Digitale soevereiniteit als doctrine.

Published by [email protected] on

Deel I: Strategisch imperatief en samenvatting

1. Van technische keuze naar strategische doctrine

De digitale transformatie van de Nederlandse overheid bevindt zich op een strategisch keerpunt. Een convergentie van exponentiële technologische vooruitgang (met name Generatieve AI), een ongekende golf van dwingende EU-regelgeving, en een verscherpt geopolitiek klimaat dwingt tot een fundamentele herijking van de digitale grondslag van de staat. Dit rapport presenteert een beslisrijpe, diepgaande blauwdruk voor een “Sovereign-by-Design” digitale infrastructuur, specifiek ontwikkeld als een strategische doctrine voor de Nederlandse publieke sector.

Kernbevindingen: Dit onderzoek concludeert dat digitale soevereiniteit geen optionele technische configuratie is, maar een noodzakelijke voorwaarde voor het handhaven van de rechtsstaat, het waarborgen van de continuïteit van publieke diensten en het beschermen van de grondrechten van burgers. De analyse legt een significante en onhoudbare kloof bloot tussen de huidige operationele realiteit zoals vernietigend vastgesteld door de Algemene Rekenkamer in het rapport ‘Donkere wolken pakken samen’, waaruit blijkt dat voor 67% van de cruciale clouddiensten geen formele risicoafweging is gemaakt 1 en de strategische beleidsdoelstellingen van de overheid, zoals verwoord in de Nederlandse Digitaliseringsstrategie en diverse Kamerbrieven.6 De “ondoordachte” adoptie van cloudtechnologie vormt een onaanvaardbaar strategisch risico.1

Vereiste beslissingen: Dit rapport legt concrete, strategische besluiten voor aan het bestuur. De kernaanbeveling is de formele adoptie van de hierin gedetailleerde ‘Sovereignty Placement Policy’ als een bindende doctrine voor databeheer. Daarnaast wordt het bestuur verzocht de ‘Sovereign Hybrid’ referentiearchitectuur aan te wijzen als de verplichte, geauditeerde standaard voor alle data en workloads geclassificeerd als Gevoelig (S-2) en Staatskritisch (S-3). Tot slot wordt een mandaat gevraagd voor de verplichte toepassing van de in dit rapport opgenomen bibliotheek van contractuele waarborgen in alle toekomstige ICT-inkoopprocessen, om juridische afdwingbaarheid te maximaliseren.

2. De soevereine doctrine, het oplossen van het digitale trilemma

De Nederlandse overheid staat voor een strategisch trilemma: zij moet tegelijkertijd (1) de innovatiekracht van de wereldwijde technologiemarkt benutten, (2) absolute en aantoonbare compliance garanderen met een complex en groeiend web van EU- en NL-wetgeving, en (3) zich verdedigen tegen geopolitieke risico’s, waaronder extraterritoriale wetgeving (zoals de Amerikaanse CLOUD Act en FISA 702 ), buitenlandse surveillance en strategische afhankelijkheden.

Een “Sovereign-by-Design” aanpak, verheven tot een doctrine, is de enige levensvatbare strategie om dit trilemma op te lossen. Dit vereist een paradigmaverschuiving: van een reactieve, op compliance gerichte houding naar een proactieve, architecturale benadering waarbij soevereiniteit het fundamentele ontwerpprincipe is. Dit markeert het definitieve einde van het “Cloud First”-beleid en de opkomst van “Sovereignty First”. Het Rijksbrede Cloudbeleid uit 2022 was een eerste stap 8, maar de kritiek van de Rekenkamer 1 en de geopolitieke realiteit 6 dwingen tot een radicalere koers. De beleidslijn kan niet langer technologie-gedreven zijn (“we gaan naar de cloud, tenzij…”). Deze moet waarde-gedreven zijn (“we beschermen publieke waarden, en kiezen de technologie die dit garandeert”). De classificatie van data dicteert het hostingmodel, niet andersom.

3. De economische rationale, meer dan risicobeperking

Het omarmen van een soevereine doctrine is niet alleen een defensieve maatregel; het is een strategische investering in de Nederlandse en Europese economie. De huidige dominantie van een klein aantal niet-Europese hyperscalers (die 70-80% van de Europese markt in handen hebben) creëert een strategische afhankelijkheid en zorgt voor een aanzienlijke uitstroom van kapitaal.22 Door bewust te kiezen voor soevereine oplossingen, gehost in overheidsdatacenters of bij gekwalificeerde Nederlandse/Europese aanbieders, wordt een vliegwiel in gang gezet:

  • Stimulering van het lokale ecosysteem: Overheidsopdrachten fungeren als een katalysator voor de Nederlandse cloud- en datacentersector, wat leidt tot economische groei, innovatie en werkgelegenheid.24
  • Opbouw van strategische kennis: Het beheren van een eigen soevereine infrastructuur dwingt tot de opbouw van hoogwaardige technische kennis binnen de overheid en bij lokale partners, wat het “digitaal vakmanschap” versterkt.20
  • Versterking van de Europese digitale markt: Door als overheid de vraag naar soevereine diensten te creëren, wordt de ontwikkeling van een concurrerend Europees alternatief, zoals beoogd door initiatieven als GAIA-X, gestimuleerd.

Deze aanpak transformeert een compliance-verplichting in een economische kans, in lijn met de ambitie van de Nederlandse Digitaliseringsstrategie om de digitale onafhankelijkheid te vergroten.7

Deel II: Het regelgevend en beleidsmatig landschap

4. De convergentie van verplichtingen, een geïntegreerde analyse

De komende 36 maanden wordt de digitale omgeving van de overheid geconfronteerd met een ongekende convergentie van nieuwe, verstrekkende Europese regelgeving. Deze wetten vormen geen losstaande eilanden, maar een onderling verbonden ecosysteem dat gezamenlijk de spelregels voor de digitale economie en overheid in de EU herschrijft.

De AI Act, GDPR en Data Act

De kern van de nieuwe uitdaging ligt in de complexe wisselwerking tussen de AI Act, de GDPR en de Data Act. Waar de GDPR de persoonsgegevens beschermt , richt de AI Act zich op de risico’s van het AI-systeem zelf 36, en de Data Act op de toegang tot en het gebruik van de gegenereerde data.42 Voor de publieke sector, die vaak met allen te maken heeft, ontstaan hier synergieën en fricties:

  • Bias mitigatie vs. Speciale categorieën data: De AI Act (Art. 10(5)) staat expliciet de verwerking van speciale categorieën persoonsgegevens toe, mits dit “strikt noodzakelijk” is voor het monitoren en corrigeren van bias in hoog-risico AI-systemen. Dit staat op gespannen voet met het principiële verbod op de verwerking van dergelijke data in Artikel 9 van de GDPR. Een publieke organisatie moet dus een zeer zorgvuldige, gedocumenteerde afweging maken en aantonen dat er geen minder ingrijpende alternatieven zijn om bias te bestrijden.
  • DPIA vs. FRIA: De GDPR (Art. 35) vereist een Data Protection Impact Assessment (DPIA) voor verwerkingen met een hoog risico. De AI Act (Art. 27) introduceert voor deployers van hoog-risico systemen een vergelijkbare verplichting: de Fundamental Rights Impact Assessment (FRIA).46 De AI Act stelt dat als een DPIA al is uitgevoerd, de FRIA deze kan aanvullen.46 In de praktijk betekent dit dat publieke organisaties een geïntegreerd assessment proces moeten ontwikkelen dat beide dekt.
  • Transparantie: Zowel de GDPR (Art. 13-15) als de AI Act (Art. 50) stellen strenge transparantie-eisen.46 Dit vereist een gelaagde communicatiestrategie die zowel juridisch volledig als voor de burger begrijpelijk is.

