Digitale soevereiniteit: Nieuw toetsingsinstrument helpt grip te houden op data 

Dienst ICT Uitvoering (DICTU) heeft hiervoor een concreet antwoord ontwikkeld: het Toetsingsinstrument Soevereiniteit Clouddiensten. Dit instrument biedt een objectieve manier om te bepalen in hoeverre een clouddienst voldoet aan eisen rondom digitale autonomie. IT‑auditberoepsorganisatie NOREA ziet dit instrument als een belangrijke stap in het versterken van de Nederlandse digitale weerbaarheid.

Het bijzondere aan het toetsingsinstrument is dat DICTU cloudafhankelijkheid inzichtelijk maakt aan de hand van vijf helder uitgewerkte dimensies: juridisch, data & AI, technologie, operationeel en mens. Deze dimensies vormen samen een volledig beeld van de mate waarin een organisatie controle behoudt over haar data, processen en infrastructuur.

Organisaties kunnen hiermee niet alleen zien waar de risico’s liggen, maar ook hoe groot deze afhankelijkheden daadwerkelijk zijn en welke maatregelen nodig zijn om deze te verkleinen.

De vijf dimensies van digitale soevereiniteit

1. Juridisch: onder welk recht valt uw data?
   De juridische dimensie beoordeelt of een dienstverlener onder Europese jurisdictie valt. Dat is cruciaal, omdat een datacenter in Europa niet automatisch betekent dat data beschermd is tegen extraterritoriale wetgeving, zoals de Amerikaanse Cloud Act. DICTU hanteert strikte criteria: zowel het moederbedrijf als het hoofdkantoor moeten binnen de EU gevestigd zijn.
2. Data & AI: wie heeft toegang en hoe wordt dit technisch afgedwongen?
   Het instrument kijkt naar datalocatie, toegangsbeheer en transparantie van algoritmes. Het hoogste soevereiniteitsniveau vereist cryptografische isolatie, zoals HYOK (Hold Your Own Key) en confidential computing.
3. Technologie: hoe groot is de kans op vendor lock‑in?
   Open standaarden, interoperabiliteit en het vermijden van gesloten technologieën zijn essentieel om overstappen naar een andere leverancier mogelijk te houden. DICTU beoordeelt leveranciers op hun inzet voor open source‑oplossingen en open architecturen.
4. Operationeel: waar staat de infrastructuur en wie beheert deze?
   Een dienst kan pas als soeverein worden beschouwd wanneer zowel de control plane als de infrastructuur binnen de EU worden beheerd door Europees personeel, zonder afhankelijkheid van externe regio’s.
5. Mens: transparantie in competenties en screening
   DICTU heeft deze dimensie bewust toegevoegd, omdat cloudsoevereiniteit niet alleen een technologische kwestie is, maar ook afhankelijk is van menselijk handelen. Het instrument vraagt daarom inzicht in training, certificering en screeningsniveaus van het personeel van de leverancier.

Wat betekent dit instrument voor uw organisatie?

Volgens NOREA helpt dit toetsingsinstrument organisaties om objectief vast te stellen hoeveel controle zij daadwerkelijk hebben. Zeker nu meer dan 70% van de wereldwijde cloudmarkt in handen is van drie grote Amerikaanse partijen, is deze afhankelijkheid reëel en groeiend.

Voor veel organisaties staat digitale soevereiniteit niet (meer) gelijk aan “niet naar de cloud gaan”. Het draait om het maken van doordachte en onderbouwde keuzes. Het DICTU‑instrument ondersteunt daarbij:

• U krijgt direct inzicht in risico’s rondom dataopslag, toegang en wetgeving.
• U ziet welke cloudoplossingen aansluiten bij Europese waarden van transparantie en controle.
• U kunt IT‑strategische keuzes beter onderbouwen richting bestuur en toezichthouders.
• U stimuleert leveranciers om transparant te opereren.

Kortom: organisaties krijgen meer grip op hun digitale omgeving.

Digitale soevereiniteit als fundament voor duurzame IT‑keuzes

Regie op IT‑partners is een essentieel onderdeel van een toekomstbestendige IT‑strategie. Organisaties die hier nu op inzetten, bouwen aan een IT‑landschap dat:

• beter bestand is tegen geopolitieke schokken;
• minder afhankelijk is van een beperkt aantal leveranciers;
• toekomstbestendig is in een snel veranderende digitale wereld;
• en volledig in lijn is met Europese waarden van transparantie en datacontrole.