Compliance maakt korte metten met cloud-first

Cloud-first werd lange tijd beschouwd als de beste aanpak voor organisaties die snel, flexibel en zogenaamd goedkoop naar de cloud wilden schalen en migreren. Maar anno 2026 volstaat deze strategie niet langer. Wettelijke vereisten, geopolitieke verschuivingen en het toenemend gebruik van AI in bedrijfskritische processen hebben de spelregels fundamenteel veranderd. Lees hier hoe compliance, controle en innovatie toekomstbestendig te verenigen zijn.

Soevereiniteit is niet langer een uitdaging die alleen door juristen moet worden opgelost. Door soevereiniteit vanaf de ontwerpfase te integreren, wordt ervoor gezorgd dat het structureel als een architectuurvereiste en verantwoordelijkheid van IT-teams, architecten en IT-beslissers wordt beschouwd. De vraag naar soevereiniteit blijft groeien: hoe dieper AI is ingebed in kernprocessen, hoe meer soevereiniteit verschuift naar de gehele AI-levenscyclus.

Waarom soevereiniteit belangrijk is

DeEU Data Act, EU AI Act en DORA markeren een keerpunt. Ze stellen eisen waaraan primair via technische middelen moet worden voldaan, waardoor de IT-architectuur direct wordt beïnvloed. Zo verplicht de EU Data Act aanbieders om dataportabiliteit binnen 30 dagen te garanderen en schaft zij de kosten voor het uitwisselen van data tussen aanbieders af tegen januari 2027. De EU-AI-wet schrijft voor dat de herkomst van data gedocumenteerd moet worden en dat er automatisch gelogd moet worden gedurende de gehele levenscyclus van systemen met een hoog risico. Iedereen die openbare AI-API’s gebruikt voor kritieke toepassingen zonder de herkomst van de infrastructuur te kunnen bewijzen, begaat een gedocumenteerde governancefout. DORA vult dit kader aan: financiële instellingen moeten geteste exitstrategieën hebben voor kritieke workloads. Deze moeten technisch bewezen en te allen tijde activeerbaar zijn.

Kortom, naleving van alle vereisten begint met een architectonische beslissing. Concreet zijn hiervoor vier voorwaarden nodig:

Fysiek geïsoleerde infrastructuur met lokaal geautoriseerde medewerkers
Cloudplatform dat overal beschikbaar is en technische autonomie garandeert
Uniforme managementlaag die beveiligingsbeleid en herkomstregistratie afdwingt in alle omgevingen
Cryptografische controle, die ervoor zorgt dat alleen bevoegde entiteiten binnen het gedefinieerde rechtsgebied toegang hebben tot de data.

Soevereiniteit is meer dan data-opslag

Wat deze vier benaderingen inhouden, wordt duidelijker zodra soevereiniteit niet langer als een juridische term, maar als een architectonische vereiste wordt beschouwd. Wie soevereiniteit serieus wil regelen, stuit al snel op verschillende lagen die moeten worden aangepakt. De ogenschijnlijk eenvoudigste laag betreft de locatie van de data en wie er toegang toe heeft, op basis van welke wetgeving. Grensoverschrijdende gegevensoverdracht moet traceerbaar blijven en de toegang moet worden gecontroleerd. Dit is echter slechts het topje van de ijsberg. Veel organisaties onderschatten de technische realiteit: het vastleggen van eigen formaten en gesloten platforms leidt tot een vendor lock-in. Daardoor is het niet meer mogelijk of lastig om van provider te wisselen, of workloads over te zetten, en daarmee wordt een aanzienlijk deel van de bewegingsvrijheid opgeofferd.

Zelfs degenen die bovenstaande onder controle hebben, moeten nog een derde laag aanpakken: wie heeft er daadwerkelijk toegang tot de systemen? Kritieke processen mogen alleen toegankelijk zijn voor lokaal geautoriseerde medewerkers, buiten het bereik van buitenlandse jurisdictie. En tot slot, als vierde en meest urgente laag in 2026: soevereiniteit in het AI-landschap. Wie beheert trainingsruns, monitort inferentieprocessen en zorgt ervoor dat bedrijfseigen modellen en gevoelige invoergegevens het systeem van het bedrijf niet verlaten? Echte controle ontstaat pas wanneer alle vier de lagen samenwerken. Geen enkele laag werkt op zichzelf.

AI-soevereiniteit: controle over de levenscyclus

Dit is waar de datastrategie en AI-architectuur samenkomen. Private AI vormt het basisprincipe: AI-systemen draaien in een gecontroleerde omgeving waar databescherming, toegangscontrole en governance gedurende de gehele levenscyclus gegarandeerd zijn. Trainingsdata, inferentiepipelines, modellen en toegang blijven binnen een gedefinieerd, soeverein domein.

In de praktijk betekent dit drie dingen. Ten eerste draaien de modellen in een omgeving die de organisatie beheert, ofwel on-premises, in een eigen cloudregio of een hybride omgeving. Ten tweede blijft de modelselectie open: technologische onafhankelijkheid vereist de vrijheid om het meest geschikte model te gebruiken zonder afhankelijkheid van één leverancier. Ten derde is governance gegarandeerd gedurende de gehele AI-levenscyclus, van toegangscontrole en het traceren van de herkomst tot de logging van elke inferentie. Wie deze basis legt, kan AI-workloads sneller opschalen, omdat compliance niet achteraf hoeft te worden toegevoegd, maar vanaf het begin in het systeem is verankerd.

Controle en innovatie sluiten elkaar niet uit

Een cruciaal misverstand in het soevereiniteitsdebat draait om de stelling dat wie de volledige controle wil krijgen, innovatiesnelheid moet opofferen. Deze tegenstelling verdwijnt zodra soevereiniteit vanaf het begin niet als een achteraf opgelegde beperking, maar als een architectonisch principe voor de gehele IT-infrastructuur wordt beschouwd.

Organisaties die bouwen volgens het principe ‘soevereiniteit eerst’ kunnen de innovatiesnelheid van cloudinfrastructuren benutten en tegelijkertijd onbeperkte controle behouden over data, modellen, inferentiepipelines en operationele toegang. ‘Soevereiniteit eerst’ is geen beperking van wereldwijde mogelijkheden, maar een architectonische keuze die deze mogelijkheden permanent bruikbaar maakt. Wie deze benadering begrijpt, kan een basis creëren waarop innovatie, controle en compliance elkaar niet belemmeren, maar juist wederzijds afhankelijk zijn.

Door: Frank Beerlage, Managing Director bij Cloudera in de Benelux