Kernwetgeving

  • EU AI Act (Regulation (EU) 2024/1689): In werking getreden op 1 augustus 2024.36 De gefaseerde implementatie 37 vereist onmiddellijke aandacht:
  • Vanaf 2 februari 2025: Verbod op onaanvaardbare AI.
  • Vanaf 2 augustus 2025: Regels voor General-Purpose AI (GPAI) modellen.
  • Vanaf 2 augustus 2027: Volledige verplichtingen voor hoog-risico systemen. Publieke autoriteiten hebben tot 2 augustus 2030 om compliant te zijn.37

    De kernvereiste is een continu, iteratief risicomanagementsysteem (Art. 9).38
  • GDPR / UAVG & Internationale Transfers: De AVG blijft de hoeksteen. De kernuitdaging is de doorgifte van data naar de VS. Het EU-US Data Privacy Framework biedt onvoldoende bescherming tegen FISA 702, recentelijk ongewijzigd verlengd in april 2024. Dit betekent dat voor elke doorgifte robuuste technische ‘supplementary measures’ (aanbevolen door de EDPB) vereist zijn, zoals end-to-end encryptie met sleutels die buiten de controle van de Amerikaanse provider worden gehouden (HYOK).48
  • NIS2 Directive & BIO: De Nederlandse implementatie (Cyberbeveiligingswet) is vertraagd tot Q2 2026.28 De huidige Baseline Informatiebeveiliging Overheid (BIO) 55, gebaseerd op de verplichte ISO 27001/27002 standaarden 55, moet worden geïmplementeerd met het oog op de strengere eisen van NIS2. De BIO 2.0 zal aansluiten bij de nieuwe ISO/IEC 27002:2022 norm.60

DORA, CRA, Data Act, DGA:

  • DORA: Van toepassing vanaf 17 januari 2025 , zet de standaard voor digitale weerbaarheid.
  • Cyber Resilience Act (CRA): Volledig van toepassing op 11 december 2027 62, versterkt de veiligheid van de toeleveringsketen.
  • Data Act: Grotendeels van toepassing vanaf 12 september 2025 , is een cruciaal instrument tegen vendor lock-in. Hoofdstuk VII biedt een directe juridische basis om waarborgen tegen onrechtmatige toegang door overheden van derde landen te eisen.43
  • Data Governance Act (DGA): Van toepassing sinds september 2023 66, legt de basis voor betrouwbare data-ecosystemen.
  • eIDAS 2.0 & Wdo: De herziene eIDAS-verordening introduceert de European Digital Identity (EUDI) Wallet, die lidstaten uiterlijk in 2026 moeten aanbieden. De Wet digitale overheid (Wdo), van kracht sinds 1 juli 2023 70, sluit hierop aan.

Tabel: Gedetailleerde Tijdlijn van Regelgevende Verplichtingen (2024-2030)

Jaar/KwartaalEU AI Act (Reg. 2024/1689)NIS2 (NL Implementatie)DORA (Reg. 2022/2554)CRA (Reg. 2024/2847)Data Act (Reg. 2023/2854)eIDAS 2.0 (Reg. 2024/1183)Nieuwe Archiefwet (NL)
2025 Q1Verbod onaanvaardbare praktijken (2 feb) 37Toepassing start (17 jan)
2025 Q3GPAI-regels van toepassing (2 aug) 37Toepassing start (12 sep)
2026 Q2Verwachte inwerkingtreding Cbw 28Verwachte inwerkingtreding 1
2026 Q4Rapportageplicht vulnerabilities (11 sep) 62Deadline aanbieden EUDI Wallet
2027 Q3Hoog-risico regels van toepassing (2 aug) 37
2027 Q4Volledige toepassing (11 dec) 62
2030 Q3Deadline compliance publieke sector hoog-risico (2 aug) 37

5. De Nederlandse context van beleid naar implementatie

  • Nederlandse Digitalisering Strategie (NDS): De NDS vormt de overkoepelende visie.7 Deze blauwdruk geeft een directe, technische en juridische invulling aan de kernprioriteiten van de NDS: digitale weerbaarheid, AI-kansen benutten en digitale soevereiniteit.7
  • Woo & archiefwet: De Wet open overheid (Woo) en de nieuwe Archiefwet 1 dwingen tot “Archiving-by-Design”. De verkorting van de overbreng termijn naar 10 jaar is een radicale verandering die proactief informatiebeheer vanaf de creatie vereist.1
  • NORA & Forum standaardisatie: De Nederlandse Overheid Referentie Architectuur (NORA) 55 biedt de conceptuele kaders. Het ‘Pas toe of leg uit’-principe van het Forum Standaardisatie 6 is het belangrijkste instrument om vendor lock-in te bestrijden.

Deel III: Tactische governance en operationele processen

6. De sovereignty placement policy, een aangescherpte classificatie

Om de doctrine van “Sovereignty-by-Design” operationeel te maken, wordt de keuze voor een on-premise, door de overheid beheerde omgeving de standaard voor alle data behalve openbare data.

  • Tier S-0 (Publiek/Open): Data bedoeld voor onbeperkte publieke toegang.
  • Hostingmodel: Geen restricties. Kan gehost worden op wereldwijde public clouds.
  • Tier S-1 (Standaard/Intern): Standaard overheidsdata, inclusief reguliere persoonsgegevens.
  • Hostingmodel: Verplicht in een Overheidsdatacenter (ODC) 60 of een door de Rijksoverheid aangewezen, volledig soevereine private cloud-omgeving.
  • Vereiste Controles: Robuuste logische scheiding, standaard encryptie.
  • Tier S-2 (Gevoelig/Gevoelig): Data met hoge gevoeligheid (bijzondere persoonsgegevens, BBN-2).
  • Hostingmodel: Verplicht in een ODC of soevereine private cloud.
  • Vereiste Controles: Alle controles van S-1, plus Hold-Your-Own-Key (HYOK), Confidential Computing, en een strikte EU/NL-support boundary.
  • Tier S-3 (Staatskritisch/Staatsgeheim): Data van de hoogste kritikaliteit (nationale veiligheid, BBN-3).
  • Hostingmodel: Uitsluitend in een fysiek en logisch gescheiden (‘air-gapped’ of ‘enclave’) omgeving binnen een ODC.
  • Vereiste Controles: Alle controles van S-2, plus fysieke toegangsrestricties en netwerkisolatie.

7. Operationele governance, de Sovereignty Governance Board (SGB)

De implementatie wordt aangestuurd door een centrale Sovereignty Governance Board (SGB).

