Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Hoe Europese overheidsinstanties kunnen voldoen aan vereisten voor digitale soevereiniteit bij inkoop
Hoe Europese overheidsinstanties kunnen voldoen aan vereisten voor digitale soevereiniteit bij inkoop

Hoe Europese overheidsinstanties kunnen voldoen aan vereisten voor digitale soevereiniteit bij inkoop

by Marc ten Eikelder updated februari 11, 2026 Wettelijke naleving
Reading Time: 11 minutes

Europese overheidsinstanties verschuiven van ambitieuze doelen voor digitale soevereiniteit naar afdwingbare inkoopvereisten. In oktober 2025 publiceerde de Europese Commissie het Cloud Sovereignty Framework (versie 1.2.1), waarin acht soevereiniteitsdoelstellingen en een scoringsmethodologie werden geïntroduceerd waarmee overheidsinstanties op elk niveau cloudproviders kunnen beoordelen. De Commissie ondersteunde het framework met een aanbesteding van EUR 180 miljoen voor soevereine clouddiensten via het Cloud III Dynamic Purchasing System, waarmee de eerste operationele maatstaf werd vastgesteld voor hoe datasoevereiniteit in de praktijk wordt toegepast bij cloudinkoop in de publieke sector.

Deze verschuiving weerspiegelt een structurele realiteit waarmee inkoopmedewerkers, IT-directeuren en functionarissen gegevensbescherming in de Europese publieke sector worden geconfronteerd. Het rapport van het Europees Parlement uit 2025 over technologische soevereiniteit schat dat de EU voor meer dan 80% afhankelijk is van niet-EU-landen voor digitale producten, diensten, infrastructuur en intellectueel eigendom. Europese cloudproviders hebben ongeveer 15% van de EU-markt in handen. Wanneer burgergegevens, interagency-bestandsoverdracht en regelgevende correspondentie via platforms lopen die worden beheerd door niet-Europese providers die onder de CLOUD Act en FISA Section 702 vallen, is de soevereiniteitskloof tussen inkoopintentie en operationele realiteit aanzienlijk.

Deze gids onderzoekt hoe Europese overheidsinstanties inkoopvereisten kunnen opstellen die soevereiniteitsvereisten vertalen naar toetsbare technische criteria, met het EU Cloud Sovereignty Framework als uitgangspunt en toegepast op de praktische keuzes die instanties maken bij het selecteren van platforms voor gevoelige gegevensuitwisseling.

Samenvatting

Belangrijkste idee: Europese overheidsinstanties beschikken nu over een gestandaardiseerd framework voor het beoordelen van cloudsoevereiniteit bij inkoop. De acht soevereiniteitsdoelstellingen en het SEAL (Sovereignty Effective Assurance Level) scoresysteem van het EU Cloud Sovereignty Framework bieden toetsbare criteria op strategisch, juridisch, operationeel en technologisch vlak. Instanties kunnen dit framework gebruiken om specificaties op te stellen die onderscheid maken tussen echte soevereiniteit en marketingclaims, waarbij van providers wordt vereist architectonisch bewijs te leveren in plaats van contractuele garanties.

Waarom dit relevant is: Het Cloud Sovereignty Framework is geen theoretisch model. De Europese Commissie past het toe bij haar eigen aanbesteding van EUR 180 miljoen, met gunning verwacht tussen december 2025 en februari 2026. Elk aanbod dat niet aan de minimale zekerheidsniveaus voor alle acht doelstellingen voldoet, wordt automatisch afgewezen. Verwacht wordt dat nationale overheden vergelijkbare criteria zullen invoeren. De Franse SecNumCloud-certificering stelt nu al soevereiniteitsvereisten voor cloud in de publieke sector. De Duitse Cloud Platform Requirements leggen vergelijkbare verwachtingen vast via het Delos Cloud-partnerschap. Instanties die hun inkoopspecificaties niet bijwerken, lopen het risico providers te selecteren die niet voldoen aan opkomende nationale en EU-soevereiniteitsnormen.

