De discussie over digi­tale soeve­rei­ni­teit in Europa kent een hard­nekkig misver­stand: dat het gaat over de vraag waar de server staat. Wie een data­center in Frank­furt heeft, meent soms al soeve­rein te zijn. Wie draait op een Ameri­kaanse hypers­caler, vreest het niet te zijn. Volgens Martin Merz, Presi­dent SAP Sove­reign Cloud, gaat dat debat groten­deels over het verkeerde onder­werp. “De discussie over cloud­in­fra­struc­tuur is belang­rijk, maar wie dat tot de enige maat­staf verheft voor soeve­rei­ni­teit, mist de kern van het vraag­stuk.”

Merz put uit twintig jaar prak­tijk­er­va­ring met soeve­reine cloud-imple­men­ta­ties bij over­heden en veilig­heids­dien­sten wereld­wijd. SAP werkt al sinds de vroege jaren 2000 met de Ameri­kaanse fede­rale over­heid aan zoge­noemde trusted deploy­ments, en breidde dat werk vervol­gens uit naar Australië, Canada, Duits­land, Neder­land en Frank­rijk. Elk land voegde nieuwe eisen toe aan het raam­werk. Zo ontstond stap voor stap een geharde set van vereisten die SAP inmid­dels wereld­wijd als stan­daard gebruikt voor soeve­reine cloud-imple­men­ta­ties.

Vanuit die achter­grond kijkt Merz met scepsis naar het Euro­pese soeve­rei­ni­teits­debat, dat hij te vaak ziet vast­lopen op de infra­struc­tuur­vraag. Welke hypers­caler, welk data­center, welk land: dat zijn niet de verkeerde vragen, maar wel vragen die te veel ruimte innemen ten koste van wat er werke­lijk toe doet. Wat moet er precies gere­geld zijn voordat een orga­ni­satie haar meest gevoe­lige data en processen veilig naar de cloud kan brengen? Zijn antwoord daarop is een raam­werk van vier dimen­sies dat verder gaat dan data­cen­ter­lo­catie alleen.

Vier dimensies, één goedkeuring

De eerste dimensie is data­soe­ve­rei­ni­teit: data en meta­data blijven in het land of de regio, zonder uitzon­de­ring. Dat voor­komt dat gevoe­lige infor­matie onge­merkt onder buiten­landse juris­dic­ties of repli­ca­tie­pro­cessen valt.

De tweede is opera­ti­o­nele soeve­rei­ni­teit. Orga­ni­sa­ties geven alleen mede­wer­kers toegang tot systemen en data als zij voldoen aan nati­o­nale eisen rond nati­o­na­li­teit en scree­ning. Voor sommige func­ties is ook een veilig­heids­on­der­zoek verplicht. Voor defensie- en inlich­tin­gen­dien­sten is dat cruciaal. Zij moeten exact weten wie systemen beheert, support verleent of toegang heeft tot gevoe­lige infor­matie.

De derde dimensie is tech­ni­sche soeve­rei­ni­teit. Daarbij wijst Merz op een element dat SAP volgens hem onder­scheidt van andere aanbie­ders: het control plane van de cloudom­ge­ving staat in het land zelf en niet in een centraal systeem elders. Dat control plane regelt onder meer beheer, updates en toegangs­rechten. Volgens SAP houdt een orga­ni­satie zo meer controle over hoe de cloudom­ge­ving wordt beheerd en wie erbij kan.

De vierde dimensie is juri­di­sche soeve­rei­ni­teit. Daarbij draait het om de vraag onder welke wetge­ving een cloudom­ge­ving valt. Een orga­ni­satie moet erop kunnen vertrouwen dat gevoe­lige data en processen binnen het nati­o­nale rechts­kader blijven en niet onder buiten­landse regel­ge­ving of juri­di­sche claims vallen.

Soevereiniteit vraagt om officiële erkenning

Het voldoen aan die vier dimen­sies alleen is volgens Merz niet voldoende. Een cloudom­ge­ving geldt pas als soeve­rein wanneer de nati­o­nale cyber­se­cu­rity-auto­ri­teit die status offi­cieel beves­tigt. Welke infra­struc­tuur daar­onder draait, is volgens Merz minder belang­rijk. Dat kan SAP’s eigen cloud­in­fra­struc­tuur zijn, maar ook een Ameri­kaanse hypers­caler of zelfs de data­cen­ters van de klant zelf.