  • Mandaat: De SGB is verantwoordelijk voor het vaststellen en handhaven van de Sovereignty Placement Policy, het goedkeuren van architectuur patronen, en het auditen van de implementatie.
  • Samenstelling: Vertegenwoordigers van CIO Rijk, CISO Rijk, CDO Rijk, Juridische Zaken, Nationaal Archief, en de AIVD/MIVD.
  • Proces: Elk nieuw project of systeem moet een ‘Sovereignty & Compliance Assessment’ doorlopen en voorleggen aan de SGB. De SGB classificeert de data en wijst het verplichte hostingmodel en de control set toe.88

8. Het data classificatie playbook, van theorie naar praktijk

De classificatie van data is een continu proces, geen eenmalige actie.

Rollen en Verantwoordelijkheden:

  • Data Eigenaar (Bestuurlijk): Een directeur of manager die eindverantwoordelijk is voor een dataset. Keurt de formele classificatie goed.
  • Data Steward (Operationeel): Een materiedeskundige die de data inhoudelijk kent. Voert de initiële classificatie uit en beheert de metadata.
  • CISO & Juridische Zaken: Adviseren de Data Eigenaar en Steward over risico’s en juridische implicaties.88

Het Classificatieproces (Stappenplan):

  1. Inventarisatie: Identificeer alle datastores en applicaties.
  2. Initiële Classificatie: De Data Steward vult per dataset een standaard vragenlijst in.37
  3. Risicoanalyse: De CISO en JZ analyseren de antwoorden en adviseren over het benodigde beschermingsniveau.
  4. Formele Vaststelling: De Data Eigenaar stelt de classificatie (S-0 t/m S-3) formeel vast.
  5. Registratie: De classificatie wordt vastgelegd in een centraal Data Asset Register.
  6. Periodieke Herziening: De classificatie wordt minimaal jaarlijks herzien.

Deel IV: Referentiearchitecturen en operationele implementatie

9. Architectuur 1: Het soevereine hybride model

Dit is de verplichte architectuur voor alle workloads die data van Tier S-1, S-2 en S-3 verwerken.

  • On-Premise Overheidsdatacenters (ODC’s): De basis wordt gevormd door de bestaande ODC’s, zoals ODC-Noord en SSC-ICT.60 Deze bieden al IaaS (op OpenStack) en PaaS (op OpenShift) diensten die als fundament kunnen dienen.108
  • Operationele Handleiding: Hold-Your-Own-Key (HYOK) Implementatie (Tier S-2/S-3):
  1. Hardware Aanschaf & Plaatsing: Schaf FIPS 140-2 Level 3 gecertificeerde Hardware Security Modules (HSM’s) aan (bv. Thales, Entrust ) en plaats deze in een fysiek beveiligde ruimte binnen een ODC.
  2. Configuratie: Configureer de HSM’s in een high-availability cluster.
  3. Integratie met Cloud Service: Koppel de on-premise HSM’s met de te gebruiken (private) cloud service via een beveiligde API-verbinding.
  4. Sleutelgeneratie: Genereer de Master Key (MK) binnen de HSM. Deze sleutel verlaat de HSM nooit.
  5. Applicatie-integratie (Envelope Encryption): De applicatie roept de cloud-API aan om data te versleutelen. De cloud service genereert een Data Encryption Key (DEK), versleutelt de data, en stuurt vervolgens een verzoek naar de on-premise HSM om de DEK te versleutelen met de MK. De versleutelde DEK (EDEK) wordt samen met de versleutelde data opgeslagen.55

Operationele Risico’s: Confidential Computing (Tier S-2/S-3):

  • Attestatie is Cruciaal: Voordat een workload in een Trusted Execution Environment (TEE) wordt gestart, moet een remote attestation proces worden uitgevoerd om cryptografisch te verifiëren dat de TEE authentiek is en de juiste code draait.124
  • Side-Channel Risico’s: TEE’s zijn niet immuun voor geavanceerde side-channel aanvallen (zoals Spectre, Meltdown, LVI, CIPHERLEAKS). Dit is een restrisico dat gemitigeerd moet worden door het gebruik van de nieuwste generatie hardware en het toepassen van ‘constant-time’ programmeertechnieken.

10. Het SaaS conundrum, een risicogebaseerde uitzonderingsprocedure

Het gebruik van niet-soevereine SaaS-diensten (bv. Microsoft 365) is een realiteit, maar vormt een direct conflict met de soevereine doctrine. Dit vereist een strikt, formeel uitzonderings- en risico acceptatie proces, beheerd door de SGB.1

  1. Soeverein alternatief toets: Is er een functioneel equivalent soeverein alternatief beschikbaar? Zo ja, dan is het gebruik daarvan verplicht.
  2. Data classificatie: Verwerking van S-2 en S-3 data in een niet-soevereine SaaS is principieel verboden.
  3. Maximale mitigatie (voor S-1): Indien geen alternatief bestaat voor een S-1 workload, zijn de volgende maatregelen verplicht:
  • Implementatie van HYOK/Double Key Encryption waar technisch mogelijk.
  • Toepassing van de volledige set soevereine inkoopclausules.
  • Een geteste en goedgekeurde exit-strategie, inclusief een SaaS Escrow overeenkomst die niet alleen de broncode, maar ook de live-data en configuratie omvat.70
  1. Formele risicoacceptatie: Het resterende juridische risico moet expliciet worden gedocumenteerd en formeel worden geaccepteerd door de SGB en de bestuurlijke top.

11. Architectuur 3: Veilige landingszones voor artificiële intelligentie

Dit is een verplichte governance- en technische laag boven op Architectuur 1 voor alle AI-workloads.

Tactisch Niveau: AI Governance Framework (conform AI Act):

  1. Model Inventarisatie: Alle gebruikte AI-modellen worden geregistreerd in een centraal register.
  2. Risicoclassificatie: Elk model wordt geclassificeerd volgens de risico-categorieën van de AI Act.
  3. Impact Assessment: Voor hoog-risico systemen wordt een gecombineerde DPIA/FRIA uitgevoerd.

Operationeel Niveau: Technische Control Set:

  • Data Governance (AI Act Art. 10): Implementeer tools voor data lineage.
  • Immutable Logging (AI Act Art. 12): Configureer onveranderbare logging van alle prompts, outputs en beslissingen.
  • Secure Orchestration: AI-agenten interacteren met andere systemen via een beveiligde API-gateway gebaseerd op Zero Trust-principes.

Deel V: Menselijk kapitaal en economische analyse

12. De human capital doctrine, bouwen aan digitaal vakmanschap

Technologie en beleid zijn nutteloos zonder de mensen die het moeten uitvoeren. Een soevereine strategie vereist een parallelle strategie voor menselijk kapitaal.20

  • Strategische Personeelsplanning (SPP): De Rijksoverheid moet een meerjarige, rijksbrede SPP voor digitalisering en soevereiniteit opstellen.20
  • Opleidingsplan op Maat: De RijksAcademie voor Digitalisering en Informatisering Overheid (RADIO) moet specifieke leertrajecten ontwikkelen voor cruciale rollen zoals Sovereign Cloud Engineer (OpenStack, OpenShift, Kubernetes).28
  • Werving en Behoud: Er moet een actieve strategie komen om talent aan te trekken en te behouden.