Welke Data Compliance Standards zijn belangrijk?

Lees nu

5 Belangrijkste Inzichten

  1. Het EU Cloud Sovereignty Framework biedt acht toetsbare doelstellingen voor inkoop. SOV-1 tot en met SOV-8 bestrijken strategische, juridische, gegevens-, operationele, toeleveringsketen-, technologische, beveiligings- en milieusoevereiniteit. Elke doelstelling wordt gescoord met SEAL-niveaus van 0 (geen soevereiniteit) tot 4 (volledige digitale soevereiniteit). Instanties kunnen minimale SEAL-niveaus als inkoopdrempel instellen.
  2. Juridische en rechtsbevoegdheidssoevereiniteit (SOV-2) vereist een eerlijke beoordeling van blootstelling aan extraterritoriale wetgeving. Het framework beoordeelt expliciet of niet-EU-autoriteiten toegang tot gegevens of systemen kunnen afdwingen via juridische, contractuele of technische kanalen. Providers die onder de CLOUD Act vallen, scoren lager ongeacht de locatie van het EU-datacenter.
  3. Nationale cloudsoevereiniteitsstrategieën groeien naar EU-normen toe. De Franse SecNumCloud, het Duitse Souveräner Cloud-programma en het EU Cloud Sovereignty Framework delen kernvereisten rond encryptiesleutelbeheer, dataresidentie en operationele onafhankelijkheid van niet-EU-entiteiten.
  4. Door de klant beheerde encryptie is een fundamenteel inkoopcriterium. Gegevens- en AI-soevereiniteit (SOV-3) beoordeelt of de instantie controle houdt over encryptiesleutels en of de provider toegang kan krijgen tot ontsleutelde inhoud. Dit ene criterium onderscheidt echte soevereiniteit van marketing rondom dataresidentie.
  5. De Cloud and AI Development Act zal inkoopvereisten wettelijk verankeren. De Europese Commissie heeft wetgeving aangekondigd om een geharmoniseerd EU-breed cloudbeleid voor overheden te creëren, waarmee soevereiniteitsnormen verplicht in plaats van vrijwillig worden. Vroege toepassing van framework-conforme specificaties positioneert instanties vóór op de regelgeving.

Het EU Cloud Sovereignty Framework: Een Gids voor Inkoopmedewerkers

Acht Soevereiniteitsdoelstellingen als Beoordelingscriteria

Het Cloud Sovereignty Framework, gepubliceerd door de Europese Commissie op 20 oktober 2025, introduceert een gestructureerde beoordelingsmethodologie die inkoopmedewerkers direct kunnen opnemen in aanbestedingsspecificaties. Het framework is gebaseerd op het Franse Cloud de Confiance-programma, het Duitse Souveräner Cloud-initiatief en Europese regelgeving zoals NIS2 en DORA, en definieert soevereiniteit in meetbare termen.

De acht soevereiniteitsdoelstellingen (SOV-1 t/m SOV-8) bieden een volledige beoordelingsstructuur. SOV-1: Strategische soevereiniteit beoordeelt of het bestuur, eigendom en kapitaalstructuur van de provider onder EU-controle staan of blootgesteld zijn aan niet-EU-afhankelijkheden. SOV-2: Juridische en rechtsbevoegdheidssoevereiniteit beoordeelt blootstelling aan niet-EU-rechtsstelsels, inclusief of niet-EU-autoriteiten toegang tot gegevens kunnen afdwingen via juridische, contractuele of technische kanalen. Deze doelstelling adresseert direct de CLOUD Act en vergelijkbare extraterritoriale wetten. SOV-3: Gegevens- en AI-soevereiniteit omvat controle over gegevensverwerking, opslag en encryptiesleutelbeheer. SOV-4: Operationele soevereiniteit onderzoekt of serviceoperaties, personeel en ondersteuning plaatsvinden onder EU-rechtsbevoegdheid.

