gerrits (Thales) legt uit hoe dit in de praktijk werkt. S3NS is een volledig Frans bedrijf, met uitsluitend Franse medewerkers, waarbij de data lokaal wordt gehost en beheerd. Hoewel de onderliggende software door Google wordt geleverd, moet iedere update eerst streng worden gecontroleerd en goedgekeurd door de Franse certificerings- en veiligheidsautoriteit (ANSSI).
Zelfs na de uitrol van CADA zou een dergelijke constructie mogelijk ‘soeverein genoeg’ kunnen zijn. Het is echter een praktische overweging waar organisaties de nadruk op moeten leggen, aldus Verloy van Rubrik. Een “minimum viable sovereignty” dient volgens hem de overweging te zijn. Hij stelt dat organisaties zichzelf moeten afvragen welke dienstverlening zij absoluut niet uit handen kunnen geven. Tegelijkertijd accepteert een bedrijf dus dat de rest van hun IT-omgeving elders draait. Voordelen zijn er zeker, schetst Beerlage. Denk aan het gemak, de flexibiliteit en (zoals eerder vermeld) de innovatie van public clouds.
Geebelen (Dynatrace) ziet de nieuwe ontwikkeling richting soevereiniteit als klassieke marktwerking. Door de strengere regelgeving ontstaat er nu massaal vraag, waarna het aanbod onvermijdelijk zal volgen. Jaren geleden ontbrak simpelweg de commerciële noodzaak, waardoor Europese leveranciers achterbleven. Nu soevereiniteit harde eisen stelt aan grote organisaties, ontstaat er een lucratieve markt. “Als er een vraag is, gaan de mensen denken: daar kan ik geld mee verdienen, we gaan dat doen,” verklaart Geebelen. Deze sterke economische prikkel zorgt er volgens hem voor dat investeringen en de ontwikkeling van Europese alternatieven in een stroomversnelling zullen raken.
Praktische problemen
Legio tegenvoorbeelden laten zien dat de uitgesproken wens tot digitale autonomie niet zomaar vervuld wordt. Verloy verwijst naar eerdere hoogdravende Europese cloud-initiatieven die door de jaren heen zijn gesneuveld, zoals Gaia-X en Catena-X. Ook zouden er volgens hem “heel veel rollende ogen” te zien zijn als je technici vraagt om IT-infrastructuur los te koppelen van Amerikaanse systemen.
Ivo Veerman ziet daarnaast een drempel in de regelgeving. Het afwijzen van een aanbieder op basis van afkomst mag bij een aanbesteding niet zomaar. Europa zal dus digitale autonomie moeten afdwingen met aanbestedingen waarbij “niemand wil dat bijvoorbeeld een Amerikaanse of Chinese hyperscaler de opdracht gegund krijgt”, om een voorbeeld te noemen. Veerman acht het ook riskant om de constructie hiervan dermate aan te passen dat je niet-Europese spelers kunt weren – los van het feit dat zowel nationale als Europese wetgeving dit tegenhoudt, is het volgens hem ook niet “allemaal slecht”. Het is dus volgens Veerman best mogelijk om op een verantwoorde manier een “hybride” omgeving te realiseren met soevereine en minder soevereine onderdelen.
Die dynamiek is het gevolg van een zekere geopolitieke naïviteit, aldus Frank Beerlage. Europese bedrijven met overheidssteun kunnen alsnog achter het net vissen bij aanbestedingen ten faveure van Amerikaanse of Chinese alternatieven. Zie hier een kip-en-eiprobleem: zonder adoptie geen volwassen product, en zonder volwassen product geen adoptie. Desondanks moeten Europese leveranciers ook gewoon competitief zijn.
Conclusie: een helder doel
De drang naar soevereiniteit is niet inherent Europees. Toch is de stap naar werkelijke digitale autonomie verre van universeel. Volgens Gartner kunnen alleen de Verenigde Staten en China momenteel een soevereine cloud huisvesten. De rest moet beslissen waar zij hun afhankelijkheid kunnen laten afnemen en of het wel zin heeft om op alle digitale fronten autonoom moeten zijn.
De experts schetsen een beeld waarbij digitale weerbaarheid centraal staat. Voor Europa is er (nog) geen garantie van een volledig soevereine IT-stack. Men hamert daarom op risicoafwegingen, bewustwording en harde eisen bij aanbestedingen in de publieke sector. Een Europees aanbod dat wedijvert met de hyperscalers is er nog niet. Ook is het nog niet zeker of (en zo ja, op welke manier) de Amerikaanse cloudspelers betrokken blijven bij soevereiniteitswensen. Wat is werkelijk nodig om soeverein te zijn? Het feit dat die vraag nu hardop gesteld wordt in boardrooms, is progressie. Doorpakken zoals niet gebeurde bij initiatieven als Gaia-X is nu echter broodnodig.