13. TCO en VOI Analyse: De Kosten en Baten van Soevereiniteit

Een eenzijdige focus op Total Cost of Ownership (TCO) is misleidend. De discussie moet verschuiven naar Value on Investment (VOI).

Kosten (TCO):

  • Private/Sovereign Cloud: Hogere initiële kapitaaluitgaven (CapEx) voor hardware en software. Hogere operationele kosten (OpEx) voor personeel, onderhoud en energie.
  • Public Cloud: Lagere initiële CapEx. Potentieel onvoorspelbare OpEx door variabele kosten, met name hoge ‘egress costs’.

Baten (VOI)

  • Risicoreductie: De kosten van een datalek of het niet kunnen leveren van een vitale dienst zijn potentieel catastrofaal.
  • Compliance Zekerheid: Aantoonbare controle vermindert het risico op hoge boetes.
  • Voorspelbaarheid: Lange-termijn kosten zijn beter voorspelbaar.
  • Economische Stimulans: Investeringen vloeien terug in de Nederlandse/Europese economie.22

Deel VI: Risico en besluitvorming

14. Het restrisico memorandum

  • “HYOK is geen absolute immuniteit”: Een zeer geavanceerde statelijke actor zou de provider kunnen dwingen versleutelde datablokken uit te leveren en vervolgens proberen de encryptie te breken.
  • De Archiveringsuitdaging bij SaaS: Zonder robuuste escrow-clausules bestaat het risico op dataverlies bij faillissement van een SaaS-leverancier.
  • Kwetsbaarheden in Confidential Computing: Hardware-gebaseerde ‘side-channel’ aanvallen zijn een theoretisch risico voor TEEs.
  • Innovatie-achterstand: Een strikte “on-prem first” doctrine kan de toegang tot de nieuwste (AI-)technologieën vertragen.
  • Onvoldoende Intern Vakmanschap: Het succes van de doctrine is volledig afhankelijk van de beschikbaarheid van voldoende gekwalificeerd personeel.

15. Besluiten voor het bestuur

  1. Goedkeuring Beleidskader: Keur de aangescherpte Sovereignty Placement Policy formeel goed als bindende doctrine.
  2. Mandatering Soevereine Architectuur: Mandateer de Sovereign Hybrid Model (Architectuur 1) voor alle S-1, S-2 en S-3 workloads.
  3. Acceptatie Restrisico: Accepteer formeel het jurisdictionele restrisico voor de beperkte, goedgekeurde uitzonderingen.
  4. Mandatering Contractuele Waarborgen: Mandateer de Sovereign Procurement Library clausules voor alle ICT-contracten.
  5. Toewijzing Middelen: Wijs de benodigde middelen toe voor de uitvoering van het actieplan.

