← Terug naar blog

Europa’s digitale soevereiniteit

AI Governance

I. Inleiding: De Europese Soevereiniteit Paradox

Europa bevindt zich in 2025 in een fundamentele paradox. Enerzijds heeft de Europese Unie zich gepositioneerd als een ’s werelds meest invloedrijke regelgevende macht, een ‘regulatory superpower’ die via wetgeving zoals de Algemene Verordening Gegevensbescherming (AVG/GDPR), de Digital Markets Act (DMA) en de AI Act 1 de mondiale norm bepaalt. Anderzijds functioneert de EU in de praktijk als een ‘digitale kolonie’, diep en structureel afhankelijk van een oligopolie van Amerikaanse techgiganten voor de meest fundamentele infrastructuur van haar economie en samenleving: cloud computing, de AI-stack en de onderliggende hardware.3

Deze afhankelijkheid is geëvolueerd van een louter economisch nadeel naar een acute strategische, geopolitieke en democratische kwetsbaarheid.6 De geopolitieke context van de periode 2025-2035, gekenmerkt door een structurele rivaliteit tussen de Verenigde Staten en China 8 en een ‘America First’-doctrine die de trans-Atlantische betrekkingen onder druk zet 10, heeft de urgentie verhoogd. ‘Strategische autonomie’, ooit gezien als een voornamelijk Franse ambitie, is verworden tot een existentiële noodzaak voor de gehele Unie.9

Europa’s digitale soevereiniteit

Dit rapport stelt dat de huidige, gefragmenteerde en marktgerichte EU-strategieën met name het GAIA-X initiatief en de politiek vastgelopen European Cybersecurity Certification Scheme for Cloud Services (EUCS) structureel hebben gefaald.12 Het bereiken van daadwerkelijke digitale soevereiniteit vereist een radicale beleidswijziging. De analyse toont aan dat een verschuiving noodzakelijk is van passieve regulering naar een actieve, gecentraliseerde en publiek-geleide industriepolitiek. Dit vereist de oprichting van een soeverein investeringsfonds en de ontwikkeling van een ‘public-led digital stack’ 14, analoog aan de strategische successen van Airbus of een ‘CERN for AI’.15

Dit rapport biedt een multidisciplinaire analyse van de huidige afhankelijkheden (juridisch, economisch, technologisch), onderzoekt de interne barrières die vooruitgang blokkeren, en presenteert een concrete, uitvoerbare roadmap voor de periode 2025-2035 om de EU naar daadwerkelijke digitale soevereiniteit te leiden. De methodologie is gebaseerd op een synthese van juridische documenten, economische rapporten, technische analyses en geopolitieke evaluaties.

II. Theoretisch Kader: De Lagen van Digitale Soevereiniteit

Om de complexiteit van de Europese afhankelijkheid te doorgronden, is een helder theoretisch kader vereist. Dit kader moet zowel de definitie van soevereiniteit als de gelaagde structuur van de digitale infrastructuur omvatten.

2.1 Definitie van Digitale Soevereiniteit

Digitale soevereiniteit wordt in dit rapport gedefinieerd als het vermogen van de Europese Unie en haar lidstaten om autonoom en effectief:

2.2 Conceptualisering: Het 7-Lagen Soevereiniteit Model (The ‘EuroStack’)

Afhankelijkheid is geen monolithisch concept. Het manifesteert zich op verschillende, onderling verbonden niveaus van de ‘digital stack’.18 Een afhankelijkheid op een fundamentele laag maakt soevereiniteit op de lagen daarboven nagenoeg onmogelijk. Dit rapport hanteert het volgende 7-lagenmodel:

2.3 De Juridische Kern: Het Onoplosbare Conflict

De Europese soevereiniteit paradox wordt verankerd door een fundamenteel en onoplosbaar juridisch conflict tussen twee rechtsstelsels: het territoriale EU-privacyrecht en het extraterritoriale Amerikaanse nationale veiligheidsrecht.24

Het Amerikaanse Extraterritoriale Arsenaal

De Amerikaanse wetgeving geeft haar inlichtingendiensten en rechtshandhavingsautoriteiten vergaande, dwingende en vaak geheime bevoegdheden om toegang te krijgen tot data die worden beheerd door ‘US persons’ (een brede definitie die elk Amerikaans bedrijf, inclusief hun dochterondernemingen wereldwijd, omvat). Dit geldt ongeacht de fysieke locatie waar de data zijn opgeslagen.7 De belangrijkste instrumenten zijn:

