Een analyse in het licht van Trumps ICC-Sancties en de Europese afhankelijkheid van Big Tech!

De geopolitieke realiteit van digitale soevereiniteit!

by Djimit

Inleiding

Het concept van digitale soevereiniteit, het vermogen van een entiteit om controle uit te oefenen over haar eigen digitale lot, inclusief data, hardware en software, is van cruciaal belang geworden in het hedendaagse Europa (1). Deze urgentie wordt gevoed door een groeiende en significante afhankelijkheid van niet-Europese, met name Amerikaanse, technologie providers. Recente cijfers illustreren deze afhankelijkheid: meer dan 80% van de digitale producten, diensten en infrastructuur in de EU is afkomstig uit het buitenland, en maar liefst 92% van de Europese data bevindt zich in de cloud omgevingen van Amerikaanse technologiebedrijven (3). Een dergelijke concentratie van afhankelijkheid creëert onmiskenbaar strategische kwetsbaarheden voor Europese overheden, bedrijven en burgers (4). De discussie over digitale soevereiniteit in Europa intensiveert dan ook parallel aan de toenemende dominantie van Amerikaanse en Chinese technologische spelers, wat suggereert dat het concept deels reactief is ontstaan uit een groeiend ongemak en de reële risico’s van deze afhankelijkheid (2). Europese initiatieven worden vaak gepresenteerd als manieren om “achterstand in te halen” of “afhankelijkheid te verminderen,” wat wijst op een respons op een reeds bestaande kwetsbare positie (6). Dit reactieve karakter kan de effectiviteit van Europese strategieën beïnvloeden, daar de focus mogelijk meer ligt op het mitigeren van externe dreigingen dan op het proactief bouwen van een fundamenteel eigen, innovatief digitaal ecosysteem.

Een kritieke casus die de beperkingen van de huidige benaderingen van digitale soevereiniteit pijnlijk blootlegt, betreft de sancties die de Trump-administratie instelde tegen het Internationaal Strafhof (ICC), gevestigd in Den Haag. Deze sancties, geïmplementeerd via een executive order (9), hebben verstrekkende en directe digitale gevolgen. Zo werd het Microsoft e-mailaccount van de hoofdaanklager van het ICC geannuleerd en werden bankrekeningen van ICC-personeel bij financiële instellingen die onder Amerikaanse jurisdictie vallen, geblokkeerd (9). Dit voorval demonstreert ondubbelzinnig hoe unilaterale Amerikaanse acties Europese en internationale entiteiten, die afhankelijk zijn van Amerikaanse technologie, direct kunnen treffen, zelfs wanneer dataverwerking vermeend lokaal plaatsvindt. 

De ICC-casus is geen geïsoleerd incident, maar een symptoom van een bredere geopolitieke strategie waarbij technologie en de toegang tot digitale diensten worden ingezet als instrumenten van buitenlands beleid en nationale veiligheid. De sancties werden expliciet gemotiveerd door Amerikaanse nationale belangen en die van haar bondgenoten (9), en de ingezette middelen zijn standaard instrumenten in het Amerikaanse sanctie-arsenaal, vaak toegepast onder de International Emergency Economic Powers Act (IEEPA) (10). 

Dit patroon van het aanwenden van economische en technologische macht voor geopolitieke doeleinden is consistent met breder Amerikaans beleid, wat impliceert dat Europese organisaties, door hun afhankelijkheid van Amerikaanse technologie, potentieel blootstaan aan dergelijke geopolitieke manoeuvres, zelfs als zij niet het directe doelwit zijn.

Dit rapport beoogt een antwoord te formuleren op de volgende centrale onderzoeksvraag: In hoeverre bieden huidige initiatieven zoals Microsofts EU Data Boundary en Cloud for Sovereignty daadwerkelijk bescherming tegen de extraterritoriale toepassing van Amerikaanse wetgeving, en welke strategische heroverwegingen vereist dit van Europese organisaties op het gebied van cloudgebruik, continuïteit en exit-planning?

De structuur van dit rapport is als volgt: 

• Hoofdstuk 1 legt de theoretische fundamenten van digitale soevereiniteit en de Europese ambities op dit vlak bloot. 

• Hoofdstuk 2 biedt een kritische evaluatie van Microsofts EU Data Boundary en Cloud for Sovereignty. 

• Hoofdstuk 3 analyseert de ICC-sancties als een geopolitieke realiteitstoets voor deze soevereine cloudoplossingen. 

• Hoofdstuk 4 onderzoekt de blootgelegde kwetsbaarheden en de implicaties daarvan voor Europese organisaties. 

• Hoofdstuk 5 werkt strategische heroverwegingen uit, met een focus op cloud exit-strategieën en bedrijfscontinuïteit. 

• Hoofdstuk 6 schetst de toekomst van Europese digitale soevereiniteit, inclusief uitdagingen en kansen. Het rapport sluit af met een conclusie en aanbevelingen.

Hoofdstuk 1: De Theoretische Fundamenten van Digitale Soevereiniteit en de Europese Ambitie

Digitale soevereiniteit is een gelaagd concept dat centraal staat in het huidige Europese streven naar meer autonomie in het digitale tijdperk. Dit hoofdstuk definieert digitale soevereiniteit vanuit een Europees perspectief, analyseert de drijfveren achter deze ambitie, en onderzoekt de belangrijkste Europese initiatieven en de rol van private sector aanbiedingen zoals die van Microsoft.

Definitie van Digitale Soevereiniteit: Een Europees Perspectief

Vanuit Europees perspectief verwijst digitale soevereiniteit naar het vermogen om het eigen digitale lot te bepalen, wat controle over data, hardware en software omvat (1). Het concept is veelzijdig en kan worden onderverdeeld in verschillende, elkaar overlappende dimensies:

• Data-soevereiniteit: Dit is wellicht de meest besproken dimensie en betreft de autoriteit over data die binnen de eigen geografische en juridische grenzen wordt gegenereerd en verwerkt (1). Het gaat hierbij niet alleen om de fysieke locatie van data, maar ook om de handhaving van eigen databeschermingsregels, met de Algemene Verordening Gegevensbescherming (AVG, of GDPR) als hoeksteen (1). De GDPR benadrukt de bescherming van persoonsgegevens, dataveiligheid en de rechten van betrokkenen, en de rol van de data controller is hierin cruciaal voor het bepalen hoe en waarom persoonsgegevens worden verwerkt (1).

• Technologische soevereiniteit: Deze dimensie focust op het vermogen van Europa om eigen cruciale digitale technologieën te ontwikkelen, te produceren en te controleren, en zodoende de afhankelijkheid van buitenlandse technologie te verminderen (5). Dit strekt zich uit tot zowel hardware, zoals halfgeleiders (waar de European Chips Act op inspeelt), als software en de onderliggende technologische standaarden (6).

• Operationele soevereiniteit: Dit heeft betrekking op de onafhankelijke controle en het beheer van kritieke digitale infrastructuren en processen (20). De vraag wie de systemen daadwerkelijk beheert, onderhoudt en toegang heeft tot de operationele aspecten van de infrastructuur is hierbij van wezenlijk belang.

De Europese definitie van digitale soevereiniteit is inherent multidimensionaal, maar in de praktische implementatie en de focus van veel huidige initiatieven en commerciële oplossingen lijkt een onevenredige nadruk te liggen op data-soevereiniteit, met name de fysieke locatie van dataopslag. Hoewel de GDPR en aanbiedingen zoals Microsofts EU Data Boundary sterk focussen op datalocatie (1), blijven de dimensies van technologische en operationele soevereiniteit, wie de technologie bezit, ontwikkelt en beheert, vaak onderbelicht, vooral wanneer het oplossingen van niet-EU providers betreft. Initiatieven zoals de European Chips Act (6) en Gaia-X (8) trachten deze bredere soevereiniteits aspecten wel te adresseren, maar concurreren met de direct beschikbare, op datalocatie gerichte oplossingen van de grote hyperscalers. Een te enge focus op data-soevereiniteit kan een “illusie van controle” creëren, terwijl de fundamentele afhankelijkheid van buitenlandse technologie en operationeel beheer voortduurt.

Drijfveren achter Europa’s Streven naar Digitale Soevereiniteit

Het Europese streven naar digitale soevereiniteit wordt gevoed door een combinatie van economische, strategische en normatieve overwegingen:

• Economische concurrentiekracht: De EU ambieert een leidende rol in de mondiale digitale economie en wil voorkomen dat deze wordt gedomineerd door de ongebreidelde macht van enkele grote, voornamelijk niet-Europese, technologiebedrijven (23). Het bevorderen van innovatie, het scheppen van een gelijk speelveld voor Europese bedrijven en het stimuleren van eerlijke concurrentie zijn hierbij belangrijke subdoelen (2).

• Strategische autonomie: Een drijfveer is het verminderen van de strategische afhankelijkheid van buitenlandse technologie providers, met name uit de VS en China (1). In een geopolitiek landschap dat gekenmerkt wordt door toenemende rivaliteit en de instrumentalisering van technologie, wordt het behoud van controle over kritieke digitale infrastructuren en datastromen als essentieel beschouwd voor de Europese handelingsvrijheid (2).

• Bescherming van fundamentele rechten en waarden: Europa hecht grote waarde aan de bescherming van grondrechten, zoals privacy en gegevensbescherming, en wil de digitale economie verankeren in de rechtsstaat en democratische principes (5). De GDPR dient als een prominent voorbeeld van deze inzet (1). Er bestaat de vrees dat zonder robuuste Europese sturing, de digitale ruimte gedomineerd zou kunnen worden door actoren die deze fundamentele waarden ondermijnen (23).

Europese Initiatieven en Regelgeving

Om deze ambities te verwezenlijken, heeft de EU een reeks initiatieven en reguleringsmaatregelen gelanceerd:

• Algemene Verordening Gegevensbescherming (AVG/GDPR): Deze verordening stelt een wereldwijde standaard voor gegevensbescherming, geeft burgers meer controle over hun persoonsgegevens en legt strenge verplichtingen op aan alle organisaties die gegevens van EU-burgers verwerken, ongeacht hun vestigingsplaats (1). De beoogde impact is het versterken van data-soevereiniteit en het indirect stimuleren van de ontwikkeling en het gebruik van privacy-respecterende (en potentieel Europese) oplossingen.

• Digital Markets Act (DMA) en Digital Services Act (DSA): Deze wetgevingspakketten beogen de digitale economie en opkomende technologieën te reguleren, de marktmacht van grote online platformen (de “poortwachters”) te beperken en eerlijke concurrentie te bevorderen (2). De intentie is om meer ruimte te creëren voor Europese technologiebedrijven en de dominantie van niet-EU spelers te verminderen.

• European Chips Act: Dit initiatief is gericht op het aanzienlijk verhogen van de productiecapaciteit van halfgeleiders binnen de EU (3). Het doel is de afhankelijkheid van buitenlandse leveranciers voor deze kritieke componenten te verminderen en zo de technologische soevereiniteit van Europa te versterken.

• Gaia-X: Dit project streeft naar de creatie van een federatieve en vertrouwde data-infrastructuur voor Europa, gebaseerd op Europese waarden zoals transparantie, interoperabiliteit, dataportabiliteit en compliance (6). De beoogde impact is het bieden van een Europees alternatief voor de cloud- en data-infrastructuren van niet-EU hyperscalers, waardoor Europa meer controle krijgt over haar data en digitale infrastructuur en de data-economie wordt gestimuleerd.

• EuroStack: Dit is een ambitieus initiatief voor het ontwikkelen van een eigen, Europese cloudinfrastructuur (“digital stack”), ondersteund door projecten als Gaia-X en EUCloud (6). Het doel is het aanbieden van soevereine cloudoplossingen en open-source alternatieven om de afhankelijkheid van externe, niet-Europese technologieën te doorbreken.

• EUCloud: Dit project ondersteunt de doelstellingen van EuroStack en is gericht op het ontwikkelen van een eigen Europese cloudinfrastructuur (1). De beoogde impact is bij te dragen aan de totstandkoming van soevereine cloudoplossingen en de afhankelijkheid van niet-Europese aanbieders te verminderen.

• Andere relevante initiatieven: Naast de bovengenoemde zijn ook de Data Act, Data Governance Act en de AI Act van belang, die respectievelijk de toegang tot en het gebruik van data, het bestuur van databemiddelingsdiensten en de ontwikkeling en inzet van kunstmatige intelligentie reguleren (1). De Digital Compass strategie stelt concrete doelen voor 2030 op het gebied van digitale vaardigheden, infrastructuur, digitalisering van bedrijven en publieke diensten (3). Verder dragen initiatieven als EuroHPC (European High Performance Computing Joint Undertaking) bij aan de ontwikkeling van Europese supercomputingcapaciteit en gerelateerde technologieën, inclusief processoren (29). Meer recentelijk is de Sovereign European Cloud API (SECA) geïntroduceerd als een open standaard om interoperabiliteit tussen Europese cloudplatformen te bevorderen (31), en het “8ra” initiatief (IPCEI-CIS) beoogt een “multi-provider cloud-edge continuum” te creëren (20).