Geciteerd werk

  1. Rijk ging zonder afwegingen de cloud in | Nieuwsbericht – Algemene Rekenkamer, geopend op september 4, 2025, https://www.rekenkamer.nl/actueel/nieuws/2025/01/15/rijk-ging-zonder-afwegingen-de-cloud-in
  2. Het Rijk in de cloud | Rapport | Algemene Rekenkamer, geopend op september 4, 2025, https://www.rekenkamer.nl/publicaties/rapporten/2025/01/15/het-rijk-in-de-cloud
  3. Secret Law Is Not the Solution to an Overbroad Surveillance Authority, geopend op september 4, 2025, https://www.brennancenter.org/our-work/analysis-opinion/secret-law-not-solution-overbroad-surveillance-authority
  4. Dutch central government in the cloud | Report – Netherlands Court of Audit, geopend op september 4, 2025, https://english.rekenkamer.nl/publications/reports/2025/01/15/dutch-central-government-in-the-cloud
  5. Rijksoverheid onderzoek cloud beleid belicht SaaS en Microsoft toepassingen, geopend op september 4, 2025, https://www.dutchitchannel.nl/news/511157/rijksoverheid-onderzoek-cloud-beleid-belicht-saas-en-microsoft-toepassingen
  6. Kamerbrief Clingendael rapport over Cloud | Kamerstuk | Rijksoverheid.nl, geopend op september 4, 2025, https://www.rijksoverheid.nl/documenten/kamerstukken/2024/04/23/kamerbrief-inzake-clingendael-rapport-over-cloud
  7. De Nederlandse Digitaliseringsstrategie (NDS) – Digitale Overheid, geopend op september 4, 2025, https://www.digitaleoverheid.nl/document/de-nederlandse-digitaliseringsstrategie-nds/
  8. Staatssecretaris Van Huffelen stuurt Kamerbrief Rijksbreed Cloudbeleid – Centre of Excellence for Data Sharing & Cloud – CoE DSC, geopend op september 4, 2025, https://coe-dsc.nl/staatssecretaris-van-huffelen-stuurt-kamerbrief-rijksbreed-cloudbeleid/
  9. The Dutch Digitalisation Strategy 2021 (ENG) – Nederland Digitaal, geopend op september 4, 2025, https://www.nederlanddigitaal.nl/documenten/2021/06/22/the-dutch-digitalisation-strategy-2021-eng
  10. Recommended cyber security contract clauses for cloud services (ITSM.50.104), geopend op september 4, 2025, https://www.cyber.gc.ca/en/guidance/recommended-cyber-security-contract-clauses-cloud-services-itsm50104
  11. Herindeling Deel 2 Kader BIO, geopend op september 4, 2025, https://bio-overheid.nl/media/uxqpr3mw/20221215-handreiking-indeling-bio-v104zv-aan-iso-iec-27002-2022-v11-def.xlsx
  12. EU must help governments to break with US cloud providers, says Netherlands – POLITICO Pro, geopend op september 4, 2025, https://subscriber.politicopro.com/article/2025/07/eu-must-help-governments-to-break-with-us-cloud-providers-says-netherlands-00448545
  13. The Netherlands accelerates with renewed Digitalization Strategy – Holland High Tech, geopend op september 4, 2025, https://hollandhightech.nl/en/news-calendar/news/the-netherlands-accelerates-with-renewed-digitalization-strategy
  14. Netherlands – Digital Economy – International Trade Administration, geopend op september 4, 2025, https://www.trade.gov/country-commercial-guides/netherlands-digital-economy
  15. On the Sovereignty of Dutch Government Data, geopend op september 4, 2025, https://privacy-web.nl/wp-content/uploads/po_assets/1017643.pdf
  16. Too late to act? Europe’s quest for cloud sovereignty – Clingendael Institute, geopend op september 4, 2025, https://www.clingendael.org/sites/default/files/2024-02/Policy_brief_Cloud_sovereignty.pdf
  17. Rijksbrede cloudbeleid 2022 – Tweede Kamer, geopend op september 4, 2025, https://www.tweedekamer.nl/downloads/document?id=2022D33299
  18. Nederlandse inbreng EU-cloudbeleid: ‘Definieer soevereine cloud’ – iBestuur, geopend op september 4, 2025, https://ibestuur.nl/artikel/nederlandse-inbreng-eu-cloudbeleid-definieer-soevereine-cloud/
  19. Hoofdlijnen Wet open overheid – Rijksoverheid, geopend op september 4, 2025, https://www.rijksoverheid.nl/onderwerpen/wet-open-overheid-woo/hoofdlijnen-woo
  20. Strategic Brief no.70 – 2024 – Extension of the FISA Law European …, geopend op september 4, 2025, https://www.irsem.fr/en/strategic-brief-no-70-2024.html
  21. Clingendael Policy Brief – Tweede Kamer, geopend op september 4, 2025, https://www.tweedekamer.nl/downloads/document?id=2024D16630
  22. Baseline Azure AI Foundry Chat Reference Architecture in an Azure Landing Zone – Microsoft Learn, geopend op september 4, 2025, https://learn.microsoft.com/en-us/azure/architecture/ai-ml/architecture/baseline-azure-ai-foundry-landing-zone
  23. Nederland en de EU: Zet in op cloudsoevereiniteit – Clingendael Institute, geopend op september 4, 2025, https://www.clingendael.org/publication/nederland-en-de-eu-zet-op-cloudsoevereiniteit
  24. Secure AI Infrastructure Compliant with the AI Act | Cloud for AI – OChK, geopend op september 4, 2025, https://ochk.cloud/blog/secure-ai-infrastructure-compliant-with-ai-act-part2
  25. Nieuwe archiefwet aangenomen door Tweede Kamer | Nieuwsbericht – Open Overheid, geopend op september 4, 2025, https://www.open-overheid.nl/actueel/nieuws/2025/02/20/nieuwe-archiefwet-aangenomen-door-tweede-kamer
  26. Waarom moet Nederland haar eigen industrie meer inschakelen voor clouddiensten?, geopend op september 4, 2025, https://dutchcloudcommunity.nl/nieuws/waarom-moet-nederland-haar-eigen-industrie-meer-inschakelen-voor-clouddiensten/
  27. Economische impact – Dutch Data Center Association, geopend op september 4, 2025, https://www.dutchdatacenters.nl/economische-impact/
  28. Netherlands – EU NIS2 Directive – Eversheds Sutherland, geopend op september 4, 2025, https://ezine.eversheds-sutherland.com/eu-nis2-directive/netherlands
  29. Prioriteit 6 – Digitaal vakmanschap en een moderne werkomgeving – Digitale Overheid, geopend op september 4, 2025, https://www.digitaleoverheid.nl/nederlandse-digitaliseringsstrategie-nds/6-prioriteiten-voor-een-overheid/prioriteit-6-digitaal-vakmanschap-en-een-moderne-werkomgeving/
  30. I-vakmanschap I-strategie Rijk 2021-2025 – Digitale Overheid, geopend op september 4, 2025, https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/i-strategie-rijk-2021-2025/i-vakmanschap/
  31. Strategische personeelsplanning | BOSA – FOD Beleid en Ondersteuning, geopend op september 4, 2025, http://bosa.belgium.be/nl/themas/strategische-ondersteuning/hr-beleid/strategische-personeelsplanning
  32. Strategische personeelsplanning (SPP) | Rijksorganisatie voor Ontwikkeling, Digitalisering en Innovatie, geopend op september 4, 2025, https://www.rijksorganisatieodi.nl/i-vakmanschap/spp
  33. RijksAcademie voor Digitalisering en Informatisering Overheid: Home, geopend op september 4, 2025, https://www.it-academieoverheid.nl/
  34. RADIO Leerplatform digitalisering is nu voor iedereen beschikbaar – Dutch IT Channel, geopend op september 4, 2025, https://www.dutchitchannel.nl/news/419648/radio-leerplatform-digitalisering-is-nu-voor-iedereen-beschikbaar
  35. RADIO – Digitale Overheid, geopend op september 4, 2025, https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/leren-en-ontwikkelen/radio/
  36. EU AI Act Finalised – Matheson, geopend op september 4, 2025, https://www.matheson.com/insights/detail/eu-ai-act-finalised
  37. Implementation Timeline | EU Artificial Intelligence Act, geopend op september 4, 2025, https://artificialintelligenceact.eu/implementation-timeline/
  38. Article 9: Risk Management System | EU Artificial Intelligence Act, geopend op september 4, 2025, https://artificialintelligenceact.eu/article/9/