De Europese Juridische Realiteit (Schrems II)

Hier staat het EU-recht (met name de GDPR) lijnrecht tegenover. De jurisprudentie van het Hof van Justitie van de EU (HvJ-EU) in de ‘Schrems’-zaken heeft dit conflict blootgelegd:

De huidige opvolger, het ‘EU-US Data Privacy Framework’ (DPF) 34, wordt door velen als juridisch even wankel beschouwd, aangezien de onderliggende Amerikaanse surveillance wetten niet fundamenteel zijn gewijzigd.26 Een ‘Schrems III’-zaak die het DPF aanvecht, wordt algemeen verwacht.36

De Juridische Fictie van ‘Sovereign Enclaves’

Dit juridische conflict leidt tot een cruciale conclusie: ‘data-soevereiniteit’ op Amerikaanse infrastructuur is een juridische fictie. Oplossingen die door Amerikaanse hyperscalers worden aangeboden, zoals ‘sovereign enclaves’, ’trusted clouds’ of het simpelweg hosten van data in Europese datacenters 16, zijn technische oplossingen voor een fundamenteel juridisch probleem. Zolang de provider (de ‘US person’) zeggenschap heeft over de data, blijft het bedrijf onderworpen aan dwingende Amerikaanse bevelen onder FISA of de CLOUD Act.

Dit inzicht is essentieel om de werkelijke impact te begrijpen van de overnames van Europese soevereiniteit spelers zoals Solvinity 38 en Zivver.39 Ondanks garanties over datalocatie, brengt de verandering van eigenaarschap naar een ‘US person’ de data onmiddellijk en onherroepelijk binnen de sfeer van de Amerikaanse extraterritoriale wetgeving.

III. Analyse van Afhankelijkheden: De €264 Miljard Kostende Realiteit

De afhankelijkheid, geworteld in het zojuist beschreven juridische conflict, manifesteert zich in de reële economie met verbluffende cijfers en strategische kwetsbaarheden.

3.1 Economische Afhankelijkheid: De €264 Miljard ‘Digital Bill’

Een baanbrekende economische studie van het Franse onderzoeksbureau Asterès, uitgevoerd in opdracht van Cigref, heeft in 2025 voor het eerst de financiële omvang van de Europese afhankelijkheid gekwantificeerd.4

3.2 Marktconcentratie: De Hyperscaler Oligopolie

De economische afhankelijkheid wordt versterkt door een extreme marktconcentratie op de cruciale IaaS/PaaS-laag (Laag 4).

3.3 Strategische Afhankelijkheid: Erosie en ‘Weaponization’

De economische en juridische afhankelijkheid is geen passief risico; het is een actieve kwetsbaarheid die de nationale veiligheid en de continuïteit van vitale publieke diensten bedreigt. Recente casussen illustreren een escalatieladder van risico’s.

Casus 1: De Overname van Zivver (Passief Risico Gecreëerd)

In juni 2025 werd de Nederlandse secure-communicatiespecialist Zivver overgenomen door het Amerikaanse Kiteworks.47 Zivver is een cruciale leverancier voor de versleutelde uitwisseling van zeer gevoelige informatie, zoals patiëntgegevens voor ziekenhuizen, overheidsbesluiten en juridische communicatie.39

Casus 2: De Overname van Solvinity (Actieve Strategie Ondermijnd)

In november 2025 werd Solvinity, een prominente Nederlandse provider van secure cloud-diensten, overgenomen door het Amerikaanse IT-bedrijf Kyndryl (een voormalige IBM-dochter).38

Casus 3: De ‘Weaponization’ van Afhankelijkheid (Gekinetiseerd Risico)

De afhankelijkheid is inmiddels geëscaleerd van een potentieel risico naar een daadwerkelijk ingezet geopolitiek wapen.

Deze casussen tonen een duidelijke escalatie. De Zivver-overname creëert een latente juridische kwetsbaarheid. De Solvinity-overname ondermijnt een actieve soevereiniteit strategie. De ATB- en ICC-zaken tonen de kinetische fase: de afhankelijkheid wordt daadwerkelijk geëxploiteerd als een instrument van buitenlands beleid. In de huidige geopolitieke context 11 is dit de nieuwe norm, niet de uitzondering. De EU-markt faalt niet alleen in het creëren van alternatieven, maar ook in het behouden van de weinige soevereine assets die het heeft, wat ‘weaponization’ onvermijdelijk maakt.