Er bestaat een inherente spanning tussen de Europese ambitie voor strategische autonomie en de realiteit van het zogenaamde “Brussels Effect” (5). Hoewel de EU via regulering, zoals de GDPR, wereldwijd de facto standaarden kan zetten en niet-EU bedrijven dwingt tot aanpassingen, verandert dit niet noodzakelijkerwijs hun fundamentele bedrijfsmodellen, eigendomsstructuren of de onderliggende technologie die zij controleren. Microsofts aanpassing van zijn diensten met de EU Data Boundary om te voldoen aan de Europese vraag naar soevereiniteit en regelgeving is een voorbeeld van dit effect (22). Echter, de kerntechnologie en het bedrijf zelf blijven Amerikaans en onderworpen aan Amerikaanse wetgeving (7). Het “Brussels Effect” kan dus leiden tot compliance op papier en marketing aanpassingen, maar biedt mogelijk onvoldoende bescherming tegen dieperliggende soevereiniteits risico’s die voortvloeien uit de herkomst van de technologie provider, zoals blootstelling aan extraterritoriale wetgeving.

Microsofts Investeringen en Marketing in de Europese Context

Binnen deze context van Europese soevereiniteits ambities positioneert Microsoft zijn EU Data Boundary en Cloud for Sovereignty als oplossingen die Europese organisaties moeten helpen digitale soevereiniteit, veerkracht, veiligheid en innovatie te bereiken (1). De beloften van Microsoft omvatten de opslag en verwerking van klantdata binnen de EU en de Europese Vrijhandelsassociatie (EFTA) (4), het beheer van Europese datacenteroperaties door een Europese raad van bestuur die opereert onder Europese wetgeving (32), en een “Digital Resilience Promise” in contracten met Europese overheden en de Europese Commissie om orders tot stopzetting van clouddiensten in Europa aan te vechten (32). 

Daarnaast gaat Microsoft partnerschappen aan met Europese bedrijven, zoals Capgemini en Orange voor “Bleu” in Frankrijk, en SAP en Arvato Systems voor “Delos Cloud” in Duitsland, om specifieke soevereine cloudoplossingen te ontwikkelen die lokaal worden beheerd (32).

De marketingstrategie van Microsoft benadrukt het leveren van “een Europese cloud voor Europa” (32), het respecteren van Europese waarden en regelgeving (22), en het doen van aanzienlijke investeringen in de uitbreiding van datacenter capaciteit in Europa (4). Deze marketing speelt slim in op de Europese soevereiniteitsambities door taal en concepten te gebruiken die resoneren met de beleidsdoelstellingen van de EU. Termen als “digital sovereignty,” “resiliency,” “European cloud for Europe,” en verwijzingen naar een “European board of directors” en “European law” sluiten nauw aan bij de politieke en maatschappelijke wensen in Europa (32). Dit creëert de perceptie dat Microsoft oplossingen biedt die volledig in lijn zijn met de Europese soevereiniteitsdoelstellingen. 

Er bestaat echter een risico dat Europese organisaties en beleidsmakers deze marketingclaims voor waar aannemen zonder de onderliggende technische en juridische beperkingen, die in het volgende hoofdstuk nader worden geanalyseerd, volledig te doorgronden.

Hoofdstuk 2: Microsofts EU Data Boundary en Cloud for Sovereignty: Een Kritische Evaluatie

Dit hoofdstuk onderwerpt Microsofts EU Data Boundary en Cloud for Sovereignty aan een kritische evaluatie. Het beschrijft de technische en contractuele opzet, analyseert de mate waarin deze oplossingen voldoen aan Europese soevereiniteitsvereisten, en identificeert inherente beperkingen en potentiële achterdeurtjes.

Technische en Contractuele Opzet van de EU Data Boundary

De EU Data Boundary is een door Microsoft gedefinieerde geografische grens waarbinnen het bedrijf zich committeert om klantdata voor zijn belangrijkste commerciële enterprise online services op te slaan en te verwerken (21). Dit omvat Microsoft 365, Dynamics 365, Power Platform en de meeste Azure-diensten (4).

De implementatie van de EU Data Boundary verliep gefaseerd (4):

• Fase 1 (gestart in 2023): Focus op de opslag en verwerking van klantdata binnen de EU/EFTA-regio’s (4). Klantdata wordt gedefinieerd als alle data (tekst, geluid, video, beeld, software) die door of namens de klant aan Microsoft wordt verstrekt via het gebruik van de Online Service. Dit sluit expliciet professionele service data en configuratie-informatie uit (21).

• Fase 2 (gelanceerd januari 2024): Uitbreiding van de boundary naar gepseudonimiseerde persoonlijke data (4). Dit betreft data in systeemgegenereerde logs (bv. gebruiksactiviteit) waarbij directe identificatoren zijn vervangen door pseudoniemen (41). Microsoft stelt dat alle persoonlijke data in systeemgegenereerde logs gepseudonimiseerd moeten worden (41).

• Fase 3 (voltooid februari 2025): Incorporatie van professionele servicegegevens binnen de boundary, zoals data uit technische supportinteracties (bv. support logs) (4). Het is echter belangrijk op te merken dat niet alle professionele servicegegevens binnen deze boundary vallen; data gerelateerd aan consultancydiensten van Microsoft wordt bijvoorbeeld expliciet uitgesloten en opgeslagen in de VS (44).

Contractueel belooft Microsoft data binnen de EU/EFTA te houden, met beperkte en transparant gedocumenteerde overdrachten daarbuiten (21). Voor Europese overheden en de Europese Commissie wordt een “Digital Resilience Commitment” in contracten opgenomen, waarin Microsoft toezegt zich juridisch te verzetten tegen eventuele bevelen om de dienstverlening in Europa te staken (32).

Analyse van Conformiteit met Europese Soevereiniteitsvereisten

Op het gebied van datalocatie voldoet de EU Data Boundary grotendeels aan de verwachting dat in-scope data en services binnen de EU/EFTA worden verwerkt (4). Echter, de effectiviteit wordt genuanceerd door het bestaan van “beperkte omstandigheden” waaronder data alsnog buiten de EU Data Boundary kan worden overgedragen of ingezien (22). Deze uitzonderingen omvatten:

• Noodzakelijke remote access door Microsoft-personeel van buiten de EU voor operationeel beheer, onderhoud, support en beveiliging van de diensten (44).

• Door de klant zelf geïnitieerde dataoverdrachten, bijvoorbeeld wanneer een gebruiker data deelt met personen buiten de EU of diensten configureert die data extern opslaan (44).

• De wereldwijde verwerking die nodig is om te voldoen aan rechten van betrokkenen onder de GDPR, zoals het verwijderen van persoonsgegevens (44).

• Bepaalde categorieën professionele servicegegevens, zoals data voor consultingdiensten, support case titels en geëscaleerde support tickets, die buiten de EU kunnen worden opgeslagen of verwerkt (44).

• Dataoverdrachten ten behoeve van wereldwijde cybersecurity-operaties, zoals de analyse van dreigingsdata om klanten te beschermen tegen cyberaanvallen (37).

• Consolidatie van gepseudonimiseerde data uit systeemlogs en support cases voor wereldwijde monitoring van servicekwaliteit en -beheer (44).

Deze uitzonderingen tonen aan dat de belofte van datalocatie binnen de EU niet absoluut is, wat directe implicaties heeft voor de mate van data-soevereiniteit die daadwerkelijk wordt bereikt.

Evaluatie van Microsoft Cloud for Sovereignty (MCfS)

Microsoft Cloud for Sovereignty (MCfS), algemeen beschikbaar sinds december 2023 voor alle Azure-regio’s, is specifiek gericht op overheden en streng gereguleerde sectoren met hoge soevereiniteitseisen (22). MCfS is geen separate cloud, maar een reeks aanvullende soevereine controles, governance tools en beleidsrichtlijnen bovenop de standaard Azure public cloud (32). Het biedt een “sovereign landing zone” met Azure policies, blueprints en guardrails die klanten helpen datalocatie te specificeren, encryptie af te dwingen en operationele transparantie te verhogen (32). Klanten kunnen hiermee hun Azure-diensten configureren voor gebruik binnen de EU Data Boundary (21).

Een belangrijk aspect van MCfS voor klanten met de allerhoogste soevereiniteitseisen zijn de partnerschappen die Microsoft aangaat met lokale Europese bedrijven om afgescheiden, lokaal beheerde cloudomgevingen te creëren. Voorbeelden hiervan zijn “Bleu” in Frankrijk (met Capgemini en Orange) en “Delos Cloud” in Duitsland (met Arvato Systems en SAP) (32-33-39-48). Deze partnerschappen streven naar een hogere mate van soevereiniteit door middel van lokaal personeel, lokale operationele controle en het voldoen aan nationale certificeringseisen zoals SecNumCloud in Frankrijk, met als doel immuniteit tegen extraterritoriale wetgeving (45).

Inherente Beperkingen en Mogelijke Achterdeurtjes

Ondanks de marketing en de technische maatregelen, blijven er inherente beperkingen en potentiële kwetsbaarheden bestaan in de “soevereine cloud”-oplossingen die worden aangeboden door een Amerikaanse hyperscaler zoals Microsoft.

• Eigendom en Beheer van Technologie en Infrastructuur: De onderliggende cloudinfrastructuur en de kerntechnologieën blijven eigendom van en worden ontwikkeld en beheerd door Microsoft, een Amerikaans bedrijf (34). Zelfs met de instelling van een Europese raad van bestuur voor Europese datacenteroperaties (32), blijft de uiteindelijke zeggenschap en controle berusten bij het Amerikaanse moederbedrijf, dat onderworpen is aan de Amerikaanse wet.

• Toepasselijkheid van Amerikaanse Wetgeving (CLOUD Act, FISA): Dit is een fundamentele beperking. De Amerikaanse CLOUD Act stelt Amerikaanse opsporings- en inlichtingendiensten in staat om data op te vragen bij Amerikaanse technologiebedrijven, ongeacht waar die data fysiek is opgeslagen (7). Microsofts EU Data Boundary biedt hiertegen geen juridische immuniteit en is hier ook niet voor bedoeld; Microsoft zelf claimt dit ook niet, maar focust op datalocatie, transparantie en het contractueel aanvechten van bepaalde bevelen (7). Ook FISA Sectie 702, die bulk surveillance van niet-Amerikaanse personen toestaat, blijft een bron van zorg (35). De terminologie die Microsoft hanteert (bv. “EU Data Boundary”, “Cloud for Sovereignty”) is strategisch gekozen om aan te sluiten bij Europese soevereiniteitsaspiraties, maar kan de fundamentele juridische en operationele realiteiten maskeren die de facto soevereiniteit beperken (22). De technische en contractuele details onthullen significante uitzonderingen voor dataoverdracht en de blijvende onderworpenheid aan Amerikaanse wetgeving, waardoor een discrepantie ontstaat tussen de marketingboodschap en de juridisch-technische realiteit. Dit kan Europese klanten een misleidend gevoel van veiligheid en soevereiniteit geven.

• Rol en Jurisdictie van Microsoft-Personeel: Microsoft-personeel, ook medewerkers die buiten de VS werkzaam zijn of een niet-Amerikaanse nationaliteit hebben, kunnen onderworpen zijn aan Amerikaanse jurisdictie of door Amerikaanse autoriteiten gedwongen worden medewerking te verlenen aan dataverzoeken. Remote access tot data binnen de EU Data Boundary door personeel van buiten de EU is een expliciet erkende uitzondering voor operationele doeleinden (44). Zelfs wanneer data lokaal wordt beheerd door Europese dochterondernemingen of partners (zoals bij Bleu of Delos), blijft het Amerikaanse moederbedrijf Microsoft Corporation onderworpen aan Amerikaanse wetgeving en kan het mogelijk worden gedwongen om invloed uit te oefenen op deze dochterondernemingen of partners, bijvoorbeeld via licentievoorwaarden, software-updates of technologische afhankelijkheden (55). De “soevereine” partneroplossingen zoals Bleu en Delos zijn een poging om deze controle te verminderen, maar de afhankelijkheid van Microsoft-technologie als kern roept vragen op over de werkelijke “immuniteit” (33-46). Als de kerntechnologie onderhevig is aan Amerikaanse wetgeving (bv. via updates, licenties, intellectueel eigendom), blijft de vraag hoe “immuun” de afgeleide dienst kan zijn. Het risico dat Microsoft bijvoorbeeld gedwongen wordt software-updates te leveren die de soevereiniteit van Bleu/Delos ondermijnen, of licenties in te trekken, is niet uit te sluiten (34). Deze partnerconstructies kunnen een verbetering zijn qua operationele controle, maar bieden mogelijk geen volledige juridische soevereiniteit zolang de technologische afhankelijkheid van een Amerikaanse entiteit blijft bestaan.

• Reikwijdte van “Gepseudonimiseerde Persoonlijke Data” en “Professionele Servicegegevens”:

• Gepseudonimiseerde persoonlijke data: Hoewel deze data binnen de EU Data Boundary worden gehouden, is pseudonimisering geen anonimisering. De data kunnen nog steeds herleidbaar zijn tot een specifiek individu met behulp van aanvullende informatie (41). Microsoft stelt dat de controles op data die heridentificatie mogelijk maken, hetzelfde zijn als voor klantdata (41). Indien Microsoft (een Amerikaans bedrijf) de middelen voor heridentificatie controleert, of als Amerikaanse wetgeving toegang tot zowel de gepseudonimiseerde data als de “sleutel” kan afdwingen, is de bescherming beperkt.

