De Europese Commissie werkt aan plannen om gevoelige data weg te houden bij Amerikaanse techbedrijven. Brussel wil hiermee de digitale soevereiniteit van de EU versterken en risicoās op spionage en juridische toegang beperken. Het gaat vooral om data van overheden en vitale sectoren die nu vaak in de cloud draaien. De voorstellen moeten op het moment van schrijven dit jaar richting EU-lidstaten en Parlement gaan.
EU wil minder afhankelijkheid
De Europese Commissie ziet een grote afhankelijkheid van cloud- en AI-diensten van Microsoft Azure, Amazon Web Services en Google Cloud. Die bedrijven leveren veel rekenkracht, opslag en AI-modellen aan Europese organisaties. Dat is efficiĆ«nt, maar geeft ook risicoās bij uitval, prijsstijgingen en eenzijdige contractvoorwaarden. Brussel wil daarom meer keuze en meer controle op cruciale onderdelen.
Digitale soevereiniteit betekent hier: zelf kunnen beslissen waar data staan, wie erbij kan en welke wet geldt. De EU wil dat vooral regelen voor gevoelige gegevens over veiligheid, gezondheid, justitie en financiƫle stabiliteit. Ook voor het trainen en draaien van algoritmen met zulke gegevens komt extra aandacht. Het doel is minder lock-in en minder juridische druk van buiten de EU.
Volgens beleidsmakers kan minder afhankelijkheid ook innovatie in Europa stimuleren. Europese aanbieders, zoals OVHcloud, Scaleway en Deutsche Telekom (T-Systems), krijgen dan meer ruimte om te groeien. Projecten als GAIA-X en het IPCEI Cloud-Edge (IPCEI-CIS) moeten daarbij helpen. Die initiatieven bouwen aan Europese datanetwerken en cloud- en edge-infrastructuur.
Gevoelige data uit Amerikaanse clouds
De kern van de plannen is dat gevoelige data niet langer standaard bij Amerikaanse techreuzen staan. Dat kan via strengere inkoopregels voor overheden en vitale sectoren. Ook kan de EU werken met certificaten die eisen stellen aan eigendom, beheer en locatie van data. Denk aan Europese zeggenschap, Europese rechtskeuze en operationele controle binnen de EU.
Er ligt al een ontwerp voor een Europees certificaat voor clouddiensten, het EUCS van ENISA. Daarbij wordt gesproken over een hoog vertrouwensniveau met āsoevereiniteitsā-eisen. Op dat niveau zouden aanbieders onder Europese controle moeten vallen, met datacenters en support in de EU. De discussie gaat nog over de precieze drempels en uitzonderingen, op het moment van schrijven.
Voor organisaties kan dit betekenen dat ze moeten migreren naar een āsoevereine cloudā voor bepaalde toepassingen. Een soevereine cloud is een cloudomgeving die onder EU-recht valt en technisch is afgeschermd tegen toegang van buiten. Dat kan bij Europese aanbieders, maar ook bij speciale oplossingen van grote spelers, zoals āEU-onlyā varianten met partners. De praktijk zal uitwijzen of zulke constructies genoeg zekerheid bieden.
Certificering en inkoop sturen markt
Naar verwachting zet Brussel vooral in op certificering en publieke inkoop. Certificaten zoals EUCS maken eisen toetsbaar en vergelijkbaar. Publieke inkoopregels kunnen vervolgens bepalen dat overheden alleen hoge-certificaatdiensten gebruiken voor gevoelige processen. Zo kan beleid de markt sturen zonder een volledig verbod op niet-Europese clouds.
NIS2 en de Cyber Resilience Act vullen dit aan met beveiligingseisen voor vitale aanbieders en slimme producten. Samen moeten ze lekken, sabotage en spionage lastiger maken. Voor clouddiensten gaat het om versleuteling, logging, incidentrespons en strikte scheiding van klantomgevingen. Deze basismaatregelen worden strenger naarmate het risico groter is.
Ook AI-diensten vallen onder aanbestedingsregels en beveiligingsnormen. Overheden kunnen daarbij eisen stellen aan herleidbaarheid van data en modellen. Denk aan audits van datasets, modelkaarten (korte technische fiches) en waar nodig lokale verwerking. Zo wordt het risico op ongewenste toegang tot gevoelige informatie kleiner.