  39. Confidential Computing: A Security Overview and Future Research Directions – CEUR-WS, geopend op september 4, 2025, https://ceur-ws.org/Vol-3962/paper70.pdf
  40. Cloud Security Technical Reference Architecture v.2 – CISA, geopend op september 4, 2025, https://www.cisa.gov/sites/default/files/2023-02/cloud_security_technical_reference_architecture_2.pdf
  41. Overheidsdatacenter | Producten en diensten | SSC-ICT | Partner …, geopend op september 4, 2025, https://www.ssc-ict.nl/producten-en-diensten/overheidsdatacenter
  42. EU Data Act | Updates, Compliance, Training, geopend op september 4, 2025, https://www.eu-data-act.com/
  43. Data Act explained | Shaping Europe’s digital future – European Union, geopend op september 4, 2025, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained
  44. EDPB adopts final version of Recommendations on supplementary measures, letter to EU Institutions on the privacy and data protection aspects of a possible digital euro, and designates three EDPB Members to the ETIAS Fundamental Rights Guidance Board, geopend op september 4, 2025, https://www.edpb.europa.eu/news/news/2021/edpb-adopts-final-version-recommendations-supplementary-measures-letter-eu_en
  45. EU Policy Update – June 2025 – centr.org, geopend op september 4, 2025, https://www.centr.org/news/eu-updates/eu-policy-update-june-2025.html
  46. Sample Contract Clauses – Eckert Seamans, geopend op september 4, 2025, https://www.eckertseamans.com/app/uploads/Steve-Foxman_Eckert-Seamans_DATA-PROTECTION-CLAUSES-101016-M1566466xA35AF.pdf
  47. Handreiking Digitaal overbrengen in de praktijk – VNG, geopend op september 4, 2025, https://vng.nl/kennisbank-grip-op-informatie/handreiking-digitaal-overbrengen-in-de-praktijk
  48. Cloud contract templates for government buyers | Digital Transformation Agency, geopend op september 4, 2025, https://www.dta.gov.au/blogs/cloud-contract-templates-government-buyers
  49. BIO and MPIP together – Information security and compliance, geopend op september 4, 2025, https://alberthoitingh.com/2023/01/27/bio-and-mpip-together/
  50. Handreiking Dataclassificatietoets BIO gemeenten – Informatiebeveiligingsdienst, geopend op september 4, 2025, https://www.informatiebeveiligingsdienst.nl/product/handreiking-dataclassificatie-2/
  51. Gaia-X Architecture: Building the Backbone of Trusted Digital Ecosystems, geopend op september 4, 2025, https://gaia-x.eu/wp-content/uploads/2024/10/Architecture-Document_Marketing-Summary_2024.pdf
  52. Wetsvoorstel voor ontheffing om archieven over te brengen – Nationaal Archief, geopend op september 4, 2025, https://www.nationaalarchief.nl/archiveren/nieuws/wetsvoorstel-voor-ontheffing-om-archieven-over-te-brengen
  53. Supplementary measures following Schrems II – AskCody Help Center, geopend op september 4, 2025, https://help.askcody.com/supplementary-measures-following-schrems-ii-2
  54. NIS 2 Directive, Transposition in the Netherlands, geopend op september 4, 2025, https://www.nis-2-directive.com/Transposition/Netherlands.html
  55. Baseline Informatiebeveiliging Overheid Cybersecurity – Digitale …, geopend op september 4, 2025, https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/cybersecurity/bio-en-ensia/baseline-informatiebeveiliging-overheid/
  56. EU Cyber Resilience Act (CRA) – Open Source Security Foundation, geopend op september 4, 2025, https://openssf.org/public-policy/eu-cyber-resilience-act/page/2/
  57. NORA (Nederlandse Overheid Referentie Architectuur) – Digitale …, geopend op september 4, 2025, https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/nora/
  58. Latest Draft of the European Cybersecurity Certification Scheme for …, geopend op september 4, 2025, https://www.skadden.com/insights/publications/2023/11/latest-draft-of-the-european-cybersecurity-certification-scheme
  59. Baseline Informatiebeveiliging Overheid (BIO) v1.04 – Informatiebeveiligingsdienst, geopend op september 4, 2025, https://www.informatiebeveiligingsdienst.nl/product/baseline-informatiebeveiliging-overheid-bio/
  60. Een herziening van de ISO 27002, een herziening van de BIO – NORA Online, geopend op september 4, 2025, https://www.noraonline.nl/wiki/Een_herziening_van_de_ISO_27002,_een_herziening_van_de_BIO
  61. Framework of geospatial data standards for The Netherlands – Geonovum, geopend op september 4, 2025, https://www.geonovum.nl/documents/geonovum-framework-of-geospatial-data-standards-for-the-netherlands-v40en-defpdf
  62. EU Cyber Resilience Act – Open Source Security Foundation, geopend op september 4, 2025, https://openssf.org/public-policy/eu-cyber-resilience-act/
  63. Making Your Program Oblivious: a Comparative Study for Side-channel-safe Confidential Computing – arXiv, geopend op september 4, 2025, https://arxiv.org/pdf/2308.06442
  64. Iaas, Paas, Saas: What’s the difference? – IBM, geopend op september 4, 2025, https://www.ibm.com/think/topics/iaas-paas-saas
  65. Voorwaarden voor inkoop bij Rijksopdrachten | Zakendoen met het Rijk | Rijksoverheid.nl, geopend op september 4, 2025, https://www.rijksoverheid.nl/onderwerpen/zakendoen-met-het-rijk/voorwaarden-voor-rijksopdrachten
  66. European Data Governance Act | Shaping Europe’s digital future, geopend op september 4, 2025, https://digital-strategy.ec.europa.eu/en/policies/data-governance-act
  67. Regulation – 2022/868 – EN – EUR-Lex – European Union, geopend op september 4, 2025, https://eur-lex.europa.eu/eli/reg/2022/868/oj/eng
  68. Cloud Encryption: What Your Cloud Provider Covers   and What’s Still on You | Thales, geopend op september 4, 2025, https://cpl.thalesgroup.com/blog/encryption/cloud-encryption-key-management-byok-hyok
  69. Informatiebeveiligingsbeleid 2024-2027 – Lokale wet- en regelgeving – Overheid.nl, geopend op september 4, 2025, https://lokaleregelgeving.overheid.nl/CVDR738417/1
  70. De Wet digitale overheid (Wbo) gaat in op 1 juli 2023. Wat houdt …, geopend op september 4, 2025, https://www.ser.nl/nl/actueel/Nieuws/wet-digitale-overheid
  71. New Standard Contractual Clauses – Questions and Answers overview – European Commission, geopend op september 4, 2025, https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_en
  72. Gaia-X – Core Concepts Federation Service, geopend op september 4, 2025, https://www.plattform-i40.de/IP/Redaktion/DE/Downloads/Publikation/Datenraum_i40_Gaia-X_PPT.pdf?__blob=publicationFile&v=1
  73. Nieuwe Archiefwet aangenomen – Digitale Overheid, geopend op september 4, 2025, https://www.digitaleoverheid.nl/nieuws/nieuwe-archiefwet-aangenomen/
  74. Module Digitale overbrenging in de praktijk | Nationaal Archief, geopend op september 4, 2025, https://www.nationaalarchief.nl/archiveren/kennisbank/module-digitale-overbrenging-in-de-praktijk
  75. CounterSEVeillance: Performance-Counter Attacks on AMD SEV-SNP – Daniel Gruss, geopend op september 4, 2025, https://gruss.cc/files/counterseveillance.pdf
  76. Data Sovereignty vs. Data Residency: Why the Distinction Matters …, geopend op september 4, 2025, https://cybersecuritycompass.org/data-sovereignty-vs-data-residency-why-the-distinction-matters-more-than-ever-ed7c18cc5e9e
  77. About – Gaia-X: A Federated Secure Data Infrastructure, geopend op september 4, 2025, https://gaia-x.eu/about/
  78. www.digitaleoverheid.nl, geopend op september 4, 2025, https://www.digitaleoverheid.nl/nieuws/nieuwe-archiefwet-aangenomen/#:~:text=De%20overbrengingstermijn%20gaat%20met%20de,te%20zorgen%20voor%20goede%20archivering.