• Professionele servicegegevens: Deze omvatten support logs en case notes (42). Zoals eerder genoemd, vallen niet alle professionele servicegegevens binnen de EU Data Boundary. Data gerelateerd aan Microsofts eigen consultingdiensten, en mogelijk ook metadata zoals support case titels, kunnen buiten de EU worden opgeslagen (44). De definitie van “klantdata” sluit expliciet “professionele servicegegevens” en configuratiegegevens uit (21). Dit betekent dat niet alle data die gerelateerd zijn aan de interactie van de klant met Microsoft binnen de beloofde grenzen van de EU Data Boundary vallen. Deze nuances zijn belangrijk voor het begrijpen van de werkelijke reikwijdte van de geboden bescherming en de potentiële risico’s voor metadata of support-gerelateerde informatie die gevoelige context kan bevatten.

De volgende tabel vat de discrepantie tussen Microsofts beloften en de juridische realiteit samen:

Tabel 2.1: Vergelijkende Analyse: Beloften van Microsoft’s Soevereine Oplossingen versus de Juridische Realiteit van Amerikaanse Extraterritoriale Wetgeving

**Microsoft’s Belofte/Feature****Ondersteunende Marketingclaims/Documentatie (Voorbeelden)**Juridische Realiteit (Impact Amerikaanse Wetgeving)Analyse van de Discrepantie/BeperkingEU Data Boundary: Dataopslag en -verwerking binnen EU/EFTA“store and process customer data… within the EU Data Boundary” (21); “keeps customer content, personal identifiers, and even support data inside datacenters in Europe” (32)CLOUD Act en FISA 702 blijven van toepassing op data beheerd door Amerikaanse bedrijven, ongeacht locatie (7). Uitzonderingen voor dataoverdracht erkend door Microsoft (44).Datalocatie biedt geen immuniteit tegen Amerikaanse dataverzoeken. De term “boundary” suggereert een hardere grens dan feitelijk het geval is.EU Data Boundary: Beperkte dataoverdrachten buiten EU“Microsoft limits transfers of customer data outside of the EU Data Boundary and provides transparency documentation” (21)Noodzakelijke overdrachten voor o.a. remote support, security, DSRs, en door klant geïnitieerde acties (44).“Beperkt” is een relatief begrip; de lijst van uitzonderingen is significant en raakt aan kernoperaties en -diensten. Transparantie over overdrachten verandert niets aan het feit dat ze plaatsvinden.Microsoft Cloud for Sovereignty: Meer controle voor overheden/gereguleerde klanten“offers governments more control over data locations and access” (33); “sovereign landing zone” met policies voor encryptie, datalocatie (32)Onderliggende Azure-infrastructuur en -technologie blijven van Microsoft (VS). CLOUD Act/FISA blijven van toepassing op Microsoft als Amerikaanse entiteit.“Controle” is beperkt door de jurisdictie waaronder de provider valt. De “landing zone” configureert bestaande Azure-diensten, maar verandert de fundamentele juridische onderworpenheid niet.Partneroplossingen (Bleu/Delos): Immuniteit tegen extraterritoriale wetgeving, lokale controleBleu: “immunity from all extraterritorial legislation and economic independence”, “strictly separated from Microsoft’s global data center infrastructure”, “entirely operated by its own staff in France” (45). Delos: “Operation in Germany”, “Microsoft’s role limited to that of a technology supplier” (46).Kerntechnologie (Azure/M365) blijft van Microsoft. Afhankelijkheid van Microsoft voor updates, licenties, en mogelijk diepere technische lagen. Risico dat Amerikaanse overheid Microsoft dwingt invloed uit te oefenen (34).De mate van “immuniteit” is twijfelachtig zolang de technologische afhankelijkheid van een Amerikaanse provider voortduurt. Operationele controle is verbeterd, maar volledige juridische en technologische soevereiniteit is niet gegarandeerd.Digital Resilience Commitment: Aanvechten van orders tot stopzetting diensten“Microsoft will promptly and vigorously contest such a measure using all legal avenues available” (32)Effectiviteit van aanvechten onzeker, vooral bij nationale veiligheidsclaims. Microsoft blijft onderworpen aan Amerikaanse gerechtelijke bevelen.Een belofte om aan te vechten is geen garantie op succes en verandert niets aan de wettelijke verplichting om te voldoen aan een definitief bevel.Europese Raad van Bestuur voor Europese Datacenteroperaties“overseen by a European board of directors that consists exclusively of European nationals and operates under European law” (32)Het Amerikaanse moederbedrijf Microsoft Corp. blijft de uiteindelijke eigenaar en is onderworpen aan Amerikaanse wetgeving. De Europese entiteit is een dochteronderneming.Symbolisch belangrijk, maar verandert waarschijnlijk weinig aan de juridische verplichtingen van het Amerikaanse moederbedrijf onder de CLOUD Act/FISA.

Hoofdstuk 3: De ICC-Sancties als Geopolitieke Realiteitstoets

De sancties van de voormalige Amerikaanse president Trump tegen het Internationaal Strafhof (ICC) en zijn personeel vormen een saillante casestudy. Ze illustreren op harde wijze hoe geopolitieke beslissingen van één land directe en ontwrichtende gevolgen kunnen hebben voor internationale organisaties, mede via de digitale infrastructuur waarvan zij afhankelijk zijn. Dit hoofdstuk analyseert deze casus als een realiteitstoets voor de effectiviteit van zogenaamde “soevereine cloud”-oplossingen.

Achtergrond en Maatregelen van de ICC-Sancties

Op 6 februari 2025 vaardigde de toenmalige Amerikaanse president Trump Executive Order (EO) 14203 uit, getiteld “Imposing Sanctions on the International Criminal Court” (10). Deze order was primair gericht tegen het ICC vanwege diens onderzoeken naar mogelijk wangedrag door personeel van de Verenigde Staten en diens bondgenoten, met name Israël, in verschillende conflictgebieden (9). De VS, die geen partij is bij het Statuut van Rome (het oprichtingsverdrag van het ICC), stelde dat het Hof geen jurisdictie had over Amerikaanse staatsburgers of die van niet-verdragsluitende bondgenoten, en beschouwde de acties van het ICC als een bedreiging voor de Amerikaanse nationale veiligheid en soevereiniteit (9). Het was niet de eerste keer dat de VS dergelijke maatregelen trof; in september 2020 werden onder een eerdere EO sancties opgelegd aan een andere ICC-aanklager vanwege het onderzoek naar vermeende oorlogsmisdaden in Afghanistan (10).

De specifieke maatregelen van EO 14203 waren verstrekkend. Ze omvatten het blokkeren van alle eigendommen en belangen in eigendom van de toenmalige hoofdaanklager van het ICC, Karim Khan, en van andere personen die door de Amerikaanse minister van Buitenlandse Zaken (in overleg met de minister van Financiën en de procureur-generaal) werden aangewezen als betrokken bij ICC-acties tegen “beschermde personen” (d.w.z. personeel van de VS en haar bondgenoten) (9). Cruciaal was het verbod voor Amerikaanse personen en entiteiten, en voor personen en entiteiten binnen de VS, om “financiële, materiële of technologische ondersteuning” te verlenen aan, of goederen of diensten te leveren aan of ten behoeve van gesanctioneerde personen (9). Daarnaast werden er inreisverboden voor de VS ingesteld voor ICC-personeel en hun directe familieleden (9).

Directe Gevolgen voor het ICC en zijn Personeel, met Focus op Digitale Aspecten

De sancties hadden onmiddellijke en ernstige gevolgen voor de operationele capaciteit van het ICC en het welzijn van zijn personeel, met name op digitaal en financieel vlak:

• Verlies van Toegang tot Digitale Diensten: Het meest in het oog springende gevolg was het verlies van toegang tot zijn Microsoft e-mailaccount door hoofdaanklager Karim Khan. Microsoft, als Amerikaans technologiebedrijf, annuleerde de dienstverlening, waardoor Khan gedwongen werd over te stappen op Proton Mail, een Zwitserse e-mailprovider (9). Dit illustreert de directe impact van de sancties op essentiële digitale communicatiemiddelen.

• Blokkade van Financiële Middelen: De bankrekeningen van hoofdaanklager Khan in zijn thuisland, het Verenigd Koninkrijk, werden geblokkeerd (9). Dit was een direct gevolg van het feit dat financiële instellingen, zelfs buiten de VS, vaak verweven zijn met het Amerikaanse financiële systeem en beducht zijn voor secundaire sancties of andere repercussies als zij Amerikaanse sancties negeren.

• Verstoring van Samenwerking: Tal van non-gouvernementele organisaties (NGO’s) en externe contractanten die cruciaal zijn voor het werk van het ICC (bv. voor bewijsvergaring en getuigenbescherming) beperkten of staakten hun samenwerking met het Hof uit angst voor Amerikaanse represailles (9). Sommige NGO’s durfden zelfs niet meer te reageren op e-mails van ICC-functionarissen (9).

• Impact op Personeel: Amerikaans personeel in dienst van het ICC werd gewaarschuwd dat zij het risico liepen gearresteerd te worden bij terugkeer naar de VS (9). Als gevolg hiervan hebben ten minste zes senior officials het Hof verlaten uit vrees voor de sancties (9).

• Belemmering van Werkzaamheden: De cumulatieve effecten van deze maatregelen leidden tot een ernstige belemmering van de algehele werkzaamheden van het ICC, inclusief lopende onderzoeken, zoals dat naar wreedheden in Sudan (9).

De snelheid en effectiviteit waarmee Microsoft de e-maildienst van de ICC-aanklager afsloot na de Amerikaanse sancties, dient als een harde waarschuwing over de directe operationele controle die Amerikaanse technologiebedrijven kunnen uitoefenen over hun klanten wereldwijd wanneer zij onder druk van hun overheid komen te staan. Dit toont aan dat contractuele service level agreements (SLA’s) of beloften over dienstverlening ondergeschikt kunnen worden gemaakt aan nationale veiligheids- of buitenlandbeleidsinstructies van de Amerikaanse overheid. Europese organisaties moeten zich realiseren dat hun toegang tot cruciale diensten van Amerikaanse providers niet gegarandeerd is en plotseling kan worden beëindigd of beperkt als gevolg van Amerikaanse geopolitieke beslissingen, ongeacht datalocatie of “soevereine” branding van de dienst.

Mechanismen van Extraterritoriale Handhaving

De Amerikaanse overheid kon deze verstrekkende impact realiseren, ondanks de locatie van het ICC in Den Haag en de nationaliteit van de betrokkenen (zoals de Britse hoofdaanklager), via verschillende mechanismen:

• International Emergency Economic Powers Act (IEEPA): De Executive Order tegen het ICC werd uitgevaardigd op basis van de IEEPA (17). Deze wet verleent de Amerikaanse president brede bevoegdheden om economische transacties te reguleren en sancties op te leggen na de afkondiging van een nationale noodtoestand met betrekking tot een ongebruikelijke en buitengewone dreiging voor de nationale veiligheid, buitenlandse politiek of economie van de VS. IEEPA wordt frequent ingezet om sancties op te leggen aan staten, maar ook aan niet-statelijke actoren zoals terroristische organisaties, en in dit geval, personen geassocieerd met het ICC (17). De sancties omvatten typisch het blokkeren van eigendommen en het verbieden van transacties, inclusief het leveren van “diensten”, waaronder technologische diensten zoals e-mailhosting of financiële diensten, aan de gesanctioneerde personen of entiteiten (18). Bedrijven met een Amerikaanse nexus (zoals Microsoft als Amerikaans bedrijf, of banken die transacties in Amerikaanse dollars verwerken of correspondentbankrekeningen in de VS aanhouden) zijn verplicht deze sancties na te leven om zelf geen boetes of andere strafmaatregelen opgelegd te krijgen.

• Extraterritoriale Werking van Sancties: De ICC-casus illustreert de extraterritoriale reikwijdte van Amerikaanse sancties. Hoewel de hoofdaanklager een Britse staatsburger is en het ICC in Europa is gevestigd, werden diensten die hij in Europa gebruikte (Microsoft e-mail, Britse bankrekeningen) getroffen omdat de dienstverleners (Microsoft, internationale banken) moesten voldoen aan de Amerikaanse sanctiewetgeving. Dit toont aan hoe de VS zijn centrale positie in de wereldwijde digitale en financiële infrastructuur gebruikt om zijn beleidsdoelen af te dwingen, een fenomeen dat wel wordt omschreven als de “weaponization of interdependence”. Europese entiteiten zijn, door hun afhankelijkheid van vergelijkbare Amerikaanse providers en het Amerikaanse financiële systeem, eveneens kwetsbaar voor dergelijke “weaponization”.

• De CLOUD Act in Bredere Context: Hoewel de CLOUD Act niet expliciet als het primaire mechanisme in de directe ICC-sancties wordt genoemd in de beschikbare bronnen, is de wet wel relevant in de bredere context van Amerikaanse extraterritoriale jurisdictie over data. De CLOUD Act verduidelijkt de bevoegdheid van Amerikaanse autoriteiten om data op te vragen bij Amerikaanse providers, ongeacht de fysieke opslaglocatie van die data (7). De bereidheid van de VS om Amerikaanse bedrijven in te zetten voor het afdwingen van buitenlands beleid, zoals gedemonstreerd in de ICC-zaak via IEEPA-sancties op “technologische ondersteuning” (9), resoneert met de onderliggende principes van de CLOUD Act. Beide instrumenten reflecteren een Amerikaanse claim op jurisdictie die verder reikt dan de eigen landsgrenzen, gebaseerd op de nationaliteit van de provider.

