Publicatie04-11-2025

Zo’n trio klinkt misschien sexy, maar zoals bij iedere driehoeksverhouding ontstaat er spanning zodra de belangen uiteenlopen. Cloud belooft flexibiliteit en volume, soevereiniteit vraagt om controle en autonomie, en innovatie wil vooral snel door kunnen. Samen vormen ze al snel een ongemakkelijke driehoek: kies je teveel voor de ene, dan komt de ander onder druk te staan.

Die spanning zien we nu scherp terug in de praktijk van overheidsorganisaties. De cloud wordt al jaren gepresenteerd als de versneller van digitale vernieuwing, maar de roep om digitale soevereiniteit legt nieuwe beperkingen op. En juist daar wringt het: hoe zorgen we dat soevereiniteit geen rem wordt, maar een katalysator voor bewuste en duurzame keuzes in de manier waarop we cloud inzetten?

Van containerbegrip naar concreet kompas

Soevereiniteit is een woord dat gemakkelijk in beleidsstukken belandt, maar vaak vaag blijft. De Europese Commissie werkt aan een geharmoniseerde definitie, maar voorlopig bewegen we ons in een mistig speelveld. Nederland heeft samen met andere lidstaten alvast criteria opgesteld: juridische en operationele autonomie, dataresidentie binnen de EU, controle over toegang en support, en certificering conform AVG, NIS2 en sectorale normen.

Toch dreigt het gevaar dat ‘de soevereine cloud’ een containerbegrip wordt dat deuren voor innovatie eerder sluit dan opent. Want een te enge interpretatie kan leiden tot risicomijdend gedrag: liever alles in eigen huis (on-prem) houden tegen hoge kosten, dan strategisch kijken hoe je veiligheid, flexibiliteit en innovatie in balans brengt.

Verschillende modellen, verschillende risico’s

De praktijk laat zien dat er niet één weg is naar soevereiniteit. Mogelijkheden variëren van private clouds in eigen datacenters, tot Europese aanbieders en zogenaamde sovereign-varianten van Amerikaanse hyperscalers. Elk model heeft zijn prijskaartje en risico’s.

  • Eigen datacenters: maximale controle, maar duur en beperkt schaalbaar.
  • Europese providers: goede compliance, maar vaak minder functionaliteit.
  • Hyperscalers met sovereign-variant: technisch aantrekkelijk, maar juridisch kwetsbaar.
  • Hybride of multi-cloud: flexibel, maar complex in beheer.

Voor professionals binnen de overheid is het essentieel te begrijpen dat elk model niet alleen technologische, maar ook juridische en organisatorische consequenties heeft. Zelfs een strikt on-premises model kan nog kwetsbare afhankelijkheden kennen via supportcontracten met buitenlandse leveranciers.

Een illustratief scenario

Stel dat een grote shared service organisatie binnen de overheid een nieuwe digitale werkplek wil ontwikkelen. De eerste keuze valt al snel op een hyperscaler: de mogelijkheden zijn eindeloos, de schaalbaarheid aantrekkelijk en de functionaliteit rijk. Maar zodra juristen en bestuurders aanschuiven, rijst de vraag: wat gebeurt er met kritieke data als die onder een buitenlandse jurisdictie valt?

In plaats van de plannen stop te zetten, kiest de organisatie voor een hybride aanpak. Gevoelige gegevens en identiteitsmanagement worden ondergebracht in een Europese soevereine cloudomgeving, terwijl minder kritieke onderdelen juist profiteren van de schaal en functionaliteit van de hyperscaler. Het vraagt meer inspanning in integratie, governance en kostenafweging, maar levert uiteindelijk drie belangrijke voordelen op:

  1. Voldoen aan Europese wet- en regelgeving.
  2. Medewerkers toegang bieden tot moderne, schaalbare voorzieningen.
  3. Bestuurders die met overtuiging kunnen uitleggen hoe autonomie en innovatie met elkaar in balans zijn gebracht.

Dit soort keuzes laat zien dat soevereiniteit geen rem hoeft te zijn, maar een kans om bewuster te ontwerpen. Het dwingt organisaties voorbij technische oplossingen te kijken, en waarden, risico’s en innovatiekansen in samenhang te wegen.

Naar een volwassen dialoog

De komende jaren wordt de druk nog groter. Europese wetgeving zal eisen stellen aan aanbestedingen en cloudkeuzes. Leveranciers moeten aantonen dat zij immuun zijn voor ongewenste buitenlandse jurisdicties. Dat betekent dat we als overheid niet langer vrijblijvend kunnen omgaan met de term ‘soeverein’.

Mijn oproep is om de discussie te verplaatsen van slogans naar scenario’s. Niet: ‘we willen een soevereine cloud’, maar: ‘welk deel van onze data en diensten moet onder EU-jurisdictie vallen, en waarom?’. Pas dan kan cloud haar belofte als enabler van innovatie werkelijk waarmaken.

Reflectievragen

  1. Durven wij innovatie nog echt te versnellen, of verschuilen we ons achter het wachten op een soevereine overheidscloud als excuus om niet te bewegen?
  2. Welke data zouden wij morgen zondermeer bij een hyperscaler kunnen neerzetten – en welke absoluut niet? En hebben we die afweging al eens eerlijk gemaakt?
  3. Hoe vaak praten bestuurders, juristen en technici bij ons werkelijk met elkaar met alle relevante kennis aan en op tafel als het gaat om cloudkeuzes?
  4. Weten we precies welk risico de US Cloud Act voor ons oplevert, of hopen we stiekem dat dit probleem vanzelf aan ons voorbijgaat?
  5. Zien wij soevereiniteit als een kompas om richting te kiezen, of gebruiken we het als containerbegrip om moeilijke beslissingen eindeloos vooruit te schuiven?

Dit blog is onderdeel van een serie die geschreven wordt op basis van persoonlijke inzichten en het lesmateriaal uit de opleiding Innovatiemanagement voor Overheidsprofessionals. Na afronding van de opleiding word je ook lid van een community van eerdere deelnemers die regelmatig bijeenkomt. Meer weten? Check de website van Innoveren met Impact.