Volledige onafhankelijkheid van Amerikaanse technologie is een illusie. De hardware, het netwerk en de AI-diensten waar organisaties dagelijks op leunen: ze komen allemaal van dezelfde kant van de oceaan. De vraag is daarom niet hoe je volledig soeverein wordt, maar waar je bewust regie pakt, en waar je het risico accepteert.
Gert Heysteeg, directeur Cloud en Mission Critical bij Conclusion, voert al anderhalf jaar gesprekken met boardrooms en cio’s over precies dat vraagstuk. Niet als pleidooi voor een grote migratie weg van Amerikaanse technologie, maar als oproep tot iets wat in de praktijk zelden gebeurt: een eerlijke inventarisatie van waar je als organisatie feitelijk van afhankelijk bent, welke risico’s je accepteert, en waar je bewust regie wil terugpakken.
De juiste vragen stellen
De meeste organisaties hebben die inventarisatie nooit gemaakt. De vraag ligt zelden scherp genoeg op tafel. Welke bedrijfsprocessen zijn echt kritiek? Hoe afhankelijk zijn die processen van technologie buiten de eigen invloedssfeer? En wat is de impact als die technologie wegvalt of duurder wordt?
Heysteeg stelt vast dat zelfs goed georganiseerde it-afdelingen hier geen helder antwoord op hebben. “In essentie is dit gewoon businesscontinuïteit”, zegt hij. “Welke risico’s zitten er in jouw digitale omgeving, wat is de kans, wat is de impact?” Wat veranderd is, is de geopolitieke context. Heysteeg, die in het verleden kort als militair werkte, verwoordt het ongemak scherp: bondgenoten die decennialang vanzelfsprekend waren, zijn dat niet langer. En omdat organisaties hun digitale infrastructuur de afgelopen jaren grotendeels hebben gebouwd op Amerikaanse technologie, raakt die verschuiving direct aan de vraag wie er feitelijk de regie heeft.
Vijf risico’s die elke CIO moet kennen
Heysteeg onderscheidt vijf concrete risico’s die samen het soevereiniteitsvraagstuk bepalen. Het continuïteitsrisico: een externe partij buiten de eigen invloedssfeer kan kritieke diensten stilleggen via een zogenoemde killswitch. Het juridische risico: extraterritoriale wetgeving zoals de Cloud Act geeft Amerikaanse autoriteiten toegang tot data bij Amerikaanse bedrijven, ook als die data fysiek in Europa staat. De compliancedruk vanuit Europese en Nederlandse regelgeving, waaronder NIS2. Diepe vendor lock-in met beperkte exitopties. En het economische risico: prijswijzigingen door grote leveranciers kunnen het kostenpatroon van een organisatie in één klap ontwrichten.
Welk risico het zwaarst weegt, verschilt per organisatie en per cio. Heysteeg merkt dat veel bestuurders de kans op een daadwerkelijke killswitch nog altijd klein achten. Een scenario waarbij een buitenlandse partij op afstand kritieke digitale diensten stillegt, voelt voor velen te vergezocht. “Dan heb je het eigenlijk over de derde wereldoorlog”, zegt hij. Maar dat betekent niet dat er geen zorg is. Die zorg verschuift naar wat er onzichtbaar kan gebeuren: niet een harde afsluiting, maar sluipende toegang via een backdoor, beïnvloeding van buitenaf zonder dat je het merkt. “Die angst leeft wel degelijk.” Voor andere bestuurders ligt de prioriteit elders: bij de compliancekant, of bij de vraag hoe ze hun softwarelandschap wendbaar genoeg krijgen om op termijn überhaupt een andere keuze te kunnen maken. Dat het juridische risico geen abstracte dreiging is, bevestigde het kabinet met het verbod op de overname van Solvinity door Kyndryl.