Europese Reactie en de EU Blocking Statute

De Amerikaanse sancties tegen het ICC leidden tot veroordelingen van de meeste EU-lidstaten, die traditioneel sterke voorstanders zijn van het Hof (59). Er waren oproepen, onder andere vanuit het Europees Parlement en diverse maatschappelijke organisaties, om de EU Blocking Statute (Verordening (EG) nr. 2271/96) te activeren (59). Deze verordening is bedoeld om EU-personen en -bedrijven (“operatoren”) te beschermen tegen de extraterritoriale toepassing van bepaalde buitenlandse wetten (opgenomen in een annex bij de verordening) (59). De Blocking Statute kan de effecten van dergelijke buitenlandse wetten en daarop gebaseerde rechterlijke of administratieve beslissingen binnen de EU nietig verklaren, verbiedt EU-operatoren hieraan te voldoen (tenzij de Commissie een uitzondering verleent), en biedt hen het recht om schade te verhalen die is veroorzaakt door de toepassing van de geblokkeerde buitenlandse wetgeving.

Ondanks deze oproepen en de duidelijke impact van de Amerikaanse sancties op een in Europa gevestigde internationale instelling, werd de EU Blocking Statute in deze specifieke casus niet geactiveerd (59). De EU als geheel heeft, in tegenstelling tot haar reactie op vergelijkbare sancties in 2020, geen formele verklaring van oppositie afgelegd (59). De non-activering kan worden toegeschreven aan een combinatie van juridische en politieke hindernissen:

• Juridische Complexiteit: Om de Blocking Statute van toepassing te laten zijn op de specifieke Amerikaanse Executive Order tegen het ICC, had de annex van de verordening moeten worden gewijzigd door de Europese Commissie om deze EO expliciet op te nemen (61). Dit is een formele procedure die politieke besluitvorming vereist.

• Beperkte en Uiteenlopende Toepassing in het Verleden: De Blocking Statute kent een geschiedenis van beperkte implementatie, toepassing en interpretatie, waarbij EU-lidstaten uiteenlopende benaderingen hebben gehanteerd (61). Dit gebrek aan een geharmoniseerde en assertieve toepassing in het verleden kan de drempel voor activering in nieuwe gevallen verhogen.

• Het Dilemma voor Bedrijven: Activering van de Blocking Statute plaatst bedrijven die zowel in de EU als in de VS actief zijn (of banden hebben met het Amerikaanse systeem) voor een acuut dilemma: voldoen aan de Amerikaanse sancties leidt tot een overtreding van de Blocking Statute (met mogelijke boetes in de EU), terwijl het negeren van de Amerikaanse sancties kan leiden tot zware Amerikaanse straffen (boetes, uitsluiting van de Amerikaanse markt) (62). Hoewel bedrijven onder de Blocking Statute een machtiging kunnen vragen aan de Commissie om toch aan de buitenlandse wetgeving te voldoen indien niet-naleving hun belangen of die van de Unie ernstig zou schaden (61), blijft de situatie precair.

• Politieke Hindernissen: Wellicht de belangrijkste factor is de politieke gevoeligheid. Activering van de Blocking Statute zou een directe confrontatie met de VS betekenen. De EU kan terughoudend zijn geweest vanwege de wens om de bredere trans-Atlantische relatie niet verder te beschadigen, vooral gezien de mogelijkheid van interne verdeeldheid binnen de EU over de te volgen koers. De “uiteenlopende benaderingen van lidstaten” in het verleden wijzen op een potentieel gebrek aan politieke eenheid die nodig is voor een krachtig gezamenlijk optreden (61). Dit politieke dilemma, de wens om de rechtsstaat en internationale instellingen te verdedigen versus de angst om de relatie met de VS te schaden, reflecteert een diepere uitdaging voor de EU als geopolitieke actor, vooral wanneer interne consensus ontbreekt.

Conclusies over de Effectiviteit van “Soevereine Cloud”-Oplossingen

De ICC-casus levert een harde realiteitstoets voor de effectiviteit van de huidige generatie “soevereine cloud”-oplossingen, met name die aangeboden worden door Amerikaanse hyperscalers. Het feit dat het ICC, een internationale organisatie gevestigd in Den Haag, direct getroffen kon worden door Amerikaanse sancties die werden afgedwongen via een Amerikaanse e-mailprovider (Microsoft), ondanks dat de dataverwerking wellicht deels lokaal plaatsvond, is veelzeggend (9).

Dit suggereert sterk dat “soevereine cloud”-oplossingen van Amerikaanse hyperscalers, die primair de nadruk leggen op datalocatie binnen de EU (zoals Microsofts EU Data Boundary), fundamenteel kwetsbaar blijven voor Amerikaanse geopolitieke acties en extraterritoriale wetgeving zolang de provider zelf onder Amerikaanse jurisdictie valt (7). De “soevereiniteit” die wordt geboden, is inherent beperkt als de onderliggende infrastructuur, de kerntechnologie, en de uiteindelijke bedrijfsmatige controle in handen zijn van een entiteit die moet voldoen aan de wetten en beleidsdoelstellingen van de Amerikaanse overheid. De ICC-casus toont aan dat contractuele beloften en geografische datagrenzen ondergeschikt kunnen worden gemaakt aan dwingende Amerikaanse overheidsmaatregelen.

Hoofdstuk 4: De Kwetsbaarheid Blootgelegd: Implicaties voor Europese Organisaties

De casus van de sancties tegen het Internationaal Strafhof (ICC) dient als een duidelijke illustratie van de kwetsbaarheden die inherent zijn aan een grote afhankelijkheid van Amerikaanse cloudproviders. Dit hoofdstuk analyseert deze kwetsbaarheden en de daaruit voortvloeiende risico’s voor Europese organisaties, en benadrukt de noodzaak van een proactieve benadering van cloud exit-strategieën en bedrijfscontinuïteit.

De ICC-Casus als Spiegel voor Europese Kwetsbaarheid

Het ICC, een internationale organisatie gevestigd in Europa (Den Haag), werd direct getroffen door Amerikaanse sancties, ondanks dat het niet direct onder Amerikaanse jurisdictie valt. De impact op de operationele capaciteit, mede door de afhankelijkheid van een Amerikaanse technologieprovider voor e-maildiensten, was significant (9). Deze situatie fungeert als een spiegel voor Europese organisaties. Met 92% van de Europese data opgeslagen in de cloudinfrastructuren van Amerikaanse bedrijven (3), is de potentiële blootstelling van Europese entiteiten aan vergelijkbare scenario’s aanzienlijk. Deze afhankelijkheid wordt in toenemende mate erkend als een strategisch, veiligheids- en economisch risico (7).

De kwetsbaarheid van Europese organisaties is niet louter technisch of juridisch van aard, maar strekt zich uit tot strategische en economische dimensies. Een te grote afhankelijkheid van een beperkt aantal niet-Europese hyperscalers creëert een onevenwichtige machtsverhouding. Deze disbalans gaat verder dan enkel de toegang tot data en kan ook de innovatiecapaciteit en de concurrentiepositie van de Europese markt beïnvloeden. De dominantie van hyperscalers (7) kan leiden tot vendor lock-in (66), ongunstige prijsstellingen (53), en een technologische roadmap die primair door niet-Europese belangen wordt gestuurd. Dit kan Europese innovatie potentieel remmen of in een bepaalde richting duwen. Europese initiatieven zoals de European Chips Act en Gaia-X zijn deels bedoeld om deze bredere economische en technologische afhankelijkheid aan te pakken (6), wat de noodzaak onderstreept om de discussie over kwetsbaarheid te verbreden naar de langetermijneffecten op de Europese concurrentiekracht.

Risico’s Voortvloeiend uit Afhankelijkheid van Amerikaanse Cloudproviders

De significante afhankelijkheid van Amerikaanse cloudproviders stelt Europese organisaties bloot aan een reeks risico’s:

• Risico op Serviceonderbreking of -beperking door Unilaterale Amerikaanse Acties: De abrupte stopzetting van de e-maildienst van de ICC-aanklager door Microsoft is een direct voorbeeld van dit risico (9). Dergelijke onderbrekingen kunnen het gevolg zijn van sancties, handelsgeschillen, of andere geopolitieke spanningen waarbij de Amerikaanse overheid haar technologiebedrijven instrueert of dwingt tot medewerking (53). Dit raakt de kern van de bedrijfscontinuïteit.

• Risico op Toegang door Amerikaanse Autoriteiten tot Gevoelige Data: Amerikaanse wetgeving zoals de CLOUD Act en Sectie 702 van de Foreign Intelligence Surveillance Act (FISA) verleent Amerikaanse autoriteiten de bevoegdheid om toegang te eisen tot data die wordt beheerd door Amerikaanse providers, ongeacht de fysieke locatie van die data (7). Dit kan gebeuren zonder medeweten van de Europese klant, bijvoorbeeld door middel van “gag orders” die de provider verbieden de klant te informeren. Dit risico op heimelijke toegang creëert een fundamenteel gebrek aan transparantie en controle voor Europese organisaties, wat het vertrouwen in digitale diensten ondermijnt. Het maakt het voor Europese organisaties onmogelijk om hun wettelijke verplichtingen onder bijvoorbeeld de GDPR (zoals datalekmelding of het informeren van betrokkenen) volledig na te komen.

• Risico op Complianceproblemen en Juridische Conflicten: De extraterritoriale toepassing van Amerikaanse wetgeving kan leiden tot directe conflicten met Europese regelgeving, met name de GDPR. De GDPR verbiedt de overdracht van persoonsgegevens naar landen met een ontoereikend beschermingsniveau, tenzij passende waarborgen worden getroffen, terwijl de CLOUD Act juist de openbaarmaking van data kan afdwingen, ongeacht de locatie (49). Dit creëert een juridisch mijnenveld voor Europese organisaties, die mogelijk gedwongen worden Transfer Impact Assessments (TIA’s) uit te voeren en complexe aanvullende maatregelen te implementeren om te trachten aan beide sets van regels te voldoen (7).

• Risico op Reputatieschade en Vertrouwensverlies: Indien gevoelige data van klanten of burgers wordt gecompromitteerd door toegang van buitenlandse overheden, of als essentiële diensten worden verstoord als gevolg van afhankelijkheid van een buitenlandse provider, kan dit leiden tot aanzienlijke reputatieschade en een verlies van vertrouwen bij klanten, partners en het bredere publiek (6).

Bovendien worden “verborgen afhankelijkheden” (66) in de bredere cloud-toeleveringsketen vaak over het hoofd gezien. Organisaties focussen zich wellicht op hun primaire cloudcontracten, maar de onderliggende hardware (zoals chips en servers), softwarecomponenten, of geïntegreerde diensten van derde partijen kunnen eveneens afkomstig zijn van of beheerd worden door entiteiten die onderhevig zijn aan buitenlandse jurisdictie. De European Chips Act (6) tracht een deel van deze hardware-afhankelijkheid aan te pakken, wat de relevantie van deze diepere lagen van de toeleveringsketen erkent. Een volledige risicoanalyse dient daarom de gehele digitale toeleveringsketen te omvatten, wat de ontwikkeling van effectieve exit- en continuïteitsplannen nog complexer maakt.

De Noodzaak van een Proactieve Benadering

Gezien de geschetste risico’s is een reactieve houding ten aanzien van cloudstrategieën niet langer houdbaar. Geopolitieke instabiliteit, de reële mogelijkheid van unilaterale Amerikaanse acties zoals sancties of data-inbeslagname, en de complexiteit van het wijzigen van cloudinfrastructuren maken een proactieve benadering van cloud exit-strategieën en bedrijfscontinuïteit essentieel (53).

Het plannen en uitvoeren van een cloud exit is een complexe en tijdrovende onderneming die significante technische, organisatorische en financiële middelen vereist (67). Vroegtijdige, scenario-gebaseerde planning, waarbij potentiële geopolitieke disrupties worden meegenomen, is cruciaal om adequaat te kunnen reageren wanneer een risico zich materialiseert (66). Bovendien beginnen regelgevende kaders, zoals de EBA Guidelines on outsourcing arrangements voor de financiële sector en de Digital Operational Resilience Act (DORA), expliciete eisen te stellen aan organisaties met betrekking tot het hebben van gedegen exit-strategieën voor uitbestede kritieke en belangrijke functies, waaronder clouddiensten (49). Dit versterkt de noodzaak voor Europese organisaties om niet alleen de technische en operationele aspecten van hun cloudafhankelijkheid te evalueren, maar ook de geopolitieke en juridische dimensies proactief te adresseren.

Hoofdstuk 5: Strategische Heroverwegingen voor Europese Organisaties: Cloud Exit en Business Continuity

De blootgelegde kwetsbaarheden en de reële geopolitieke risico’s nopen Europese organisaties tot fundamentele strategische heroverwegingen met betrekking tot hun cloudgebruik. Dit hoofdstuk werkt verschillende opties voor cloud exit-strategieën uit, biedt een stappenplan voor de ontwikkeling ervan, en integreert geopolitieke risico’s in de planning voor bedrijfscontinuïteit.

Spectrum van Cloud Exit-Strategieën

Een effectieve cloud exit-strategie is niet slechts een technisch plan, maar een fundamentele strategische capaciteit die continue monitoring van geopolitieke en juridische landschappen vereist, evenals de organisatorische flexibiliteit om snel te kunnen handelen. Geopolitieke landschappen zijn dynamisch; een statisch exit-plan volstaat niet (66). De noodzaak tot “scenario-based planning” (66) impliceert een continue evaluatie- en aanpassingscyclus, wat C-level betrokkenheid en investeringen in “geopolitical intelligence” vereist.

