De discussie over digitale soeve­rei­ni­teit in Europa kent een hardnekkig misver­stand: dat het gaat over de vraag waar de server staat. Wie een datacenter in Frank­furt heeft, meent soms al soeve­rein te zijn. Wie draait op een Ameri­kaanse hypers­caler, vreest het niet te zijn. Volgens Martin Merz, Presi­dent SAP Sovereign Cloud, gaat dat debat groten­deels over het verkeerde onder­werp. “De discussie over cloud­in­fra­struc­tuur is belang­rijk, maar wie dat tot de enige maatstaf verheft voor soeve­rei­ni­teit, mist de kern van het vraagstuk.”

Merz put uit twintig jaar praktijk­er­va­ring met soeve­reine cloud-imple­men­ta­ties bij overheden en veilig­heids­dien­sten wereld­wijd. SAP werkt al sinds de vroege jaren 2000 met de Ameri­kaanse federale overheid aan zogenoemde trusted deploy­ments, en breidde dat werk vervol­gens uit naar Australië, Canada, Duits­land, Neder­land en Frank­rijk. Elk land voegde nieuwe eisen toe aan het raamwerk. Zo ontstond stap voor stap een geharde set van vereisten die SAP inmid­dels wereld­wijd als standaard gebruikt voor soeve­reine cloud-implementaties.

Vanuit die achter­grond kijkt Merz met scepsis naar het Europese soeve­rei­ni­teits­debat, dat hij te vaak ziet vastlopen op de infra­struc­tuur­vraag. Welke hypers­caler, welk datacenter, welk land: dat zijn niet de verkeerde vragen, maar wel vragen die te veel ruimte innemen ten koste van wat er werke­lijk toe doet. Wat moet er precies geregeld zijn voordat een organi­satie haar meest gevoe­lige data en processen veilig naar de cloud kan brengen? Zijn antwoord daarop is een raamwerk van vier dimen­sies dat verder gaat dan datacen­ter­lo­catie alleen.

Vier dimensies, één goedkeuring

De eerste dimensie is datasoe­ve­rei­ni­teit: data en metadata blijven in het land of de regio, zonder uitzon­de­ring. Dat voorkomt dat gevoe­lige infor­matie ongemerkt onder buiten­landse juris­dic­ties of repli­ca­tie­pro­cessen valt.

De tweede is opera­ti­o­nele soeve­rei­ni­teit. Organi­sa­ties geven alleen medewer­kers toegang tot systemen en data als zij voldoen aan natio­nale eisen rond natio­na­li­teit en scree­ning. Voor sommige functies is ook een veilig­heids­on­der­zoek verplicht. Voor defensie- en inlich­tin­gen­dien­sten is dat cruciaal. Zij moeten exact weten wie systemen beheert, support verleent of toegang heeft tot gevoe­lige informatie.

De derde dimensie is techni­sche soeve­rei­ni­teit. Daarbij wijst Merz op een element dat SAP volgens hem onder­scheidt van andere aanbie­ders: het control plane van de cloudom­ge­ving staat in het land zelf en niet in een centraal systeem elders. Dat control plane regelt onder meer beheer, updates en toegangs­rechten. Volgens SAP houdt een organi­satie zo meer controle over hoe de cloudom­ge­ving wordt beheerd en wie erbij kan.

De vierde dimensie is juridi­sche soeve­rei­ni­teit. Daarbij draait het om de vraag onder welke wetge­ving een cloudom­ge­ving valt. Een organi­satie moet erop kunnen vertrouwen dat gevoe­lige data en processen binnen het natio­nale rechts­kader blijven en niet onder buiten­landse regel­ge­ving of juridi­sche claims vallen.

Soevereiniteit vraagt om officiële erkenning

Het voldoen aan die vier dimen­sies alleen is volgens Merz niet voldoende. Een cloudom­ge­ving geldt pas als soeve­rein wanneer de natio­nale cyber­se­cu­rity-autori­teit die status officieel beves­tigt. Welke infra­struc­tuur daaronder draait, is volgens Merz minder belang­rijk. Dat kan SAP’s eigen cloud­in­fra­struc­tuur zijn, maar ook een Ameri­kaanse hypers­caler of zelfs de datacen­ters van de klant zelf.