3.4 Technologische Afhankelijkheid (The ‘Deep Stack’)

De afhankelijkheid gaat dieper dan alleen de applicatie- en infrastructuur lagen. Het strekt zich uit tot de fundamentele bouwstenen van de digitale wereld.

Tabel 1: Analyse van de Juridische Kwetsbaarheid (EU vs. VS)

**WetgevingRechtsgebiedMechanisme****Geheimhouding (voor data-eigenaar)Status EU-VS Data Privacy FrameworkGDPR (EU)**Territoriaal (data in/van EU)Toegang via EU-rechterlijk bevelNee, transparantie en inzage vereistN.v.t.US CLOUD ActExtraterritoriaal (op ‘US persons’)VS-rechterlijk bevel (Warrant)Kan geheimhouding opleggenN.v.t.US FISA §702Extraterritoriaal (op ‘US persons’)Bevel van Inlichtingendienst (FISC)Ja, standaard geheim (verbod op notificatie)Fundamenteel conflict (zie Schrems II)US E.O. 12333ExtraterritoriaalBevel van Uitvoerende MachtJa, standaard geheimFundamenteel conflict (zie Schrems II)

Bronnen: 24

Tabel 2: Marktconcentratie Europese Cloud (IaaS/PaaS) 2024-2025

Provider CategorieBelangrijkste BedrijvenMarktaandeel EU (ca.)****Trend Marktaandeel (2017-2024)****US HyperscalersAmazon (AWS), Microsoft (Azure), Google (GCP)70% – 75%Sterk stijgendEuropese ProvidersSAP, Deutsche Telekom, OVHcloud, IONOS~15%Halvering (van 29% in 2017)OverigKleinere VS-spelers, Aziatische spelers~10%Stabiel / Licht dalend

Bronnen: 3

IV. Governance, Normen en Standaarden: De Strijd om Controle

De analyse van de afhankelijkheden roept een cruciale vraag op: waarom faalt Europa, ondanks zijn economische kracht en regelgevende ambitie, om deze trend te keren? Dit hoofdstuk analyseert hoe de grootste barrières voor Europese soevereiniteit intern zijn: politieke fragmentatie, conceptuele mislukkingen en een gebrek aan eenduidige strategische wil.

4.1 De Mislukking van GAIA-X: Het ‘Trojaanse Paard’

GAIA-X, gelanceerd in 2019 door Duitsland en Frankrijk, was bedoeld als het vlaggenschip van de Europese digitale soevereiniteit: een decentraal, federatief data-ecosysteem gebaseerd op Europese waarden.70

4.2 De Impasse van EUCS: De Soevereiniteitsoorlog

Het conflict dat GAIA-X van binnenuit verlamde, wordt nu openlijk uitgevochten in de politieke arena rond de European Cybersecurity Certification Scheme for Cloud Services (EUCS). De EUCS was bedoeld om de gefragmenteerde nationale veiligheidsnormen te harmoniseren tot één EU-brede standaard.13

4.3 De Oplossing: Het Nederlandse ‘Non-Paper’

Een mogelijke bureaucratische uitweg uit de EUCS-impasse werd in juli 2025 aangedragen door Nederland – ironisch genoeg een van de leiders van het ‘pro-markt’-kamp.

V. Economisch en Technologisch Vermogen: De ‘Scale-Up Gap’

Naast de politieke fragmentatie, wordt Europa’s falen om een soeverein ecosysteem te bouwen gedreven door diepgewortelde economische en infrastructurele tekortkomingen.

5.1 De ‘Scale-Up Gap’: Het Gebrek aan Kapitaal

Het fundamentele economische probleem van Europa is niet een gebrek aan ideeën, maar een gebrek aan kapitaal om die ideeën op te schalen.

5.2 De ‘Missing Markets’: Het Falen van de Aanbodzijde

De ‘Scale-Up Gap’ is niet alleen een financieel probleem; het is een infrastructureel probleem.88 Zelfs met voldoende financiering, missen Europese startups de fundamentele bouwstenen om op te schalen.68 Dit zijn de ‘missing markets’:

Een Europese AI-startup zoals Mistral 67 illustreert dit perfect. Om te kunnen concurreren, heeft het twee dingen nodig: kapitaal en massale rekenkracht.68 Zowel het kapitaal 88 als de rekenkracht (de IaaS/PaaS-laag) 3 zijn overwegend in Amerikaanse handen. Dit betekent dat Mistral zijn Amerikaanse concurrenten (Microsoft, Google) moet betalen voor de cloud-infrastructuur die nodig is om tegen hen te concurreren. Het ontbreken van een Europese hyperscaler fungeert als een gigantische ‘innovatiebelasting’ en een ‘missing market’ die de ‘Scale-Up Gap’ structureel in stand houdt.