Organisaties kunnen kiezen uit een spectrum van exit-strategieën, afhankelijk van hun risicoprofiel, de gevoeligheid van hun data en workloads, en hun beschikbare middelen:

• Volledige Exodus (Repatriëring/On-Premise): Deze strategie behelst het volledig terugtrekken van applicaties en data uit (bepaalde) public clouds naar een private cloud-omgeving of traditionele on-premise infrastructuur.

• Voordelen: Biedt potentieel de maximale controle over data en infrastructuur, en kan de hoogste mate van data-soevereiniteit opleveren, los van de directe invloed van buitenlandse jurisdicties.

• Nadelen: Gaat gepaard met hoge initiële en operationele kosten, een mogelijk verlies van de flexibiliteit en schaalbaarheid die public clouds bieden, en vereist significante interne expertise voor het opzetten en beheren van de eigen infrastructuur.

• Complexiteit: Zeer hoog (technisch, organisatorisch, financieel).

• Geschiktheid: Voornamelijk voor organisaties met extreem gevoelige data (bv. staatsgeheimen, kritieke nationale infrastructuur), zeer strikte soevereiniteitseisen, en de financiële en personele middelen om een dergelijke infrastructuur te beheren.

• Impact op Geopolitieke Risicobeperking: Potentieel hoog, mits de gehele technologie-stack (hardware, software) ook soeverein is.

• Strategische Ontvlechting (Gedeeltelijke Exit): Hierbij worden specifiek kritieke of gevoelige data en workloads selectief verplaatst naar soevereine (bij voorkeur Europese) cloudalternatieven of on-premise, terwijl minder gevoelige data en workloads bij de huidige (Amerikaanse) hyperscaler kunnen blijven.

• Voordelen: Maakt gerichte risicobeperking mogelijk voor de meest waardevolle assets, terwijl de voordelen van de public cloud (innovatie, kosten) behouden blijven voor minder kritische toepassingen.

• Nadelen: Introduceert complexiteit in het beheer van een hybride of multi-cloud omgeving, en kan leiden tot integratie-uitdagingen tussen de verschillende platformen.

• Complexiteit: Hoog (technisch, organisatorisch).

• Geschiktheid: Geschikt voor de meeste organisaties die een pragmatische balans zoeken tussen risicobeheersing, kosten en de behoefte aan innovatie.

• Impact op Geopolitieke Risicobeperking: Gemiddeld tot hoog, afhankelijk van de scope van de ontvlechting en de soevereiniteit van de gekozen alternatieven.

• Multi-Cloud Diversificatie: Deze strategie omvat het spreiden van data en workloads over meerdere cloud providers. Dit kunnen combinaties zijn van Amerikaanse hyperscalers, Europese cloudproviders, en nichespelers (71).

• Voordelen: Vermindert vendor lock-in aanzienlijk, verhoogt de veerkracht tegen uitval of problemen bij een enkele provider (inclusief geopolitiek gemotiveerde disrupties), en biedt de mogelijkheid om voor elke workload de “best-of-breed” oplossing te selecteren (71).

• Nadelen: Leidt tot een significant hogere managementcomplexiteit (meerdere platformen, API’s, contracten), potentiële interoperabiliteitsproblemen, en complexere kostenbeheersing en security governance over de gedistribueerde omgevingen heen (71).

• Complexiteit: Zeer hoog (technisch, organisatorisch, financieel).

• Geschiktheid: Vooral voor grotere, technologisch volwassen organisaties met de gespecialiseerde resources en tools om complexe multi-cloud landschappen effectief te beheren.

• Impact op Geopolitieke Risicobeperking: Gemiddeld tot hoog, door spreiding van risico’s over verschillende jurisdicties en providers.

• Cloud-Neutrale Architectuur (Portabiliteit): De focus ligt hier op het ontwerpen en bouwen van applicaties en systemen op een zodanige wijze dat ze met minimale aanpassingen en kosten verplaatsbaar zijn tussen verschillende cloud-omgevingen (public, private, on-premise). Dit wordt vaak bereikt door het gebruik van open standaarden, containerisatietechnologieën (zoals Kubernetes) en microservices-architecturen (67).

• Voordelen: Biedt maximale flexibiliteit en strategische optioneelheid, vermindert vendor lock-in drastisch, en vergemakkelijkt een snelle en kostenefficiënte exit of migratie indien de (geopolitieke) omstandigheden dit vereisen. Het maximaliseert de onderhandelingsmacht van de organisatie.

• Nadelen: Kan leiden tot suboptimale prestaties als gevolg van een generieke aanpak die niet volledig gebruikmaakt van provider-specifieke optimalisaties. Vereist geavanceerde architectuur- en DevOps-vaardigheden en een significante initiële investering in ontwerp en tooling.

• Complexiteit: Hoog (technisch, cultureel).

• Geschiktheid: Voor technologisch vooruitstrevende organisaties die strategisch investeren in toekomstbestendige en flexibele IT-architecturen.

• Impact op Geopolitieke Risicobeperking: Hoog, omdat het de afhankelijkheid van een specifieke provider en diens jurisdictie minimaliseert. Hoewel de initiële investering hoger kan zijn, kan een cloud-neutrale aanpak op termijn lagere totale risicokosten (inclusief geopolitieke risico’s) betekenen.

De keuze voor een specifieke exit-strategie, of een combinatie daarvan, hangt sterk af van de individuele context van de organisatie. De volgende tabel biedt een vergelijkend overzicht:

Tabel 5.1: Overzicht en Vergelijking van Cloud Exit Strategieën

Exit StrategieBeschrijvingVoordelenNadelenComplexiteit (Tech, Org, Fin)GeschiktheidImpact op Geopolitieke Risicobeperking****Volledige ExodusTerugtrekken naar private cloud/on-premise.Maximale controle, potentieel hoogste soevereiniteit.Hoge kosten, verlies flexibiliteit/schaalbaarheid, vereist eigen expertise.Zeer HoogOrganisaties met extreem gevoelige data, strikte soevereiniteitseisen, en middelen voor eigen beheer.Hoog (mits stack soeverein is)Strategische OntvlechtingKritieke workloads naar soevereine alternatieven, rest blijft.Gerichte risicobeperking, behoud voordelen public cloud.Complexiteit hybride beheer, integratie-uitdagingen.HoogDe meeste organisaties die balans zoeken tussen risico, kosten en innovatie.Gemiddeld tot HoogMulti-Cloud DiversificatieSpreiden workloads over meerdere providers (EU/niet-EU).Vermindert vendor lock-in, verhoogt veerkracht, “best-of-breed” selectie.Verhoogde managementcomplexiteit, interoperabiliteit, kostenbeheersing, security governance.Zeer HoogGrotere organisaties met resources voor complex multi-cloud beheer.Gemiddeld tot HoogCloud-Neutrale ArchitectuurOntwerpen voor portabiliteit met open standaarden, containers.Maximale flexibiliteit, minimale vendor lock-in, vergemakkelijkt exit.Potentieel suboptimale prestaties, vereist geavanceerde architectuurvaardigheden, hogere initiële investering.Hoog (Tech, Cultureel)Technologisch volwassen organisaties die investeren in toekomstbestendige, flexibele architecturen.Hoog

Stappenplan voor een Effectieve Cloud Exit-Strategie

Het ontwikkelen en implementeren van een cloud exit-strategie is een project dat een zorgvuldige planning en uitvoering vereist, rekening houdend met technische, organisatorische, juridische en financiële aspecten (67).

• Fase 1: Assessment en Planning

• Technische Inventarisatie: Breng alle huidige cloud-gebaseerde applicaties, data-assets, gebruikte diensten (IaaS, PaaS, SaaS), en hun onderlinge afhankelijkheden in kaart. Identificeer het gebruik van provider-specifieke tools of diensten die een migratie kunnen bemoeilijken (67).

• Organisatorische Impactanalyse: Evalueer de benodigde vaardigheden en expertise binnen de organisatie voor zowel de migratie als het beheer van de beoogde doelomgeving. Identificeer eventuele hiaten en plan voor training of externe ondersteuning (67).

• Juridische en Contractuele Analyse: Bestudeer nauwgezet de bestaande contracten met cloudproviders, met specifieke aandacht voor exit-clausules, bepalingen over dataportabiliteit en -extractie, service level agreements (SLA’s) voor data-extractie, en eventuele kosten of boetes bij contractbeëindiging (67). Verifieer compliance-eisen (bv. GDPR, DORA) met betrekking tot dataoverdracht en -beveiliging tijdens en na de exit.

• Financiële Analyse: Maak een gedetailleerde kostenraming voor de exit, inclusief kosten voor dataoverdracht (egress fees), personeelskosten, aanschaf en implementatie van nieuwe infrastructuur of diensten, en potentiële kosten als gevolg van downtime tijdens de transitie. Vergelijk de Total Cost of Ownership (TCO) van de huidige oplossing met die van de beoogde alternatieven (67).

• Risicoanalyse: Identificeer en evalueer de risico’s die de exit-strategie noodzakelijk maken, inclusief geopolitieke risico’s, vendor lock-in, compliance-risico’s, en operationele risico’s.

• Fase 2: Strategie Definitie

• Keuze van Exit-Strategie: Selecteer op basis van de assessmentfase de meest geschikte exit-strategie (of combinatie van strategieën) uit het hierboven beschreven spectrum.

• Selectie van Alternatieve Platformen/Providers: Indien van toepassing, identificeer en evalueer potentiële alternatieve cloudproviders (bij voorkeur Europese voor maximale soevereiniteit) of on-premise oplossingen.

• Definitie van Migratie Roadmap: Stel een gedetailleerde roadmap op voor de migratie, inclusief prioriteiten (welke applicaties/data eerst), tijdlijnen, en mijlpalen.

• Fase 3: Voorbereiding

• Team en Middelen: Stel een dedicated migratieteam samen met de benodigde technische, projectmanagement- en business-expertise. Zorg voor adequate training van personeel.

• Technische Voorbereiding: Pas applicaties aan of herstructureer data voor portabiliteit, indien nodig. Configureer en test het doelplatform.

• Contractuele Voorbereiding: Onderhandel contracten met nieuwe providers of leveranciers, met expliciete aandacht voor de lessen getrokken uit de analyse van eerdere contracten (zie Fase 1).

• Fase 4: Uitvoering

• Gefaseerde Migratie: Voer de migratie van data en applicaties gefaseerd uit, beginnend met minder kritische systemen om ervaring op te doen en risico’s te minimaliseren.

• Testen en Validatie: Test elke gemigreerde component grondig op functionaliteit, prestaties en beveiliging in de nieuwe omgeving.

• Downtime Management: Plan en communiceer eventuele onvermijdelijke downtime zorgvuldig om de impact op de bedrijfsvoering te minimaliseren.

• Fase 5: Afronding en Optimalisatie

• Decommissioning: Zodra de nieuwe omgeving volledig operationeel en gevalideerd is, ontmantel de oude cloudomgeving op een veilige en gecontroleerde manier, inclusief de gecertificeerde verwijdering van alle resterende data (70).

• Monitoring en Optimalisatie: Monitor de prestaties, kosten en beveiliging van de nieuwe omgeving continu en voer optimalisaties door waar nodig.

• Evaluatie: Evalueer het gehele exit-proces, documenteer lessen (“lessons learned”) en werk interne procedures bij voor toekomstige strategische IT-beslissingen.

Integratie van Geopolitieke Risico’s in Business Continuity Planning (BCP)

Traditionele BCP richt zich vaak op natuurrampen of technische storingen. In het huidige klimaat is het echter cruciaal om geopolitieke risico’s expliciet te integreren (53). Specifieke scenario’s die Europese organisaties moeten overwegen zijn:

• Geopolitiek Gedreven Serviceonderbrekingen: Sancties opgelegd aan de provider of het land van de provider die leiden tot beperking of volledige stopzetting van clouddiensten (analoog aan de ICC-casus).

• Data-Toegang door Derde Landen: Formele of informele verzoeken of bevelen van autoriteiten van het providerland (bv. onder de CLOUD Act of FISA) om toegang te krijgen tot data van Europese klanten, mogelijk met een gag order.

• Handelsconflicten en Tarieven: Plotselinge invoering van tarieven op digitale diensten of andere handelsbeperkingen die de kosten en beschikbaarheid van clouddiensten beïnvloeden.

• Gedwongen Data Lokalisatie of -Verwijdering: Wetgeving in het providerland die dataopslag binnen dat land vereist, of juist verwijdering van data van bepaalde klanten.

• Uitval door Cyberaanvallen met Statelijke Actoren: Verhoogd risico op geavanceerde cyberaanvallen gericht op cloudinfrastructuren als onderdeel van geopolitieke conflicten.

• Faillissement of Terugtrekking van Provider: Een provider die zich gedwongen ziet zich terug te trekken uit de Europese markt als gevolg van geopolitieke druk of economische sancties.

BCP-plannen moeten strategieën omvatten zoals diversificatie van cloudproviders over verschillende (bij voorkeur stabiele en juridisch betrouwbare) jurisdicties, robuuste data-encryptie met sleutelbeheer in eigen Europese handen, regelmatige back-ups en replicatie van kritieke data naar soevereine en fysiek gescheiden locaties, en gedetailleerde incident response plannen die specifiek ingaan op geopolitiek gemotiveerde incidenten.