Volgens Merz kiezen ook mili­taire orga­ni­sa­ties in Europa soms bewust voor een Ameri­kaanse hypers­caler. Zolang de nati­o­nale cyber­se­cu­rity-auto­ri­teit vast­stelt dat de omge­ving voldoet aan alle eisen voor soeve­rei­ni­teit, biedt SAP die oplos­sing aan als soeve­reine cloud.

Weer­baar­heid als stra­tegie, niet als ideo­logie

Die infra­struc­tuur­on­af­han­ke­lijk­heid is volgens SAP geen marke­ting­bood­schap, maar een prin­ci­piële keuze. Juist die keuze roept regel­matig weer­stand op in het Euro­pese debat over digi­tale soeve­rei­ni­teit. Een deel van dat debat draait om het prin­ci­pieel weren van Ameri­kaanse tech­no­logie.

Merz zegt die reflex te begrijpen, maar noemt haar uitein­de­lijk onpro­duc­tief. Volgens hem kon Europa decen­nia­lang vertrouwen op een rela­tief stabiele geopo­li­tieke omge­ving. Die periode is voorbij. Orga­ni­sa­ties die hun cloud­stra­tegie niet voor­be­reiden op alter­na­tieve scenario’s, maken zich­zelf kwets­baar.

Een multi-cloudstrategie als veiligheidsnet

Concreet bete­kent dat volgens Merz dat een multi-cloud­stra­tegie geen concessie is aan soeve­rei­ni­teits­am­bi­ties. Het is juist een manier om die ambi­ties in de prak­tijk te brengen. Orga­ni­sa­ties kunnen vandaag kiezen voor een Ameri­kaanse hypers­caler vanwege tech­no­lo­gi­sche voor­delen, en tege­lijk een Euro­pees of eigen alter­na­tief opbouwen. Die keuzes sluiten elkaar volgens hem niet uit.

SAP advi­seert klanten daarom om niet volledig afhan­ke­lijk te worden van één provider, ook niet van de SAP-infra­struc­tuur. Merz is van mening dat digi­tale weer­baar­heid altijd vraagt om alter­na­tieven die je achter de hand moet houden. Orga­ni­sa­ties moeten die scenario’s nu al voor­be­reiden, en niet pas op het moment dat geopo­li­tieke of tech­no­lo­gi­sche ontwik­ke­lingen hen daartoe dwingen.

Dat vraagt wel dat orga­ni­sa­ties stoppen met het behan­delen van soeve­rei­ni­teit als een compli­ance-vinkje dat eenmalig kan worden afge­vinkt. De echte vragen zijn veel prak­ti­scher van aard. Wie heeft toegang tot de data? Onder welk rechts­stelsel valt de infra­struc­tuur? En wat gebeurt er als een leve­ran­cier wegvalt of de geopo­li­tieke situ­atie veran­dert? Wie die vragen niet beant­woordt, heeft een certi­fi­caat maar geen stra­tegie.

Data benutten, niet bewaken

Die verschui­ving van compli­ance naar weer­baar­heid krijgt extra urgentie nu AI dieper door­dringt in bedrijfs­pro­cessen en orga­ni­sa­ties steeds afhan­ke­lijker worden van de data die zij beheren. “Europa produ­ceerde vorig jaar dertig zetta­byte aan data. Om dat getal tast­baar te maken: als je één bit verge­lijkt met één zand­korrel, dan praten we over dertig Sahara-woes­tijnen vol zand. Van al die data benutten we tien tot vijf­tien procent”, zegt Merz. ​ ​

“Europa discus­si­eert over de aanleg van nieuwe digi­tale infra­struc­tuur, terwijl het over­grote deel van de data die al beschik­baar zijn onbenut blijven”, zegt Merz. “De werke­lijke opgave is niet waar data worden opge­slagen, maar hoe Europa die data omzet in inno­vatie en concur­ren­tie­kracht.”

Voor Merz is soeve­rei­ni­teit daarin geen rem maar een rand­voor­waarde. Zonder controle over data en infra­struc­tuur is het risico te groot om AI op schaal in te zetten in kritieke processen. Dat geldt niet alleen voor defen­sie­be­drijven of inlich­tin­gen­dien­sten, maar voor elke orga­ni­satie die afhan­ke­lijk is van haar data voor haar kern­pro­cessen. Wie zich niet kan veroor­loven dat die data onbe­reik­baar, onbe­trouw­baar of juri­disch kwets­baar worden, kan soeve­rei­ni­teit niet langer als luxe beschouwen.