5.3 Het Potentieel van de Vraagzijde: Strategisch Aanbesteden

Terwijl de Europese aanbodzijde (supply) zwak is, is de vraagzijde (demand) – met name de geconsolideerde inkoopkracht van de publieke sector – enorm.90 Deze hefboom wordt momenteel niet strategisch ingezet.

De EU Data Act 22 is een eerste stap in het aanpakken van ‘vendor lock-in’.96 Het vergemakkelijkt ‘cloud switching’ 22 en verbiedt ‘egress fees’ (kosten voor het weghalen van data) vanaf januari 2027.97 Dit is echter, net als de DMA 2, een regelgevende oplossing die de symptomen van marktfalen bestrijdt, maar geen infrastructureel alternatief creëert.

VI. Meerlagige Oplossingen: Van Nationale Silo’s tot een ‘EuroStack’

De analyse van de barrières (politieke fragmentatie en de ‘scale-up gap’) toont aan dat de huidige oplossingen tekortschieten. Dit hoofdstuk evalueert de bestaande en voorgestelde oplossingen op drie niveaus.

6.1 Nationale Strategieën: Noodzakelijk maar Gefragmenteerd

Geconfronteerd met de falende EU-brede aanpak, hebben lidstaten hun eigen strategieën ontwikkeld.99

Conclusie: Nationale strategieën, hoewel politiek noodzakelijk, zijn te klein, te gefragmenteerd en lossen het fundamentele schaal- en kapitaal probleem niet op.99

6.2 Technologische Oplossingen: Federatie en Open Source

6.3 Cognitieve Soevereiniteit: De ‘InvestAI’-Blauwdruk

De meest veelbelovende blauwdruk voor een succesvolle Europese strategie komt uit de AI-sector (Laag 6).

Dit ‘InvestAI’-model een gecentraliseerd, publiek gefinancierd, grootschalig infrastructuurproject is de blauwdruk voor het oplossen van de gehele digitale soevereiniteit crisis. Deze aanpak moet worden uitgebreid van enkel AI (Laag 6) naar de onderliggende cloud-infrastructuur (IaaS/PaaS, Laag 4). Dit vormt de kern van het ‘EuroStack’-concept.18

6.4 Protocol-soevereiniteit: De Noodzaak van een Europese ‘Root-of-Trust’

De diepste en meest over het hoofd geziene kwetsbaarheid blijft de protocol laag (Laag 3). De 75%+ afhankelijkheid van Amerikaanse CA’s 21 is strategisch onhoudbaar.

Tabel 3: Evaluatie van Europese Soevereiniteit Initiatieven (2019-2025)

InitiatiefModelBelangrijkste Zwakte****Status (eind 2025)****GAIA-XFederatie-standaard (technisch)“Gekapt” door US hyperscalers (“Trojan horse”); te complex; geen infrastructuur 12Gefaald in oorspronkelijke opzet; verschoven naar nationale hubs 99EUCSCertificering (governance)Politiek vastgelopen op ‘soevereiniteit eisen’ 13In impasse; soevereiniteit eisen geschrapt in laatste concept 13**S3NS (Frankrijk)**Publiek-Privaat (US-tech)Geen echte soevereiniteit; onderliggende tech-stack blijft Amerikaans (Google) 79Operationeel; model van ‘soevereiniteits-enclave’**Bundescloud (Duitsland)**Nationaal (multi-cloud)Onvoldoende schaal; vereist 32 private (meest. US) providers ter aanvulling 101Operationeel, maar bewijst het falen van een puur nationale aanpak

Bronnen:

12

VII. Roadmap 2025-2035: Een Concreet Plan voor Europese Onafhankelijkheid

Gebaseerd op de voorgaande analyse presenteert dit rapport een uitvoerbare, driefasige roadmap.14 De filosofie is: harmoniseer de vraag (Fase 1), bouw het aanbod (Fase 2), en bereik strategische autonomie (Fase 3). De voortgang wordt gemonitord aan de hand van de KPI’s in Tabel 4.