  79. Kamerstuk 35968, nr. 10 | Overheid.nl > Officiële bekendmakingen, geopend op september 4, 2025, https://zoek.officielebekendmakingen.nl/kst-35968-10.html
  80. Veelgestelde vragen: overbrenging – KIA community, geopend op september 4, 2025, https://kiacommunity.nl/thoughts/11739
  81. eIDAS 2.0 | Updates, Compliance, Training, geopend op september 4, 2025, https://www.european-digital-identity-regulation.com/
  82. What is confidential computing? Definition + use cases – Decentriq, geopend op september 4, 2025, https://www.decentriq.com/article/what-is-confidential-computing
  83. EDPB issues comprehensive Schrems II guidance, including supplemental measures for data transfers – Hogan Lovells, geopend op september 4, 2025, https://www.hoganlovells.com/en/publications/edpb-issues-comprehensive-schrems-ii-guidance-including-recommended-supplemental-measures-to-protect-international-data-transfers
  84. Architectuur | PIANOo – Expertisecentrum Aanbesteden, geopend op september 4, 2025, https://www.pianoo.nl/nl/sectoren/ict/inkopen-van-ict/architectuur
  85. Generative AI operating models in enterprise organizations with Amazon Bedrock – AWS, geopend op september 4, 2025, https://aws.amazon.com/blogs/machine-learning/generative-ai-operating-models-in-enterprise-organizations-with-amazon-bedrock/
  86. Hiding in the Eye of the Storm Cloud: How CLOUD Act Agreements Expand U.S. Extraterritorial Investigatory Powers – Duke Law Scholarship Repository, geopend op september 4, 2025, https://scholarship.law.duke.edu/cgi/viewcontent.cgi?article=1583&context=djcil
  87. Regionaal Archief Nijmegen (Gemeente Nijmegen) | CoreTrustSeal, geopend op september 4, 2025, https://www.coretrustseal.org/wp-content/uploads/2022/10/20221020-regionaal-archief-nijmegen-gemeente-nijmegen_final.pdf
  88. Verdient NL-SBB een plek op de Pas toe leg uit lijst? – Geonovum, geopend op september 4, 2025, https://www.geonovum.nl/nieuws/verdient-nl-sbb-een-plek-op-de-pas-toe-leg-uit-lijst
  89. Standaarden – Logius, geopend op september 4, 2025, https://www.logius.nl/onze-dienstverlening/standaarden
  90. Hold Your Own Key (HYOK): explained – IronCore Labs, geopend op september 4, 2025, https://ironcorelabs.com/hyok/
  91. 2022 Coordinated Enforcement Action Use of cloud-based services by the public sector – European Data Protection Board, geopend op september 4, 2025, https://www.edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf
  92. Rijksoverheid moderniseert applicaties met OpenShift-clusters bij ODC-Noord – Tweakers, geopend op september 4, 2025, https://tweakers.net/plan/3106/rijksoverheid-moderniseert-applicaties-met-openshift-clusters-bij-odc-noord.html
  93. Dutch central government in the cloud – Netherlands Court of Audit, geopend op september 4, 2025, https://english.rekenkamer.nl/binaries/rekenkamer-english/documenten/reports/2025/01/15/dutch-central-government-in-the-cloud/Dutch+central+government+in+the+cloud.pdf
  94. Back-up as a Service van ODC-Noord – Databalance, geopend op september 4, 2025, https://www.databalance.eu/cases/odc-noord/
  95. Overheidsdata veilig migreren, opslaan en beheren – Werken voor Nederland, geopend op september 4, 2025, https://www.werkenvoornederland.nl/organisaties/ministerie-van-binnenlandse-zaken-en-koninkrijksrelaties/ssc-ict/overheidsdata-veilig-migreren-opslaan-en-beheren
  96. Datacenter Groningen 1 & 2, geopend op september 4, 2025, https://www.northcdatacenters.com/northc-datacenters/groningen/
  97. Het Rijk in de cloud – Algemene Rekenkamer, geopend op september 4, 2025, https://www.rekenkamer.nl/binaries/rekenkamer/documenten/rapporten/2025/01/15/het-rijk-in-de-cloud/Het+Rijk+in+de+cloud.pdf
  98. Contactgegevens SSC-ICT – Register van Overheidsorganisaties, geopend op september 4, 2025, https://organisaties.overheid.nl/112476/SSC-ICT
  99. Overheidsdatacenter: 24/7 operationeel – Connect, geopend op september 4, 2025, https://www.ssc-ictspecials.nl/connect/2023/01/overheidsdatacenter
  100. CLASSIFICATION – Organization of American States, geopend op september 4, 2025, https://www.oas.org/en/sms/cicte/docs/ENG-Data-Classidication.pdf
  101. Informatiebeveiligingsbeleid BAR-organisatie – Lokale wet- en regelgeving – Overheid.nl, geopend op september 4, 2025, https://lokaleregelgeving.overheid.nl/CVDR683081/1
  102. Vragen die je als bestuurder kunt stellen aan de CISO – Nationaal Cyber Security Centrum, geopend op september 4, 2025, https://www.ncsc.nl/wat-kun-je-zelf-doen/weerbaarheid/besturen/vragen-voor-bestuurder-aan-ciso
  103. Timeline for dora implementation – EIOPA – European Union, geopend op september 4, 2025, https://www.eiopa.europa.eu/document/download/2888a8e8-4a20-4e27-ad51-7ad4e5b511f7_en?filename=5_2023-10-10_EIOPA%20Reporting%20event.pdf
  104. What is the NIST SP 800-207 cybersecurity framework? – CyberArk, geopend op september 4, 2025, https://www.cyberark.com/what-is/nist-sp-800-207-cybersecurity-framework/
  105. Dataclassificatie als uitgangspunt voor softwareontwikkeling – NORA Online, geopend op september 4, 2025, https://www.noraonline.nl/wiki/ISOR:Dataclassificatie%27_als_uitgangspunt_voor_softwareontwikkeling
  106. Dataclassificatie: norm halen of data beschermen? – Baker Tilly, geopend op september 4, 2025, https://www.bakertilly.nl/inzichten/blog/dataclassificatie-norm-halen-of-data-beschermen
  107. What Are the Principles of Confidential Computing? – Oblivious, geopend op september 4, 2025, https://www.oblivious.com/faq/what-are-the-principles-of-confidential-computing
  108. Interplay of the EU AI Act and GDPR | Osborne Clarke, geopend op september 4, 2025, https://www.osborneclarke.com/insights/interplay-eu-ai-act-and-gdpr
  109. nShield Cloud Integration Option Pack – Entrust, geopend op september 4, 2025, https://www.entrust.com/sites/default/files/documentation/datasheets/entrust-cloud-integration-option-pack-ds.pdf
  110. Detection of side-channel attacks targeting Intel SGX – DiVA portal, geopend op september 4, 2025, https://www.diva-portal.org/smash/get/diva2:1580002/FULLTEXT01.pdf
  111. SP 800-207A, A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Cloud Environments – NIST Computer Security Resource Center, geopend op september 4, 2025, https://csrc.nist.gov/pubs/sp/800/207/a/final
  112. EU Cybersecurity Certification – European Union, geopend op september 4, 2025, https://certification.enisa.europa.eu/certificates_en
  113. Szabó: Soevereine cloud voor héle Nederlandse overheid – Computable.nl, geopend op september 4, 2025, https://www.computable.nl/2025/06/03/szabo-soevereine-cloud-voor-hele-nederlandse-overheid/
  114. Understanding Cloud – IaaS PaaS SaaS – YouTube, geopend op september 4, 2025, https://www.youtube.com/watch?v=eCoapK4dzGo
  115. PaaS vs IaaS vs SaaS: What’s the difference? – Google Cloud, geopend op september 4, 2025, https://cloud.google.com/learn/paas-vs-iaas-vs-saas
  116. IaaS, PaaS, SaaS, CaaS, FaaS Explained in 7 minutes – YouTube, geopend op september 4, 2025, https://www.youtube.com/watch?v=M–5UlkNAl0
  117. SaaS vs PaaS vs IaaS – Types of Cloud Computing – AWS, geopend op september 4, 2025, https://aws.amazon.com/types-of-cloud-computing/
  118. What are the differences between IaaS, PaaS and SaaS? – OVH, geopend op september 4, 2025, https://www.ovhcloud.com/en/learn/iaas-paas-saas/