Rol van Back-up, Replicatie, Failover en Multi-Cloud/Hybride Strategieën

Deze technische en strategische maatregelen zijn essentieel voor het verhogen van de veerkracht tegen geopolitiek gerelateerde verstoringen:

• Back-up en Replicatie: Regelmatige, geteste back-ups van alle kritieke data en systemen zijn de basis. Replicatie van data naar geografisch gescheiden locaties, idealiter in verschillende juridische domeinen (bv. een primaire Amerikaanse provider met replicatie naar een Europese provider of een on-premise datacenter in de EU), biedt een extra beschermingslaag.

• Failover-Mechanismen: Het implementeren van automatische of semi-automatische failover-procedures zorgt ervoor dat bij uitval van de primaire omgeving (bv. door een sanctie-gedreven serviceonderbreking) snel kan worden overgeschakeld naar een secundair, operationeel systeem. Multi-cloud en hybride architecturen zijn hierbij cruciaal, omdat ze failover naar een andere cloudprovider of naar een eigen on-premise omgeving mogelijk maken (71).

• Multi-Cloud en Hybride Strategieën: Door workloads en data strategisch te spreiden over meerdere cloudproviders (idealiter een mix van globale hyperscalers voor innovatie en Europese providers voor soevereiniteit) en/of eigen on-premise systemen, wordt de afhankelijkheid van één enkele entiteit en jurisdictie verminderd (71). Dit verkleint de impact van een probleem bij één provider en biedt meer flexibiliteit om te reageren op geopolitieke veranderingen. Dit maakt een strategische plaatsing van workloads mogelijk, waarbij de meest gevoelige data en processen op de meest soevereine platformen worden gehost.

Kritische Evaluatie van Cloudcontracten

Europese organisaties moeten hun contracten met cloudproviders, met name Amerikaanse hyperscalers, uiterst kritisch evalueren op de volgende punten (35):

• Jurisdictie en Toepasselijk Recht: Welk rechtssysteem is van toepassing op het contract? Waar moeten eventuele geschillen worden voorgelegd? Contracten van Amerikaanse providers verwijzen vaak naar de wetgeving van een Amerikaanse staat (bv. Washington of New York) en Amerikaanse rechtbanken, wat nadelig kan zijn voor Europese klanten.

• Datatoegang door Derden (Overheden): Hoe en wanneer informeert de provider de klant over verzoeken tot datatoegang door overheidsinstanties? Welke mogelijkheden heeft de klant om hiertegen bezwaar te maken of geïnformeerd te worden (rekening houdend met gag orders)? Zijn er contractuele toezeggingen om dergelijke verzoeken juridisch aan te vechten?

• Datalocatie en Dataoverdracht: Specificeert het contract expliciet waar data wordt opgeslagen en verwerkt? Onder welke voorwaarden mag data buiten de EU worden overgedragen? Zijn de mechanismen voor dataoverdracht (bv. SCC’s, BCR’s, DPF) robuust en juridisch houdbaar?

• Exit-Clausules en Beëindigingsassistentie: Wat zijn de voorwaarden voor contractbeëindiging (door klant of provider)? Welke kosten zijn hieraan verbonden? Is de provider verplicht medewerking te verlenen aan een soepele data-extractie en -migratie? In welk format en binnen welke termijn wordt data teruggeleverd? Wat gebeurt er met de data na beëindiging (gecertificeerde vernietiging)? (70).

• Aansprakelijkheid en Garanties: Hoe is de aansprakelijkheid van de provider geregeld bij datalekken, serviceonderbrekingen of non-compliance? Welke garanties (SLA’s) worden geboden en wat zijn de remedies bij niet-nakoming? (73).

Contractuele clausules over jurisdictie en datatoegang zijn vaak gestandaardiseerd door hyperscalers en bieden beperkte onderhandelingsruimte voor individuele klanten, zeker voor het MKB (73). Zelfs als een provider contractueel belooft data te beschermen, kan Amerikaanse wetgeving (zoals de CLOUD Act) deze beloften overrulen. Echte bescherming vereist daarom vaak een combinatie van technische maatregelen (bv. “bring/hold your own key” encryptie met sleutelbeheer in de EU), strategische keuzes (bv. multi-cloud met Europese providers voor gevoelige data) en organisatorische processen, bovenop de best mogelijke contractuele bedingen (49).

Hoofdstuk 6: De Toekomst van Europese Digitale Soevereiniteit: Uitdagingen en Kansen

De weg naar versterkte digitale soevereiniteit voor Europa is bezaaid met zowel significante uitdagingen als veelbelovende kansen. Dit hoofdstuk evalueert de voortgang van Europese initiatieven, analyseert de rol van samenwerkingen, bespreekt mogelijke regulatoire verschuivingen en formuleert aanbevelingen.

Voortgang en Uitdagingen van Europese Initiatieven

Europa heeft de afgelopen jaren een reeks ambitieuze initiatieven gelanceerd om zijn eigen, werkelijk soevereine cloudinfrastructuur en -technologieën op te bouwen. Projecten zoals Gaia-X (8), EuroStack (6), EuroHPC (29), de Sovereign European Cloud API (SECA) (31), en het “8ra” initiatief binnen het IPCEI voor Cloud Infrastructure and Services (IPCEI-CIS) (20) getuigen van deze ambitie en de bereidheid tot investeren. Er is een groeiende consensus onder beleidsmakers en industrie over de noodzaak van deze stappen (8). Sommige projecten, zoals het DARE-project onder EuroHPC dat zich richt op de ontwikkeling van RISC-V gebaseerde processoren, adresseren de fundamentele technologische soevereiniteit op hardwareniveau (29).

Desondanks blijven de uitdagingen formidabel:

• Dominantie van Amerikaanse Hyperscalers: De Europese cloudmarkt wordt overweldigend gedomineerd door een klein aantal Amerikaanse hyperscalers (Amazon Web Services, Microsoft Azure, Google Cloud), die marktaandelen van 70% tot zelfs 92% hebben (7). Dit maakt het voor nieuwe Europese spelers extreem moeilijk om te concurreren op het gebied van schaalgrootte, productaanbod en innovatiesnelheid.

• Fragmentatie en Interoperabiliteit: De Europese digitale markt is nog steeds gefragmenteerd, met een gebrek aan interoperabele cloud-, AI- en data governance-frameworks die grensoverschrijdende samenwerking en schaalvergroting belemmeren (26). Initiatieven zoals SECA trachten dit aan te pakken, maar de implementatie is complex.

• Investeringsachterstand: Ondanks recente inspanningen blijft de Europese investering in R&D en digitale infrastructuur achter bij die van de VS en China (8). Dit bemoeilijkt het dichten van de technologische kloof.

• Complexiteit en Bestuur van Initiatieven: Grootschalige projecten zoals Gaia-X hebben te kampen gehad met interne geschillen, het vertrek van belangrijke Europese spelers, en kritiek op de betrokkenheid van Amerikaanse firma’s, wat vragen oproept over de coherentie, onafhankelijkheid en de daadwerkelijke soevereiniteitsbijdrage (24). De vaagheid van concepten als “digitale soevereiniteit” kan leiden tot onduidelijke doelstellingen en gefragmenteerd beleid (24).

• Afhankelijkheid in de Toeleveringsketen: Zelfs als Europa eigen cloudsoftware en -diensten ontwikkelt, blijft er een afhankelijkheid bestaan van niet-Europese technologie in de diepere lagen van de toeleveringsketen, zoals halfgeleiders die vaak gebaseerd zijn op Amerikaanse patenten of ontwerpen, of geproduceerd worden in Azië (7).

Rol van Samenwerkingen: Joint Ventures en Lokale Partnerschappen

Een opvallende trend is de opkomst van “joint ventures” of “lokale partnerschappen” tussen Europese bedrijven en Amerikaanse hyperscalers, zoals Bleu in Frankrijk (Capgemini/Orange met Microsoft-technologie) (39) en Delos Cloud in Duitsland (Arvato Systems/SAP met Microsoft-technologie) (32). Deze constructies worden gepresenteerd als een manier om te voldoen aan strenge nationale soevereiniteits- en certificeringseisen (bv. SecNumCloud in Frankrijk) en tegelijkertijd toegang te behouden tot de geavanceerde technologie van de hyperscalers (45). Microsoft positioneert dit als onderdeel van een gediversifieerde aanpak om aan Europese soevereiniteitsbehoeften te voldoen (33). Sommige academische analyses suggereren dat dit een bewuste strategie is van Europese lidstaten: EU-brede initiatieven en certificeringseisen worden gebruikt om de eigen nationale ecosystemen te versterken door niet-Europese providers te dwingen tot dergelijke joint ventures en aanpassingen aan lokale regels (75).

De vraag blijft echter of deze partnerschappen een reële weg naar soevereiniteit bieden, of dat ze de technologische afhankelijkheid bestendigen. Critici wijzen erop dat de kerntechnologie in deze constructies afkomstig blijft van de Amerikaanse provider, die daarmee onderworpen blijft aan Amerikaanse wetgeving zoals de CLOUD Act en FISA (34-7). Dit roept fundamentele vragen op over de daadwerkelijke “immuniteit” van dergelijke diensten. De Delos Cloud, bijvoorbeeld, wordt door sommigen gezien als een consolidatie van de afhankelijkheid van Microsoft in plaats van een stap naar echte soevereiniteit (48). Hoewel operationele controle lokaal kan zijn, blijft de technologische en mogelijk juridische kwetsbaarheid via de Amerikaanse technologieleverancier bestaan.

Mogelijke Verschuivingen in Europese Cloudregulering

De toegenomen bewustwording van soevereiniteitsrisico’s, mede aangewakkerd door incidenten zoals de ICC-sancties, zal waarschijnlijk leiden tot verdere aanscherping van de Europese cloudregulering:

• Cloud en AI Development Act: De Europese Commissie werkt aan een “Cloud and AI Development Act” die tot doel heeft ervoor te zorgen dat strategische Europese use-cases kunnen vertrouwen op soevereine cloudoplossingen, waarbij de publieke sector als “anchor client” fungeert (77). Deze wetgeving zou kunnen leiden tot een verdrievoudiging van de Europese dataverwerkingscapaciteit tegen 2030 en mogelijk een voorkeursbehandeling voor Europese cloudproviders bij publieke aanbestedingen (77).

• Interoperabiliteit en Standaarden: Initiatieven zoals de Sovereign European Cloud API (SECA) winnen aan belang. SECA is een open standaard die interoperabiliteit tussen Europese cloudplatformen moet bevorderen en vendor lock-in moet verminderen (31). Interessant is dat AWS hierop heeft gereageerd met de aankondiging van een eigen “European Sovereign Cloud” (ESC), die volledig geïsoleerd en beheerd zou worden binnen de EU door EU-personeel (31).

• Strengere Certificering: Er is een duidelijke tendens naar strengere en geharmoniseerde certificeringsschema’s voor clouddiensten, zoals het EUCS (European Cybersecurity Certification Scheme for Cloud Services). Er wordt gepleit om de eisen voor het hoogste beveiligingsniveau (‘high’) van EUCS af te stemmen op de strenge Franse SecNumCloud-certificering, die expliciet immuniteit tegen extraterritoriale wetgeving en buitenlandse bedrijfscontrole vereist (77).

• Aanhoudende Druk op Extraterritoriale Wetgeving: De roep om de impact van wetten zoals de Amerikaanse CLOUD Act te neutraliseren zal aanhouden, mogelijk via diplomatieke weg, het versterken van de Blocking Statute, of het stimuleren van technologieën die data effectief afschermen (7).

• Data Classificatie: Een grotere nadruk op data classificatie, waarbij verschillende beveiligings- en soevereiniteitseisen worden gesteld afhankelijk van de gevoeligheid van de data, zal waarschijnlijk de regulering en de keuze van cloudoplossingen beïnvloeden (31).

Aanbevelingen

Om de digitale soevereiniteit van Europa te versterken en de kwetsbaarheid voor extraterritoriale wetgeving te verminderen, zijn gecoördineerde acties nodig van beleidsmakers, bedrijven en technologieproviders.

• Voor Europese Beleidsmakers:

• Strategische Investeringen en Industriepolitiek: Verhoog substantieel de publieke en private investeringen in Europese R&D op het gebied van kerntechnologieën, waaronder processoren (bv. via EuroHPC en RISC-V initiatieven), besturingssystemen, cloudsoftware-stacks, en AI-modellen (26). Creëer een European Sovereign Technology Fund om te voorkomen dat strategische Europese techbedrijven worden overgenomen door niet-Europese entiteiten (26).

• Slimme Aanbesteding en Standaardisatie: Gebruik publieke aanbestedingen als een strategisch instrument om de vraag naar en het aanbod van werkelijk soevereine Europese cloudoplossingen te stimuleren. Overweeg een “Europese preferentieclausule” voor kritieke sectoren (77). Bevorder open standaarden en interoperabiliteit (zoals SECA) om vendor lock-in te verminderen en een levendig Europees ecosysteem te creëren (31).

• Robuuste Certificering en Regulering: Implementeer een geharmoniseerd en streng EUCS-certificeringsschema dat op het hoogste niveau daadwerkelijke immuniteit tegen extraterritoriale wetgeving en buitenlandse controle waarborgt (77). Blijf kritisch ten aanzien van de effectiviteit van de EU Data Boundary en soortgelijke constructies van niet-EU providers. Overweeg een versterking en proactievere toepassing van de EU Blocking Statute waar nodig.