Tabel 4: Roadmap 2025-2035: KPI Dashboard voor Digitale Soevereiniteit

KPI (Metric)****Baseline (2025)****Target (2027)****Target (2030)****Target (2035)% Publieke Sector Workloads op EU-gecertificeerde (Hoogste Soevereiniteitsniveau) Clouds<5%20%**50%**75%% Hardware-sourcing (servers, chips) uit EU / vertrouwde (niet-VS/China) ketens<10%15%30%40%% AI-modellen (publieke sector) EU-gehost en EU-getraind<10%30%50%70%% Reductie afhankelijkheid van niet-EU TLS ‘Roots-of-Trust’ (op basis van 21)0% (>75% afh.)5% (EuroRoot pilot)30% (EuroRoot adoptie)60%

Doelstellingen gebaseerd op Q6 van de onderzoeksvraag.

Fase 1: Harmonisatie, Bescherming & Vraagcreatie (2025-2027)

Doel: De politieke impasse doorbreken, de Europese vraag consolideren en de verdere strategische erosie stoppen.

Fase 2: Opschaling, Federatie & Bouw (2027-2030)

Doel: Het bouwen van de core ‘EuroStack’-infrastructuur 114 en het opschalen van Europese alternatieven.

Fase 3: Autonomie & Mondiaal Leiderschap (2030-2035)

Doel: Het bereiken van daadwerkelijke strategische autonomie in kritieke sectoren en het positioneren van de EU als een technologische (niet alleen regelgevende) wereldspeler.

VIII. Risico’s en Trade-offs: De Kosten van Autonomie

De voorgestelde roadmap is ambitieus en brengt aanzienlijke risico’s en kosten met zich mee. Deze moeten echter worden afgezet tegen de veel grotere risico’s van inactiviteit.

Het Risico van Inactie

Het voortzetten van de huidige koers (‘business-as-usual’) brengt de hoogste risico’s met zich mee:

De Trade-offs van de Roadmap

De voorgestelde roadmap vereist het accepteren van moeilijke trade-offs:

IX. Conclusies en Beleidsaanbevelingen

Samenvatting van de Diagnose

Europa’s digitale afhankelijkheid is geen passieve economische staat, maar een actieve, escalerende strategische kwetsbaarheid. Deze kwetsbaarheid omvat alle zeven lagen van de ‘digital stack’, van onoplosbare juridische conflicten (CLOUD Act vs. GDPR) en een verlammende economische ‘value drain’ (€264 miljard per jaar), tot een gevaarlijke controle door derden over de diepste protocollen van het internet (75%+ afhankelijkheid van Amerikaanse TLS ‘Roots-of-Trust’).

De analyse toont aan dat de grootste facilitator van deze afhankelijkheid niet de externe druk is, maar de interne politieke fragmentatie van de EU. De mislukking van GAIA-X (gekaapt door de hyperscalers) en de politieke impasse rond de EUCS (de strijd tussen pro-markt en pro-soevereiniteit) hebben een strategisch vacuüm gecreëerd dat actief wordt opgevuld door Amerikaanse bedrijven, die hiermee de Europese soevereiniteit agenda verder ondermijnen. De recente overnames van Solvinity en Zivver, en de ‘weaponization’ van clouddiensten tegen de Amsterdam Trade Bank, tonen aan dat het risico acuut en reëel is.

Samenvatting van de Prognose

Een ‘business-as-usual’ aanpak, die primair vertrouwt op marktregulering (zoals de DMA en de Data Act) en gefragmenteerde nationale projecten, zal catastrofaal falen. Deze aanpak bestrijdt de symptomen van marktmacht, maar creëert geen alternatieve infrastructuur.

De enige levensvatbare weg voorwaarts is een radicale strategische verschuiving naar een publiek-geleide, schaalgerichte industriepolitiek. De ‘InvestAI’-strategie (€200 miljard mobilisatie voor ‘AI Gigafactories’) 111 biedt de blauwdruk. Dit model moet worden gekopieerd en uitgebreid om de fundamentele IaaS/PaaS-laag (de ‘EuroStack’) 114 te bouwen. Dit vereist een geconsolideerde Europese vraag (via strategische aanbesteding) en gecentraliseerd kapitaal (via een Soevereiniteitsfonds).

Top 10 Beleidsaanbevelingen

Geciteerd werk

DjimIT Nieuwsbrief

AI updates, praktijkcases en tool reviews — tweewekelijks, direct in uw inbox.

Gerelateerde artikelen

AI Governance

Verantwoorde Artificiële Intelligentie in de Publieke Sector.

AI Governance

Digitale soevereiniteit als doctrine.

AI Governance

Implementatie en governance van cloudgebaseerde AI-systemen.