Volgens Merz kiezen ook militaire organi­sa­ties in Europa soms bewust voor een Ameri­kaanse hypers­caler. Zolang de natio­nale cyber­se­cu­rity-autori­teit vaststelt dat de omgeving voldoet aan alle eisen voor soeve­rei­ni­teit, biedt SAP die oplos­sing aan als soeve­reine cloud.

Weerbaar­heid als strategie, niet als ideologie

Die infra­struc­tuur­on­af­han­ke­lijk­heid is volgens SAP geen marke­ting­bood­schap, maar een princi­piële keuze. Juist die keuze roept regel­matig weerstand op in het Europese debat over digitale soeve­rei­ni­teit. Een deel van dat debat draait om het princi­pieel weren van Ameri­kaanse technologie.

Merz zegt die reflex te begrijpen, maar noemt haar uitein­de­lijk onpro­duc­tief. Volgens hem kon Europa decen­nia­lang vertrouwen op een relatief stabiele geopo­li­tieke omgeving. Die periode is voorbij. Organi­sa­ties die hun cloud­stra­tegie niet voorbe­reiden op alter­na­tieve scenario’s, maken zichzelf kwetsbaar.

Een multi-cloudstrategie als veiligheidsnet

Concreet betekent dat volgens Merz dat een multi-cloud­stra­tegie geen concessie is aan soeve­rei­ni­teits­am­bi­ties. Het is juist een manier om die ambities in de praktijk te brengen. Organi­sa­ties kunnen vandaag kiezen voor een Ameri­kaanse hypers­caler vanwege techno­lo­gi­sche voordelen, en tegelijk een Europees of eigen alter­na­tief opbouwen. Die keuzes sluiten elkaar volgens hem niet uit.

SAP adviseert klanten daarom om niet volledig afhan­ke­lijk te worden van één provider, ook niet van de SAP-infra­struc­tuur. Merz is van mening dat digitale weerbaar­heid altijd vraagt om alter­na­tieven die je achter de hand moet houden. Organi­sa­ties moeten die scenario’s nu al voorbe­reiden, en niet pas op het moment dat geopo­li­tieke of techno­lo­gi­sche ontwik­ke­lingen hen daartoe dwingen.

Dat vraagt wel dat organi­sa­ties stoppen met het behan­delen van soeve­rei­ni­teit als een compli­ance-vinkje dat eenmalig kan worden afgevinkt. De echte vragen zijn veel prakti­scher van aard. Wie heeft toegang tot de data? Onder welk rechts­stelsel valt de infra­struc­tuur? En wat gebeurt er als een leveran­cier wegvalt of de geopo­li­tieke situatie veran­dert? Wie die vragen niet beant­woordt, heeft een certi­fi­caat maar geen strategie.

Data benutten, niet bewaken

Die verschui­ving van compli­ance naar weerbaar­heid krijgt extra urgentie nu AI dieper doordringt in bedrijfs­pro­cessen en organi­sa­ties steeds afhan­ke­lijker worden van de data die zij beheren. “Europa produ­ceerde vorig jaar dertig zetta­byte aan data. Om dat getal tastbaar te maken: als je één bit verge­lijkt met één zandkorrel, dan praten we over dertig Sahara-woestijnen vol zand. Van al die data benutten we tien tot vijftien procent”, zegt Merz.  

“Europa discus­si­eert over de aanleg van nieuwe digitale infra­struc­tuur, terwijl het overgrote deel van de data die al beschik­baar zijn onbenut blijven”, zegt Merz. “De werke­lijke opgave is niet waar data worden opgeslagen, maar hoe Europa die data omzet in innovatie en concurrentiekracht.”

Voor Merz is soeve­rei­ni­teit daarin geen rem maar een randvoor­waarde. Zonder controle over data en infra­struc­tuur is het risico te groot om AI op schaal in te zetten in kritieke processen. Dat geldt niet alleen voor defen­sie­be­drijven of inlich­tin­gen­dien­sten, maar voor elke organi­satie die afhan­ke­lijk is van haar data voor haar kernpro­cessen. Wie zich niet kan veroor­loven dat die data onbereik­baar, onbetrouw­baar of juridisch kwets­baar worden, kan soeve­rei­ni­teit niet langer als luxe beschouwen.