Datasoevereiniteit
Bouw aan een vrije data-toekomst waarin jij bepaalt wie er bij je informatie kan
Jouw data, jouw regels. Wij helpen publieke organisaties de regie in de cloud terug te pakken.
Bij T&T vergelijken we data graag met water: een vitale grondstof die de basis vormt van je hele organisatie. Net zoals je wilt weten waar je drinkwater vandaan komt en of de leidingen betrouwbaar zijn, is het cruciaal om te weten waar je data stroomt, wie er bij de kraan kan en wie eigenaar is van de infrastructuur.
Dat fundamentele eigenaarschap staat onder druk. In de zoektocht naar snelle, schaalbare IT is autonomie vaak onbewust ingeruild voor kortstondig gemak. Veel Nederlandse organisaties hebben hun 'digitale ruggengraat' nagenoeg volledig in handen gelegd van een handvol buitenlandse tech-giganten. Daarmee worden zij meegevoerd in een koers waar we in Nederland zelf geen invloed op hebben.
Voor ons is datasoevereiniteit geen abstract IT-begrip of een juridisch 'moetje', maar een strategische noodzaak. Het gaat om de fundamentele vraag: hoe vrij ben je als je data opgeslagen staat in een cloud waar andere overheden via een juridische achterdeur zomaar een kijkje zouden kunnen nemen?
Wij geloven dat we op een kruispunt staan. De keuze voor soevereiniteit maken we niet uit angst voor technologie, maar vanuit de overtuiging dat we in Europa onze eigen koers moeten varen op basis van onze eigen publieke waarden:
- Privacy: Geen ongeautoriseerde toegang via buitenlandse wetgeving.
- Transparantie: Weten hoe en waar je infrastructuur wordt beheerd.
- Eerlijkheid: Een gelijk speelveld zonder ongewenste afhankelijkheden.
Eerlijkheid gebiedt te zeggen dat de kans erg klein is dat een buitenlandse overheid zal meekijken in jouw gegevens, of dat via een sanctielijst jouw diensten worden afgesloten. Maar wat er gebeurd is bij het Internationaal Strafhof (de Amerikaanse overheid legde sancties op tegen twee rechters) laat ook zien dat die kans niet nul is. Het terugpakken van de regie over je data is de enige manier om te bouwen aan een digitale toekomst waar iedereen vrolijk van wordt.
Wil jij meer weten over de impact van data soevereiniteit op jouw organisatie?
Bedankt voor het invullen van het formulier, we nemen contact op!
Waarom nu?
De prijs van afhankelijkheid
De afgelopen jaren is de afhankelijkheid van niet-Europese partijen tot een kritiek punt gegroeid. Vrijwel elke Nederlandse organisatie leunt tegenwoordig op een digitaal fundament dat bijna volledig in handen is van drie Amerikaanse giganten: Amazon Web Services (AWS), Microsoft Azure en Google Cloud Platform. Van de dagelijkse e-mail en CRM-systemen tot de opslag van gevoelige medische dossiers; de vitale infrastructuur is uitbesteed aan partijen van buiten de EU. Met de huidige geopolitieke spanningen is deze afhankelijkheid niet langer alleen een IT-vraagstuk, maar een reëel risico voor de continuïteit en integriteit van je organisatie.
De risico's van deze afhankelijkheid
De huidige situatie brengt twee fundamentele risico's met zich mee die de kern van je organisatie raken:
1. Operationele Continuïteit
Wanneer je volledig leunt op buitenlandse infrastructuur, ligt de 'aan/uit-knop' van je organisatie feitelijk in handen van een andere mogendheid. Als internationale handelsbetrekkingen verschuiven of exportregels veranderen, kun je van het ene op het andere moment de toegang verliezen tot de applicaties en data die essentieel zijn voor je dagelijkse bedrijfsvoering. Dit risico wordt vergroot door een technische vendor lock-in. Amerikaanse giganten maken het extreem makkelijk om binnen te komen, maar technisch en financieel moeilijk om weg te gaan.
In de praktijk: We zagen dit scenario werkelijkheid worden bij de blokkade van Google-software voor Huawei (2019). Door een politiek besluit van de Amerikaanse overheid verloor een wereldspeler direct de toegang tot cruciale software-updates en diensten. Jouw organisatie kan op dezelfde manier stilvallen door besluitvorming aan de andere kant van de oceaan waar je geen enkele invloed op hebt.