De paradox van de soevereiniteitsladder
Maar wie soeverein wil worden, heeft vooralsnog weinig te kiezen. Europese cloudspelers zijn in opkomst, maar de inhaalslag op het gebied van cloud-native dienstverlening is enorm. “De Amerikaanse techgiganten bouwen al decennia aan public cloud”, zegt Heysteeg. “Ze komen elke dag met nieuwe diensten. Dat haal je niet zomaar in.” Een grote, ingrijpende migratie weg van Amerikaanse technologie is voor de meeste organisaties dan ook geen realistisch perspectief, en volgens Heysteeg ook niet de juiste insteek.
Wat wel werkt, is een risicogestuurde aanpak per bedrijfsproces. Niet de vraag stellen of je soeverein wil worden, maar per werkload bepalen hoe soeverein je wil en kunt zijn, en welke risico’s je bewust accepteert. Het EU Cloud Sovereignty Framework biedt daarvoor een bruikbaar referentiekader: het maakt het gesprek concreet en de keuzes vergelijkbaar. Zo wordt soevereiniteit geen allesomvattend transformatieproject, maar een reeks gerichte afwegingen.
Kleine stappen kunnen daarin al betekenisvol zijn. Identiteitsbeheer verplaatsen naar een Europese oplossing, zodat je bij een storing bij een Amerikaanse provider grip houdt op de toegangsrechten van je eigen medewerkers. Nachtelijke kopieën maken van data die in Amerikaanse SaaS-omgevingen staat. Nieuwe software bouwen op een containerinfrastructuur, zodat je op termijn van platform kunt wisselen zonder alles opnieuw te hoeven bouwen. “Je hoeft niet in één keer volledig soeverein te worden”, zegt Heysteeg. “Maar je kan elke dag een stukje minder afhankelijk worden. Dat is ook een vorm van regie.”
Soevereine hypocrisie
Wat het debat over digitale soevereiniteit bijzonder ingewikkeld maakt, is de paradox die Heysteeg zelf ook niet ontwijkt. Conclusion werkt als partner samen met Amerikaanse techgiganten als AWS, Microsoft en Oracle, en helpt klanten dagelijks op diezelfde platformen. “Ook wij doen het nog grotendeels met Amerikaanse technologie,” zegt Heysteeg. “We zijn daar eerlijk over.” Tegelijkertijd werkt Conclusion actief toe naar soevereinere dienstverlening, met een private cloudomgeving als alternatief voor de grote publieke platformen en groeiende samenwerking met West-Europese cloudalternatieven. Die eerlijkheid over de eigen positie is precies wat in het bredere debat vaak ontbreekt: veel partijen pretenderen soevereine dienstverlening te bieden, terwijl ze onder de motorkap gewoon draaien op Amerikaanse infrastructuur.
Daar komt een tweede paradox bij. Terwijl organisaties nadenken over hoe ze data naar Europa kunnen trekken, groeit het gebruik van Amerikaanse AI-diensten in hoog tempo. Wie ChatGPT of Microsoft Copilot inzet om processen te versnellen, stuurt daarmee automatisch grote hoeveelheden bedrijfsdata naar Amerikaanse servers. “Aan de ene kant proberen we data naar Europa te trekken, en tegelijkertijd sturen we elke dag terabytes naar Amerikaanse AI-systemen om er commercieel voordeel uit te halen,” zegt Heysteeg. “Zo zijn we toch allemaal redelijk hypocriet met elkaar.”
Die hypocrisie is geen reden om het vraagstuk te parkeren. Ze maakt het juist urgenter. Want precies omdat afhankelijkheden zich opstapelen, van cloudinfrastructuur tot AI-diensten, wordt de vraag waar je bewust regie pakt steeds belangrijker. Soevereiniteit is geen ideologisch project en geen it-feestje. Het is risicomanagement in een geopolitiek landschap dat de spelregels aan het herschrijven is. De organisaties die nu per bedrijfsproces, per dataset en per werkload bewuste keuzes maken over wat ze wel en niet uit handen geven, bouwen aan een fundament dat stand houdt als het er echt op aankomt. De eerste stap is niet een grote migratie. Het is een eerlijk gesprek over waar je nu eigenlijk staat.