AVG en CLOUD Act spanning
De Algemene verordening gegevensbescherming (AVG) stelt al grenzen aan datadeling buiten de EU. Doorgifte kan alleen met passende waarborgen of een adequaatheidsbesluit. De EU-VS Data Privacy Framework helpt daarbij, maar kritiek blijft over mogelijke toegang door Amerikaanse diensten. De Amerikaanse CLOUD Act kan in bepaalde gevallen data opvragen bij Amerikaanse aanbieders, ook als die in Europa staan.
Daarom kijkt de EU naar technische en juridische waarborgen tegelijk. Technisch kan end-to-end-versleuteling helpen, waarbij alleen de klant de sleutel heeft. Juridisch helpen Europese eigendomseisen en een EU-rechtskeuze. Samen moeten die het risico op ongewenste buitenlandse toegang verkleinen.
Dataminimalisatie betekent dat organisaties niet mƩƩr persoonsgegevens verzamelen en verwerken dan strikt nodig is voor het doel.
Voor AI-systemen is dat extra belangrijk. Trainingsdata mogen niet onnodig gevoelig zijn en moeten goed worden afgeschermd. Ook bij inference, het draaien van een model, kunnen gevoelige input- en outputgegevens vrijkomen. Heldere contracten en logging zijn dan nodig om te zien wie wat doet met welke data.
Gevolgen voor Nederlandse overheid
De Nederlandse rijksoverheid hanteert āpublieke cloud, tenzijā, met uitzonderingen voor zeer gevoelige data. Die lijn kan strakker worden als Brussel strengere eisen stelt aan soevereiniteit. Rijksdiensten en gemeenten moeten dan scherper toetsen op eigendom, locatie en toegang. Dit raakt ook scholen, zorginstellingen en uitvoeringsorganisaties.
De Autoriteit Persoonsgegevens heeft eerder zorgen geuit over onderwijssoftware en cloudcontracten. Aanpassingen in instellingen als SURF en rijksbrede inkoopkaders kunnen nodig zijn. Praktisch gaat het om clauses over subverwerkers, sleutelbeheer, exit-plannen en dataminimalisatie. Het doel is controle houden, ook bij uitbesteding.
Voor kleine gemeenten en zorgorganisaties zijn kosten en uitvoerbaarheid een punt. Migraties vragen tijd, expertise en geld. Leveranciers moeten heldere migratieroutes en interoperabiliteit bieden. Anders groeit de kans op nieuwe lock-in, nu bij āsoevereineā varianten.
AI-verordening: gevolgen overheid
De Europese AI-verordening (AI Act) treedt gefaseerd in werking op het moment van schrijven. Overheden die hoge-risico AI inzetten, zoals in grenscontrole, krediet of sociale zekerheid, moeten aan strikte eisen voldoen. Dat raakt data-governance, documentatie, menselijk toezicht en incidentmelding. Soevereine hosting kan helpen om deze verplichtingen aantoonbaar te borgen.
Ook aanbieders van zogeheten foundation models krijgen regels over transparantie en beveiliging. Als modellen getraind zijn met Europese gevoelige data, zijn herkomst en rechten extra belangrijk. Versleutelde opslag, EU-only toegangscontrole en auditlogs worden dan standaard. Zo ontstaat bewijsvoering richting toezichthouders en burgers.
De EU investeert daarnaast in rekenkracht via EuroHPC en de aangekondigde AI Factories. Die moeten startups en onderzoeksinstellingen in Europa toegang geven tot GPUās en veilige data-omgevingen. Daarmee wil Brussel minder afhankelijk worden van gesloten platforms van Big Tech. Het sluit aan bij de ambitie om data Ć©n rekenkracht binnen Europa te verankeren.
De uitwerking van de Brusselse plannen blijft cruciaal. Te strenge eisen kunnen kosten verhogen en innovatie remmen. Te lichte eisen laten de afhankelijkheid voortbestaan. De komende maanden moeten duidelijk maken waar de balans komt te liggen.