2. Verlies van Controle & Governance
Er bestaat een hardnekkig misverstand dat fysieke locatie gelijkstaat aan juridische controle. Omdat de Amerikaanse overheid via de CLOUD Act zeggenschap claimt over alle data bij Amerikaanse bedrijven, ongeacht of de server nu in de Eemshaven of in San Francisco staat, heb je als organisatie geen exclusieve zeggenschap meer. Je voldoet misschien aan de Nederlandse wet, maar een buitenlandse rechter kan buiten jou om toegang tot je gegevens afdwingen.
In de praktijk: De discussie rondom DigiD legt dit pijnlijk bloot. De plannen om onze nationale digitale identiteit onder te brengen in de cloud van Amerikaanse tech-giganten stuitte (terecht) op harde weerstand. Zelfs met de beste beveiliging en lokale opslag bleef de 'juridische achterdeur' openstaan voor de meest gevoelige data van miljoenen Nederlanders.
De illusie van 'Soevereine' labels
Bovendien zien we een trend waarbij grote cloudproviders steeds vaker “soevereine” oplossingen aanbieden, terwijl zij juridisch onder buitenlandse wetgeving blijven vallen. Dit noemen we sovereignty washing: het label soeverein gebruiken als marketingterm, zonder dat de daadwerkelijke juridische en operationele zeggenschap wordt overgedragen. De buitenkant suggereert controle, terwijl onder de motorkap de fundamentele afhankelijkheid blijft bestaan.
Voor échte soevereiniteit moeten we dus ingrijpende keuzes maken. Blijven we passagier, of investeren we nu in een eigen, soevereine infrastructuur die onze publieke waarden écht beschermt?
CLOUD Act en FISA 702
Hoofdrol voor twee Amerikaanse wetten
Om de discussie over datasoevereiniteit goed te voeren, moeten we kijken naar de juridische realiteit achter cloudgebruik. Twee Amerikaanse wetten spelen hierbij de hoofdrol: de CLOUD Act en FISA Section 702.
De CLOUD Act
De Clarifying Lawful Overseas Use of Data (CLOUD) Act (2018) verankert de macht van Amerikaanse autoriteiten. De kern is simpel: de Amerikaanse overheid zegt tegen Amerikaanse bedrijven: "Het maakt ons niet uit waar ter wereld je de data van je klanten opslaat; als wij erom vragen, moet je het overhandigen."
Dit leidt tot een juridische spagaat, waarbij de cloudprovider moet voldoen aan twee wetten die lijnrecht tegenover elkaar staan:
- De Europese Privacywetgeving (AVG): Zegt dat de data van Europese burgers strikt beschermd is en niet zomaar aan buitenlandse overheden mag worden gegeven.
- De Amerikaanse wet (CLOUD Act): Zegt dat het bedrijf de data moet geven, op straffe van enorme boetes of gevangenisstraffen voor de directie in de VS.
Deze conflicterende wetgevingen plaatsen jou als klant van een Amerikaanse cloudprovider in een lastige situatie. Volgens de AVG blijf jij verantwoordelijk voor de privacy van je data, maar je hebt de controle overgedragen aan een leverancier die door zijn de Amerikaanse overheid gedwongen kan worden om die privacy te schenden.
FISA Section 702
Waar de CLOUD Act vooral gaat over het opvragen van specifieke gegevens (bijvoorbeeld voor een strafzaak), richt FISA Section 702 zich op nationale veiligheid. Deze wet geeft Amerikaanse inlichtingendiensten de bevoegdheid om communicatie van niet-Amerikanen buiten de Verenigde Staten te verzamelen, zonder individueel bevel per persoon.
Juist dit structurele karakter, en het ontbreken van gelijkwaardige rechtsbescherming voor Europeanen, vormt een groot probleem vanuit Europees perspectief. Omdat dit proces zich in de achtergrond afspeelt onder het label van nationale veiligheid, zul je waarschijnlijk nooit weten of jouw data is ingezien. Bovendien heb je als Europeaan geen enkele juridische mogelijkheid om je hiertegen te verzetten bij een Amerikaanse rechter. Je bent feitelijk rechteloos zodra je data onder deze wet valt.