• Internationale Samenwerking op Basis van Waarden: Smeed strategische allianties met gelijkgestemde landen (zowel in de Global North als South) om een mondiaal digitaal bestel te bevorderen dat is gebaseerd op democratische waarden, mensenrechten en de rechtsstaat, als tegenwicht tegen autoritaire en puur marktgedreven modellen (5).

• Bevorderen van Digitale Vaardigheden en Ecosystemen: Investeer in onderwijs en training om de digitale vaardigheden binnen Europa te verhogen en een sterk ecosysteem van Europese tech-startups, MKB en grotere spelers te cultiveren.

• Voor Europese Bedrijven en Organisaties:

• Kritische Evaluatie en Risicobeheer: Voer een grondige en continue evaluatie uit van de afhankelijkheid van niet-Europese cloudproviders, inclusief de risico’s verbonden aan extraterritoriale wetgeving. Ga verder dan marketingclaims en analyseer de technische en juridische realiteit.

• Proactieve Exit- en Continuïteitsplanning: Ontwikkel en onderhoud robuuste cloud exit-strategieën en integreer geopolitieke risico’s in de bedrijfscontinuïteitsplanning, zoals uiteengezet in Hoofdstuk 5. Overweeg multi-cloud, hybride cloud en cloud-neutrale architecturen om flexibiliteit en veerkracht te vergroten (49).

• Strategische Sourcing en Contractonderhandeling: Geef waar mogelijk de voorkeur aan Europese cloudproviders voor gevoelige data en kritieke workloads, of aan “soevereine” partneroplossingen indien deze na grondige due diligence voldoende garanties bieden. Onderhandel scherp over contractvoorwaarden met betrekking tot datalocatie, -toegang, jurisdictie en exit-clausules, en maak gebruik van technische maatregelen zoals end-to-end encryptie met eigen sleutelbeheer.

• Investeren in Eigen Capaciteit: Overweeg, waar haalbaar en strategisch zinvol, te investeren in eigen private cloud-capaciteit of deel te nemen aan sectorale of nationale soevereine cloudinitiatieven.

• Voor Technologieproviders (Europees en Niet-Europees):

• Europese Providers: Focus op het ontwikkelen van werkelijk soevereine, concurrerende en innovatieve cloudoplossingen die voldoen aan de hoogste Europese standaarden voor databescherming en veiligheid. Werk samen via open standaarden (bv. SECA, Gaia-X) om een sterk Europees ecosysteem te bouwen (81).

• Niet-Europese Providers: Wees volledig transparant over de juridische en technische beperkingen van “soevereine” aanbiedingen in de EU. Werk constructief samen met Europese partners en regelgevers om oplossingen te bieden die daadwerkelijk de Europese soevereiniteitszorgen adresseren, verdergaand dan enkel datalokalisatie. Erken dat het vertrouwen van Europese klanten cruciaal is en dat dit vertrouwen alleen kan worden verdiend door aantoonbare garanties en respect voor Europese wet- en regelgeving en waarden.

Conclusie

Dit rapport heeft de geopolitieke realiteit van digitale soevereiniteit voor het Europese bedrijfsleven en overheden onderzocht, met een specifieke focus op de kwetsbaarheden die voortvloeien uit de afhankelijkheid van niet-Europese, met name Amerikaanse, cloudproviders. De sancties van de Trump-administratie tegen het Internationaal Strafhof (ICC) dienden als een cruciale casestudy, die pijnlijk blootlegde hoe unilaterale geopolitieke acties directe en ontwrichtende gevolgen kunnen hebben voor entiteiten die vertrouwen op de digitale diensten van Amerikaanse technologiegiganten, zelfs wanneer dataverwerking binnen Europa plaatsvindt.

De centrale onderzoeksvraag, in hoeverre huidige initiatieven zoals Microsofts EU Data Boundary en Cloud for Sovereignty daadwerkelijk bescherming bieden tegen de extraterritoriale toepassing van Amerikaanse wetgeving, en welke strategische heroverwegingen dit vereist, heeft geleid tot een aantal kernbevindingen. 

Ten eerste, hoewel oplossingen als de EU Data Boundary en de marketing rond “soevereine clouds” van Amerikaanse hyperscalers inspelen op de Europese vraag naar datalokalisatie en -controle, bieden zij geen fundamentele juridische immuniteit tegen Amerikaanse wetgeving zoals de CLOUD Act of FISA 702. De eigendom van de infrastructuur, de ontwikkeling van de kerntechnologie, en de uiteindelijke zeggenschap blijven berusten bij Amerikaanse moederbedrijven, die onderworpen zijn aan Amerikaanse jurisdictie. De “soevereiniteit” die wordt geboden, is derhalve vaak beperkt tot operationele aspecten en datalocatie, en kan een “illusie” van volledige controle creëren.

Ten tweede heeft de ICC-casus de mechanismen van extraterritoriale handhaving, met name via de IEEPA, en de directe impact op digitale diensten (zoals de annulering van e-mailaccounts) en financiële transacties aangetoond. De terughoudende reactie van de EU, inclusief het niet-activeren van de Blocking Statute, wijst op complexe politieke en juridische hindernissen die de Europese assertiviteit op dit vlak belemmeren. Dit onderstreept de kwetsbaarheid van Europese entiteiten die, net als het ICC, significant afhankelijk zijn van Amerikaanse technologie. De risico’s van serviceonderbreking, ongewenste datatoegang, complianceconflicten en reputatieschade zijn reëel en significant.

Ten derde is het voor Europese organisaties van vitaal belang om voorbij de marketingclaims van “soevereine clouds” van niet-Europese providers te kijken. Een proactieve benadering van cloudstrategie, inclusief de ontwikkeling van robuuste exit-strategieën en de integratie van geopolitieke risico’s in bedrijfscontinuïteitsplanning, is niet langer een optie maar een strategische noodzaak. Opties variëren van volledige exodus tot strategische ontvlechting, multi-cloud diversificatie en het nastreven van cloud-neutrale architecturen, elk met eigen voor- en nadelen. Contractuele zorgvuldigheid en technische maatregelen, zoals encryptie met eigen sleutelbeheer, zijn hierbij cruciaal.

Vooruitkijkend staat Europa voor de aanzienlijke uitdaging om daadwerkelijk technologische en operationele soevereiniteit op te bouwen. Initiatieven zoals Gaia-X, EuroHPC en de European Chips Act zijn stappen in de goede richting, maar de dominantie van gevestigde niet-Europese spelers en de complexiteit van het ontwikkelen van een concurrerend Europees ecosysteem blijven groot. Samenwerkingsverbanden met Amerikaanse hyperscalers, zoals Bleu en Delos, bieden toegang tot technologie maar bestendigen mogelijk de onderliggende afhankelijkheid. Toekomstige Europese cloudregulering zal waarschijnlijk verder aanscherpen, met een focus op strengere certificering, interoperabiliteit en het stimuleren van Europese alternatieven.

De “wake-up call” van de ICC-sancties en de bredere geopolitieke dynamiek vereisen dat Europese organisaties en beleidsmakers de “illusie” van eenvoudige soevereiniteitsoplossingen doorprikken. Echte strategische autonomie vergt niet alleen investeringen in eigen technologische capaciteit en infrastructuur, maar ook een heldere, realistische en assertieve visie op de eigen rol in het mondiale digitale landschap. Waakzaamheid, proactief risicobeheer en de politieke wil om Europese belangen en waarden te verdedigen, zullen essentieel blijven in een complex en voortdurend veranderend geopolitiek speelveld. De weg naar digitale soevereiniteit is lang en vereist een volgehouden en gecoördineerde inspanning van alle betrokken partijen.

**Bronnen **Geciteerd werk

• Understanding European Tech Sovereignty: Challenges and …, geopend op mei 18, 2025, https://www.hivenet.com/post/understanding-european-tech-sovereignty-challenges-and-opportunities

• What is digital sovereignty and how are countries approaching it? | World Economic Forum, geopend op mei 18, 2025, https://www.weforum.org/stories/2025/01/europe-digital-sovereignty/

• Digital sovereignty in Europe: navigating the challenges of the …, geopend op mei 18, 2025, https://pppescp.com/2025/02/04/digital-sovereignty-in-europe-navigating-the-challenges-of-the-digital-era/

• Microsoft expands European data centers amid US-EU trade tensions, geopend op mei 18, 2025, https://www.perplexity.ai/discover/finance/microsoft-expands-european-dat-AW6Q1m5qSZqJs8g.5THtPA

• RECLAIMING DIGITAL SOVEREIGNTY, IE, geopend op mei 18, 2025, https://static.ie.edu/CGC/CGC_ReclaimingDigitalSovereignty_PolicyPaper.pdf

• Understanding European tech sovereignty: why Europe is taking …, geopend op mei 18, 2025, https://www.hivenet.com/post/understanding-european-tech-sovereignty-why-europe-is-taking-back-control

• For digital sovereignty and EU security, the first step is to neutralise …, geopend op mei 18, 2025, https://illuminem.com/illuminemvoices/for-digital-sovereignty-and-eu-security-the-first-step-is-to-neutralise-the-us-cloud-act

• Gaia-X Strengthens European Digital Sovereignty at European Parliament Reception, geopend op mei 18, 2025, https://gaia-x.eu/gaia-x-strengthens-european-digital-sovereignty-at-european-parliament-reception/

• Trump’s sanctions on ICC prosecutor have halted tribunal’s work, AP News, geopend op mei 18, 2025, https://apnews.com/article/icc-trump-sanctions-karim-khan-court-a4b4c02751ab84c09718b1b95cbd5db3

• Executive Order 14203 “Imposing Sanctions on the International Criminal Court” and Key Takeaways | Winston & Strawn, geopend op mei 18, 2025, https://www.winston.com/en/blogs-and-podcasts/global-trade-and-foreign-policy-insights/executive-order-14203-imposing-sanctions-on-the-international-criminal-court-and-key-takeaways

• The chief prosecutor of the International Criminal Court (ICC) has lost access to his email and his bank accounts have been frozen due to US sanctions : r/IsraelPalestine, Reddit, geopend op mei 18, 2025, https://www.reddit.com/r/IsraelPalestine/comments/1kopms7/the_chief_prosecutor_of_the_international/

• Trump’s sanctions on ICC’s chief prosecutor have halted tribunal’s …, geopend op mei 18, 2025, https://www.pbs.org/newshour/world/trumps-sanctions-on-iccs-chief-prosecutor-have-halted-tribunals-work-officials-and-lawyers-say

• US sanctions disrupt International Criminal Court work on Putin case, AP, RBC-Ukraine, geopend op mei 18, 2025, https://newsukraine.rbc.ua/news/us-sanctions-disrupt-international-criminal-1747328000.html

• ICC Sanctions Highlight Risks of U.S.-Providers Cloud Services …, geopend op mei 18, 2025, https://vboxx.eu/icc-sanctions-data-sovereignty/

• The International Criminal Court and State Sovereignty: Impact of US sanctions, geopend op mei 18, 2025, https://theamikusqriae.com/the-international-criminal-court-and-state-sovereignty-impact-of-us-sanctions/

• Imposing Sanctions on the International Criminal Court, The White House, geopend op mei 18, 2025, https://www.whitehouse.gov/presidential-actions/2025/02/imposing-sanctions-on-the-international-criminal-court/

• The International Emergency Economic Powers Act: Origins, Evolution, and Use, CRS Products from the Library of Congress, geopend op mei 18, 2025, https://crsreports.congress.gov/product/pdf/r/r45618

• Legal Challenges Mount Against Renewed U.S. Sanctions on the ICC | Lawfare, geopend op mei 18, 2025, http://www.lawfareblog.com/article/legal-challenges-mount-against-renewed-u.s.-sanctions-on-the-icc

• Digital Sovereignty: Europe’s Strategy for Tech Resilience, European Business Magazine, geopend op mei 18, 2025, https://europeanbusinessmagazine.com/business/digital-sovereignty-europes-bold-response-to-tech-challenges/

• Together for a sovereign digital future in Europe, T-Systems, geopend op mei 18, 2025, https://www.t-systems.com/de/en/insights/newsroom/management-unplugged/together-for-a-sovereign-digital-future-in-europe-1040206

• EU Data Boundary, Microsoft Cloud for Sovereignty | Microsoft Learn, geopend op mei 18, 2025, https://learn.microsoft.com/en-us/industry/sovereignty/eu-data-boundary

• Microsoft completes EU Data Boundary for Microsoft Cloud, DCD, geopend op mei 18, 2025, https://www.datacenterdynamics.com/en/news/microsoft-completes-eu-data-boundary-for-microsoft-cloud/

• Reclaiming the EU’s Digital Sovereignty through Strategic Alliances, geopend op mei 18, 2025, https://www.ie.edu/cgc/news-and-events/news/reclaiming-the-eus-digital-sovereignty-through-strategic-alliances/

• GAIA-X: Europe’s values-based counter to U.S. cloud dominance …, geopend op mei 18, 2025, https://www.leidenlawblog.nl/articles/gaia-x-europes-values-based-counter-to-u-s-cloud-dominance

• European Tech Sovereignty: Why Cloud Independence Matters for …, geopend op mei 18, 2025, https://www.hivenet.com/post/why-europe-must-reclaim-its-european-tech-sovereignty-and-cloud-independence-before-its-too-late

• EuroStack: The Urgency of Europe’s Digital Independence, Global & European Dynamics -, geopend op mei 18, 2025, https://globaleurope.eu/europes-future/eurostack-the-urgency-of-europes-digital-independence/