  119. External key stores – AWS Key Management Service – AWS Documentation, geopend op september 4, 2025, https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html
  120. BYOK, CYOK, HYOK: Cloud Key Management Explained – Cryptomathic, geopend op september 4, 2025, https://www.cryptomathic.com/blog/what-is-the-difference-between-byok-cyok-hyok
  121. HCP Terraform introduces Hold Your Own Key (HYOK) – HashiCorp, geopend op september 4, 2025, https://www.hashicorp.com/blog/hcp-terraform-introduces-hold-your-own-key-hyok
  122. Cloud Key Management Service encryption | Security, geopend op september 4, 2025, https://cloud.google.com/docs/security/key-management-deep-dive
  123. NIST 800-207 compliance: A checklist – Island | The Enterprise Browser, geopend op september 4, 2025, https://www.island.io/content/compliance/nist-800-207
  124. CLOUD Act and FISA 702: Is your cloud data truly sovereign? – Civo …, geopend op september 4, 2025, https://www.civo.com/blog/is-your-cloud-truly-sovereign
  125. BMWE – FAQs on the GAIA-X project – bundeswirtschaftsministerium.de, geopend op september 4, 2025, https://www.bundeswirtschaftsministerium.de/Redaktion/EN/FAQ/Data-Infrastructure/faq-projekt-gaia-x.html
  126. Key Issue 6: Interplay with GDPR – EU AI Act, geopend op september 4, 2025, https://www.euaiact.com/key-issue/6
  127. White Paper: Best Practices for Cloud Data Protection and Key Management, geopend op september 4, 2025, https://www.thalestct.com/resources/best-practices-for-cloud-data-protection-and-key-management/
  128. Survey of research on confidential computing – ResearchGate, geopend op september 4, 2025, https://www.researchgate.net/publication/380034897_Survey_of_research_on_confidential_computing
  129. Hold your own key with Google Cloud External Key Manager, geopend op september 4, 2025, https://cloud.google.com/blog/products/identity-security/hold-your-own-key-with-google-cloud-external-key-manager
  130. Waarom Europa zijn eigen soevereine cloud moet bouwen – Consultancy.nl, geopend op september 4, 2025, https://www.consultancy.nl/nieuws/60875/experts-waarom-europa-zijn-eigen-soevereine-cloud-moet-bouwen
  131. Confidential Computing | CSA – Cloud Security Alliance, geopend op september 4, 2025, https://cloudsecurityalliance.org/research/topics/confidential-computing
  132. Government Information Security Baseline (BIO2) | Bureau Veritas Cybersecurity, geopend op september 4, 2025, https://cybersecurity.bureauveritas.com/services/process/audit-and-assurance/bio2-compliance
  133. Zero Trust Architecture – NIST Technical Series Publications, geopend op september 4, 2025, https://nvlpubs.nist.gov/nistpubs/specialpublications/NIST.SP.800-207.pdf
  134. De Wet open overheid (Woo) – Justitiële Informatiedienst, geopend op september 4, 2025, https://www.justid.nl/woo
  135. Data Sovereignty Vs Data Residency: What Every Organization Needs To Know, geopend op september 4, 2025, https://stonefly.com/blog/data-sovereignty-vs-data-residency-compliance-guide/
  136. ISO 27002:2022 – Control 8.24 – Use of Cryptography – ISMS.online, geopend op september 4, 2025, https://www.isms.online/iso-27002/control-8-24-use-of-cryptography/
  137. Hardware-Based Trusted Execution for … – Confidential Computing, geopend op september 4, 2025, https://confidentialcomputing.io/wp-content/uploads/sites/10/2023/03/CCC_outreach_whitepaper_updated_November_2022.pdf
  138. Internet Impact Brief: Technical Architecture of the GAIA-X Project, geopend op september 4, 2025, https://www.internetsociety.org/resources/2021/internet-impact-brief-technical-architecture-of-the-gaia-x-project/
  139. Whitepaper NCSC – Cloudcomputing & security, geopend op september 4, 2025, https://www.ncsc.nl/binaries/ncsc/documenten/publicaties/2019/mei/01/cloudcomputing/Whitepaper_Cloudcomputing_archief.pdf
  140. Cybersecurity Certification Framework – ENISA – European Union, geopend op september 4, 2025, https://www.enisa.europa.eu/topics/product-security-and-certification/cybersecurity-certification-framework
  141. Bevordering Overbrenging Digitale Overheidsinformatie (BODO) – Open Overheid, geopend op september 4, 2025, https://www.open-overheid.nl/onderwerpen/archiveren/bevordering-overbrenging-digitale-overheidsinformatie-bodo
  142. Hoe werkt een escrow-overeenkomst voor software? – Escrow4All, geopend op september 4, 2025, https://www.escrow4all.com/escrow-overeenkomst-2/
  143. Escrowovereenkomst voor programmatuur (SaaS) – Softcrow, geopend op september 4, 2025, https://softcrow.com/wp-content/uploads/2022/11/202210-SaaS-Escrow-3p-OnlineColl.pdf
  144. Attestation in confidential computing – Red Hat, geopend op september 4, 2025, https://www.redhat.com/en/blog/attestation-confidential-computing
  145. Azure landing zone design areas – Cloud Adoption Framework – Microsoft Learn, geopend op september 4, 2025, https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/ready/landing-zone/design-areas
  146. Data Classification Practices – NCCoE, geopend op september 4, 2025, https://www.nccoe.nist.gov/data-classification
  147. Potential conflict and harmony between GDPR and the CLOUD Act – Reed Smith LLP, geopend op september 4, 2025, https://www.reedsmith.com/en/perspectives/2018/06/potential-conflict-and-harmony-between-gdpr-and-the-cloud-act
  148. The CLOUD Act and Transatlantic Trust – CSIS, geopend op september 4, 2025, https://www.csis.org/analysis/cloud-act-and-transatlantic-trust
  149. CipherTrust Data Security Platform – White Paper – Thales CPL, geopend op september 4, 2025, https://cpl.thalesgroup.com/resources/encryption/ciphertrust-data-security-platform-white-paper
  150. Cloud Engineer Rijksoverheid – Experis | Traineeshipsoverzicht, geopend op september 4, 2025, https://traineeshipsoverzicht.nl/experis/cloud-engineer-rijksoverheid
  151. FISA Section 702 and the 2024 Reforming Intelligence and Securing America Act, geopend op september 4, 2025, https://www.congress.gov/crs-product/R48592
  152. GDPR-Text.com: GDPR with official guidelines, case law & expert commentaries, geopend op september 4, 2025, https://gdpr-text.com/
  153. Waarom een digitale soevereine overheid op korte termijn onhaalbaar is, geopend op september 4, 2025, https://www.binnenlandsbestuur.nl/digitaal/waarom-snelle-digitale-soevereiniteit-onhaalbaar-is

Ontdek meer van Djimit van data naar doen.

Abonneer je om de nieuwste berichten naar je e-mail te laten verzenden.

Categories: AIData
Tags:

Related Posts

AI

Dreigingsanalyse van AI-Agentplatforms

Inleiding: De Belofte en het Gevaar van AI-Agenten in de Publieke Sector De opkomst van geavanceerde AI-agenten, aangedreven door Large Language Models (LLM’s), markeert een potentieel keerpunt voor de publieke sector. Platforms zoals OpenAI’s AgentKit Read more

AI

De generatieve AI-paradox

Bedrijven implementeren in 2025 in hoog tempo generatieve AI-agents (bijna 80% adoptie wereldwijd), maar bijna evenveel rapporteert geen aantoonbaar effect op de omzet. McKinsey spreekt dan ook van de “gen AI paradox” : grootschalig gebruik, Read more

AI

Enterprise Search

Deel I: De Evolutie van Enterprise Search en de Implicaties voor de Publieke Sector (1970–2025) De capaciteit van de publieke sector om effectief te functioneren is onlosmakelijk verbonden met haar vermogen om informatie te vinden, Read more