Het Schrems II-arrest: Dit spanningsveld was de kern van het bekende Schrems II-arrest, waarin het Europese Hof van Justitie oordeelde dat Amerikaanse surveillancewetgeving onvoldoende waarborgen biedt. Niet omdat elke data-overdracht per definitie onrechtmatig is, maar omdat het onderliggende juridische kader simpelweg niet gelijkwaardig is aan de Europese bescherming.
Los van deze twee wetten is ook de invloed van eventuele sancties van belang. Dit was ook de aanleiding voor het International strafhof om van hun microsoft diensten afgesloten te worden. Dit risico is waarschijnlijk groter dan dat de data wordt ingezien via bovenstaande wetten.
Data residency, datasoevereiniteit en digitale soevereiniteit
Een soeverein dataplatform
Om jezelf tegen deze buitenlandse invloeden te beschermen, moet je dus verder kijken dan alleen de beveiliging van je servers; je moet begrijpen hoe de hiërarchie van digitale controle in elkaar steekt. Hierbij maken we een essentieel onderscheid tussen drie termen die vaak op één hoop worden gegooid: data residency, datasoevereiniteit en digitale soevereiniteit.
Data residency
is de meest eenvoudige laag. Het gaat puur om de geografische locatie: de fysieke plek waar de servers staan en waar de data op een harde schijf is geschreven. Veel organisaties denken dat ze met residency hun doel hebben bereikt ("onze data staat in de Eemshaven, dus we zitten goed").
Echter, zoals de CLOUD Act bewijst, is residency slechts een administratief detail als de eigenaar van die servers een Amerikaans bedrijf is. Residency vertelt je waar het huis staat, maar niet wie de sleutel van de voordeur heeft.
Datasoevereiniteit
gaat een cruciale stap verder. Dit is het principe dat data onderworpen is aan de wetten en de rechtsmacht van het land waar de data wordt gegenereerd.
Het grote verschil met residency is de jurisdictie. Bij datasoevereiniteit garandeer je dat geen enkele buitenlandse overheid, via welke wet dan ook, aanspraak kan maken op jouw informatie. Je data heeft als het ware een Europees paspoort: het geniet de volledige bescherming van de EU-wetgeving, zonder dat een Amerikaanse rechter daar met een 'juridische achterdeur' bij kan. Voor T&T is dit de kernwaarde waar we voor vechten: dat jouw informatie alleen van jou blijft.
Digitale soevereiniteit
is de overkoepelende 'big picture'. Het gaat niet alleen over de data zelf, maar over de volledige onafhankelijkheid van je organisatie in de digitale wereld. Ben je vrij om je eigen keuzes te maken, of zit je gevangen in de infrastructuur van een handvol tech-giganten?
Het omvat het hele ecosysteem: de hardware, de software en de enterprise. Weten we zeker dat de chips en servers niet gemanipuleerd zijn? Gebruiken we open-source standaarden die we zelf kunnen controleren, of 'black-box' software waar we geen inzage in hebben? Hebben we de kennis in huis (of in Europa) om onze systemen te onderhouden, of zijn we voor elke update afhankelijk van een leverancier aan de andere kant van de oceaan?
Het bouwen van een data platform op Europese Cloud
Voor ons vormen deze begrippen het uitgangspunt voor hoe wij concrete data platforms ontwerpen en bouwen voor publieke organisaties. Wij helpen klanten bij het maken van de overstap naar een Europese cloud. Dit is een bewuste keuze, maar we zijn er ook nuchter in: het is een uitdaging.
Amerikaanse 'hyperscalers' hebben namelijk een enorme voorsprong, terwijl de Europese partijen nog bezig zijn met een inhaalslag. Europese partijen beheersen de basis inmiddels uitstekend: rekenkracht (VM’s) en opslag. Echter, zaken als Identity & Access Management (IAM), fijnmazige permissies en secret managers zijn bij Europese partijen vaak nog wat minder 'gepolijst' of geïntegreerd. Managed services, zoals databases, AI-workflows of Kubernetes, zijn bij Europese partijen ook nog volop in ontwikkeling.