• EuroStack, A European Alternative for Digital Sovereignty, University College London, geopend op mei 18, 2025, https://www.ucl.ac.uk/bartlett/publications/2025/feb/eurostack-european-alternative-digital-sovereignty

• www.idc.com, geopend op mei 18, 2025, https://www.idc.com//uploads/2025/03/D3_4_Digital_Sovereignty_v04_Clean_afGWcBe4lNR1dSYCS9RgVVuNB6E_95774.pdf

• Advancing European Sovereignty in HPC with RISC-V, EuroHPC JU, geopend op mei 18, 2025, https://eurohpc-ju.europa.eu/advancing-european-sovereignty-hpc-risc-v-2025-03-06_en

• EuroHPC Supports DARE Project for Sovereign HPC and AI Development, HPCwire, geopend op mei 18, 2025, https://www.hpcwire.com/off-the-wire/eurohpc-supports-dare-project-for-sovereign-hpc-and-ai-development/

• SECA: Europe’s Bold Step Toward Digital Sovereignty and What it …, geopend op mei 18, 2025, https://n2ws.com/blog/seca-digital-sovereignty

• EU Data Resiliency | Microsoft Trust Center, geopend op mei 18, 2025, https://www.microsoft.com/en-us/trust-center/compliance/europe-digital-resilience

• Microsoft’s European Digital Commitments, Arvato Systems, geopend op mei 18, 2025, https://www.arvato-systems.com/blog/microsofts-european-digital-commitments

• Microsoft unveils finalized EU Data Boundary • The Register, geopend op mei 18, 2025, https://www.theregister.com/2025/03/03/microsoft_unveils_a_finalized_eu/

• Analysis of Microsoft’s new “European digital commitments”, Cleura, geopend op mei 18, 2025, https://cleura.com/cloudguide/perspectives/analysis-of-microsofts-new-european-digital-commitments/

• Microsoft’s Multi-Billion Euro Investment to Advance Europe’s Digital Sovereignty and Innovation, The Dispatch, CDE News, geopend op mei 18, 2025, https://cde.news/microsofts-multi-billion-euro-investment-to-advance-europes-digital-sovereignty-and-innovation/

• Microsoft completes landmark EU Data Boundary, offering …, geopend op mei 18, 2025, https://blogs.microsoft.com/on-the-issues/2025/02/26/microsoft-completes-landmark-eu-data-boundary-offering-enhanced-data-residency-and-transparency/

• EU Data Resiliency | Microsoft Trust Center, geopend op mei 18, 2025, https://www.microsoft.com/en-gb/trust-center/compliance/europe-digital-resilience

• Microsoft announces new European digital commitments, Microsoft …, geopend op mei 18, 2025, https://blogs.microsoft.com/on-the-issues/2025/04/30/european-digital-commitments/

• Microsoft Boosts EU Data Centres With Cybersecurity Focus | Cyber Magazine, geopend op mei 18, 2025, https://cybermagazine.com/cyber-security/microsoft-expands-european-data-centre-footprint

• What is the EU Data Boundary?, Microsoft Privacy | Microsoft Learn, geopend op mei 18, 2025, https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn

• Microsoft’s EU data boundary project crosses the finish line | IT Pro, ITPro, geopend op mei 18, 2025, https://www.itpro.com/cloud/cloud-computing/microsoft-eu-data-boundary

• cdn-dynmedia-1.microsoft.com, geopend op mei 18, 2025, https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-product-and-services/security/pdf/empowering-europe-microsofts-eu-data-boundary-roadmap-and-compliance-milestones_20256-02-26.pdf

• Continuing data transfers that apply to all EU Data Boundary …, geopend op mei 18, 2025, https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-transfers-for-all-services

• Capgemini and Orange announce plan to create “Bleu”, a company …, geopend op mei 18, 2025, https://www.capgemini.com/news/press-releases/capgemini-and-orange-announce-plan-to-create-bleu-a-company-to-provide-a-cloud-de-confiance-in-france/

• Delos Cloud: The Available Office 365 Features at a Glance, geopend op mei 18, 2025, https://www.arvato-systems.com/blog/delos-cloud-the-available-office-365-features-at-a-glance

• Delos cloud in the public sector | Syskoplan Reply, geopend op mei 18, 2025, https://www.reply.com/syskoplan-reply/en/delos-cloud-in-public-sector

• Germany-The Multi-Cloud Strategy of the Federal Government …, geopend op mei 18, 2025, https://xpert.digital/en/multi-cloud-strategy/

• Are US Cloud Services an emerging risk for European companies …, geopend op mei 18, 2025, https://www.gislen.com/us-cloud-services-emerging-risk/

• FISA Section 702 Driving Need For Cybersecurity Sovereignty …, geopend op mei 18, 2025, https://em360tech.com/tech-articles/fisa-section-702-driving-need-for-cybersecurity-sovereignty

• The CLOUD Act and Transatlantic Trust, CSIS, geopend op mei 18, 2025, https://www.csis.org/analysis/cloud-act-and-transatlantic-trust

• Untapping the Full Potential of CLOUD Act Agreements, CSIS, geopend op mei 18, 2025, https://www.csis.org/analysis/untapping-full-potential-cloud-act-agreements

• EU Cloud Sovereignty, Emerging Geopolitical Risks, Unit8, geopend op mei 18, 2025, https://unit8.com/resources/eu-cloud-sovereignty-emerging-geopolitical-risks/

• The Purpose and Impact of the CLOUD Act, Department of Justice, geopend op mei 18, 2025, https://www.justice.gov/criminal/media/999601/dl?inline

• Digital sovereignty: Microsoft finalizes EU data border for cloud services, Reddit, geopend op mei 18, 2025, https://www.reddit.com/r/microsoft/comments/1j0umaj/digital_sovereignty_microsoft_finalizes_eu_data/

• Capgemini and Orange are pleased to announce the launch of …, geopend op mei 18, 2025, https://newsroom.orange.com/capgemini-and-orange-are-pleased-to-announce-the-launch-of-commercial-activities-of-bleu-their-future-cloud-de-confiance-platform/

• Sovereign Cloud, The path to digital independence | Arvato Systems, geopend op mei 18, 2025, https://www.arvato-systems.com/industries/public/sovereign-cloud

• CLOUD Act Resources, Criminal Division, Department of Justice, geopend op mei 18, 2025, https://www.justice.gov/criminal/cloud-act-resources

• EU Should Defend the ICC. International Criminal Court Under Attack by US, Others, geopend op mei 18, 2025, https://www.omct.org/en/resources/statements/eu-should-defend-the-icc

• Rights groups call for the European Union to protect the ICC …, geopend op mei 18, 2025, https://www.jurist.org/news/2025/04/rights-groups-call-for-the-european-union-to-protect-the-icc/

• www.alhaq.org, geopend op mei 18, 2025, https://www.alhaq.org/cached_uploads/download/2025/04/19/blocking-statute-1745084742.pdf

• Countering extraterritorial sanctions | Emerald Insight, geopend op mei 18, 2025, https://www.emerald.com/insight/content/doi/10.1108/JITLP-07-2024-0040/full/html

• Deconstructing blocking statutes: why extraterritorial legislation …, geopend op mei 18, 2025, https://www.tandfonline.com/doi/full/10.1080/17441048.2025.2479276?src=exp-la

• The Case for Digital Sovereignty in the Caribbean: A CARICOM Strategic Imperative, geopend op mei 18, 2025, https://info.cloudcarib.com/blog/the-case-for-digital-sovereignty

• EU Should Defend the ICC: International Criminal Court Under Attack by US, Others, geopend op mei 18, 2025, https://www.amnesty.eu/news/eu-should-defend-the-icc-international-criminal-court-under-attack-by-us-others/

• Geopolitical risks drive cloud strategy reassessment | SC Media, geopend op mei 18, 2025, https://www.scworld.com/brief/geopolitical-risks-drive-cloud-strategy-reassessment

• Cloud Exit Strategy: Ensure Compliance and Prevent Vendor Lock-in, Meshcloud, geopend op mei 18, 2025, https://www.meshcloud.io/en/blog/cloud-exit-strategy-ensure-compliance-and-prevent-vendor-lock-in/

• ​​Sovereign Cloud Geopolitical Risks​ | KuppingerCole, geopend op mei 18, 2025, https://www.kuppingercole.com/blog/small/sovereign-cloud-geopolitical-risks

• How IT leaders can stay ahead in a world of geopolitical uncertainty, Okoone, geopend op mei 18, 2025, https://www.okoone.com/spark/strategy-transformation/how-it-leaders-can-stay-ahead-in-a-world-of-geopolitical-uncertainty/

• Plan your cloud exit strategy | FinOps Academy, Zesty.co, geopend op mei 18, 2025, https://zesty.co/finops-academy/commitment-management/how-to-plan-your-cloud-exit-strategy/

• The Rise of Multi-Cloud Strategies: Discover the Pros and Cons for …, geopend op mei 18, 2025, https://www.growin.com/blog/multi-cloud-strategies-business-2025/

• Adopting Hybrid and Multi-Cloud Strategies for IT Resilience, Dexian, geopend op mei 18, 2025, https://dexian.com/blog/hybrid-and-multi-cloud-strategies/

• www.hunton.com, geopend op mei 18, 2025, https://www.hunton.com/media/publication/3607_Strategies_for_Evaluating_Cloud_Computing_Agreements.pdf

• Notes on the Main Issues of Cloud Computing Contracts (prepared by the secretariat of the United Nations Commission on International Trade Law, 2019), geopend op mei 18, 2025, https://uncitral.un.org/en/content/main-pre-contractual-aspects

• Full article: European cloud computing policy: failing in Europe to …, geopend op mei 18, 2025, https://www.tandfonline.com/doi/full/10.1080/01402382.2025.2491962?src=exp-la

• Full article: European cloud computing policy: failing in Europe to succeed nationally?, geopend op mei 18, 2025, https://www.tandfonline.com/doi/full/10.1080/01402382.2025.2491962?src=

• The comeback is on: how the EU plans to reclaim digital sovereignty, geopend op mei 18, 2025, https://cms-lawnow.com/en/ealerts/2025/04/the-comeback-is-on-how-the-eu-plans-to-reclaim-digital-sovereignty

• Nextcloud Summit panel discussion on tech innovation: “Europe …, geopend op mei 18, 2025, https://nextcloud.com/blog/nextcloud-summit-panel-discussion-on-tech-innovation-europe-can-do-it-strengthening-digital-sovereignty/

• Europe’s Wake-Up Call for Tech Leadership | Carnegie Endowment for International Peace, geopend op mei 18, 2025, https://carnegieendowment.org/europe/strategic-europe/2024/12/europes-wake-up-call-for-tech-leadership

• Input to own-initiative report on Europen Tech Sovereignty and …, geopend op mei 18, 2025, https://www.connecteurope.org/insights/position-papers/input-own-initiative-report-europen-tech-sovereignty-and-digital

• CISPE Digital Sovereignty Principles for Cloud Infrastructure Services, geopend op mei 18, 2025, https://cispe.cloud/cispe-digital-sovereignty-principles-for-cloud-infrastructure

• Digital sovereignty and Standardisation: Europe between innovation, security and competitiveness, CEPS, geopend op mei 18, 2025, https://www.ceps.eu/ceps-events/digital-sovereignty-and-standardisation-europe-between-innovation-security-and-competitiveness/

• The politics of digital sovereignty and the European Union’s legislation: navigating crises, geopend op mei 18, 2025, https://www.frontiersin.org/journals/political-science/articles/10.3389/fpos.2025.1548562/full

• EN EN DRAFT REPORT, European Parliament, geopend op mei 18, 2025, https://www.europarl.europa.eu/doceo/document/ITRE-PR-768180_EN.pdf

• Microsoft’s EU data boundary raises concerns over data sovereignty, Freevacy, geopend op mei 18, 2025, https://www.freevacy.com/news/the-register/microsofts-eu-data-boundary-raises-concerns-over-data-sovereignty/6167

• learn.microsoft.com, geopend op mei 18, 2025, https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn#:~:text=The%20EU%20Data%20Boundary%20is,Power%20Platform%2C%20and%20Microsoft%20365.

• Navigating Data Sovereignty: How Microsoft’s EU Compliance Battle is Reshaping Licensing and SAM, Licenseware, geopend op mei 18, 2025, https://licenseware.io/navigating-data-sovereignty-how-microsofts-eu-compliance-battle-is-reshaping-licensing-and-sam/

• DRAFT AGENDA, Tuesday, 18 March 2025 | ITRE_OJ(2025)03-18_1 | European Parliament, geopend op mei 18, 2025, https://www.europarl.europa.eu/doceo/document/ITRE-OJ-2025-03-18-1_EN.html

• A Framework for Geopolitical Risk Management High Stakes:, geopend op mei 18, 2025, https://www.hbs.edu/ris/Publication%20Files/High-Stakes-A-Framework-for-Geopolitical-Risk-Management_ff45b547-9b38-4b39-9156-d7ae9c9159de.pdf

• Boosting Efficiency and Quality in EU Public Services: The Need for a European Multi-Cloud-First Strategy |, geopend op mei 18, 2025, https://ecipe.org/publications/boosting-efficiency-and-quality-in-eu-public-services-egovernment/

• Salvaging European Technological Sovereignty in a Trump 2.0 World | TechPolicy.Press, geopend op mei 18, 2025, https://www.techpolicy.press/salvaging-european-technological-sovereignty-in-a-trump-2-world/