Waarom durven we het toch aan? Omdat we deze keuze niet lichtvaardig maken. Zo hebben we bijvoorbeeld samen met Gemeente Nijmegen vooraf een uitgebreid en gestructureerd selectieproces doorlopen om Europese cloudproviders te beoordelen. Daarbij kijken we nadrukkelijk verder dan alleen functionaliteit.
De selectie is gebaseerd op vijf samenhangende categorieën: algemene positionering, security, beschikbare services, kosten en support & investeringsbereidheid. Deze criteria helpen ons om niet alleen te bepalen wat een platform vandaag kan, maar ook hoe betrouwbaar en toekomstvast het is voor publieke organisaties.
Centraal daarin staat soevereiniteit: eigendom en beheer van datacenters binnen de EU, bescherming tegen buitenlandse wetgeving zoals de Amerikaanse CLOUD Act, transparantie over subverwerkers en duidelijke operationele controle voor de klant. Daarnaast wegen we factoren mee als beschikbaarheid van meerdere availability zones, duurzaamheid en maatschappelijke verantwoordelijkheid (CSR). Ook beoordelen we onder meer de volwassenheid van securitymaatregelen en certificeringen (zoals ISO 27001), de kwaliteit en beschikbaarheid van managed services zoals PostgreSQL, object storage en zoektechnologie, de mate waarin alles via API’s en Infrastructure as Code te beheren is en hoe fijnmazig identity- en toegangsbeheer kan worden ingericht.
Door deze brede set aan criteria te hanteren, zorgen we ervoor dat een Europese cloudkeuze niet alleen juridisch verdedigbaar is, maar ook operationeel haalbaar, technisch robuust en bestuurlijk verantwoord. Dat is essentieel voor gemeenten die bouwen aan een data platform dat jarenlang mee moet kunnen.
Hoe ver ga je en waar begin je?
Volledige datasoevereiniteit realiseren van vandaag op morgen is niet realistisch. Publieke organisaties opereren in een bestaand ecosysteem van leveranciers, ketenpartners en applicaties waarin Amerikaanse technologie vaak diep is verweven. Maar het is geen reden om niets te doen.
De ervaring bij Gemeente Nijmegen laat zien dat datasoevereiniteit geen alles-of-niets-keuze is, maar een strategie van bewuste, opeenvolgende stappen. Bij deze gemeente is bewust gestart bij het hart van de informatievoorziening: het data-platform zelf. Door eerst het bestaande Oracle-datawarehouse en gegevensmagazijn te vervangen door één geïntegreerd cloud-dataplatform, ontstaat een soevereine kern waarop verder kan worden gebouwd. Niet alle systemen hoeven direct mee maar de plek waar data samenkomt wél.
Door het platform op te zetten met Infrastructure as Code en open-source componenten, is niet alleen migratie mogelijk, maar ook hergebruik door andere gemeenten. Datasoevereiniteit wordt daarmee niet alleen lokaal geborgd, maar schaalbaar en overdraagbaar gemaakt.Daarnaast is gekozen voor een MVP-benadering: er zijn 6 weloverwogen use cases gekozen die verschillen in databronnen, complexiteit en eindgebruik. Zo wordt datasoevereiniteit niet theoretisch ontworpen, maar ook praktisch getoetst.
Niet alle applicaties, koppelingen of leveranciers hoeven direct volledig soeverein te zijn. Maar elke stap waarbij kerndata onder Europese jurisdictie wordt gebracht, architectuur open en verplaatsbaar wordt ingericht, en afhankelijkheden expliciet worden gemaakt, is een stap richting een gezonder en eerlijker data-ecosysteem.
Samen bouwen aan een vrolijke (en vrije) data-toekomst
Bij T&T geloven we dat iedereen vrolijk moet worden van data. Dat kan alleen als we erop kunnen vertrouwen dat onze data veilig is en dat we zelf aan het stuur zitten. Er is meer mogelijk dan je denkt bij Europese spelers, en de techniek is er klaar voor.
Wil jij ook de regie terug? Laten we samen kijken hoe we jouw data platform naar een soevereine, Europese cloud kunnen brengen. Zonder gedoe, met een helder plan.
Meer weten hoe over hoe de data binnen jouw organisatie soeverein kan worden opgeslagen?
Neem vrijblijvend contact met ons op!
Bedankt voor het invullen van het formulier, we nemen contact op!