SOV-5: Soevereiniteit in de toeleveringsketen bekijkt de herkomst en controle van hardwarecomponenten, softwareafhankelijkheden en onderaannemersketens. SOV-6: Technologische soevereiniteit beoordeelt de mate van technologische onafhankelijkheid, inclusief of de tech stack afhankelijk is van niet-EU-propriëtaire systemen die opgeschort kunnen worden. SOV-7: Beveiligings- en nalevingssoevereiniteit beoordeelt aansluiting bij Europese cyberbeveiligingscertificeringen zoals ENISA, NIS2 en DORA. SOV-8: Milieuduurzaamheid omvat energie-efficiëntie, gebruik van hernieuwbare energie en duurzaamheidsrapportages.

SEAL-niveaus: Van Geen Soevereiniteit tot Volledige Digitale Soevereiniteit

Elke soevereiniteitsdoelstelling wordt gescoord met Sovereignty Effective Assurance Levels (SEAL), variërend van SEAL-0 (geen soevereiniteit) tot SEAL-4 (volledige digitale soevereiniteit). Het framework stelt minimale SEAL-niveaus vast die providers moeten behalen op alle acht doelstellingen om in aanmerking te komen voor EU-inkoop. Elk aanbod dat niet aan het vereiste minimum voor zelfs maar één doelstelling voldoet, wordt automatisch afgewezen.

Voor inkoopmedewerkers biedt het SEAL-systeem de taal en structuur om verder te gaan dan vage soevereiniteitsvereisten in aanbestedingsdocumenten. In plaats van te eisen dat providers “datasoevereiniteit garanderen”, kunnen instanties specifieke SEAL-niveaus eisen voor specifieke doelstellingen. Bijvoorbeeld: een aanbesteding voor burgergegevensverwerking kan SEAL-3 of hoger vereisen voor SOV-2 (juridische soevereiniteit) en SOV-3 (gegevenssoevereiniteit), terwijl SEAL-2 voor SOV-8 (milieuduurzaamheid) volstaat.

Het Framework Vertalen naar Inkoopspecificaties

Kritieke Criteria voor Platformen met Gevoelige Gegevens

Overheidsinstanties die platformen inkopen voor beveiligde bestandsoverdracht, interagency-communicatie en burgergegevensverwerking, moeten in hun specificaties prioriteit geven aan vier van de acht soevereiniteitsdoelstellingen.

Juridische en rechtsbevoegdheidssoevereiniteit (SOV-2) is het meest doorslaggevende criterium. Inkoopspecificaties moeten van providers eisen dat zij alle rechtsbevoegdheden bekendmaken waarvan de wetgeving van toepassing is op hun bedrijfsstructuur, operaties, personeel en gegevensverwerkingsactiviteiten. De specificatie moet expliciet vragen of een niet-EU-overheidsinstantie de provider kan dwingen om gegevens van de instantie te produceren, te verstrekken of toegang te geven via enig juridisch mechanisme, inclusief nationale veiligheidsbevelen, dagvaardingen van wetshandhaving of inlichtingenbevoegdheden. Providers die onder de CLOUD Act vallen, moeten dit bevestigend beantwoorden, ongeacht waar de gegevens fysiek zijn opgeslagen.

Gegevenssoevereiniteit (SOV-3) specificaties moeten van providers eisen dat zij hun encryptiearchitectuur gedetailleerd documenteren. Belangrijke vragen zijn of de instantie haar eigen encryptiesleutels genereert en bewaart, of de provider onder welke omstandigheden dan ook toegang kan krijgen tot ontsleutelde inhoud, en of het beheer van encryptiesleutels technisch gescheiden is van de gegevensverwerkingsomgeving. Het verschil tussen door de provider beheerde sleutels (waarbij de provider kan ontsleutelen) en door de klant beheerde sleutels (waarbij de provider dat niet kan) is de praktische grens tussen dataresidentie en datasoevereiniteit.

Operationele soevereiniteit (SOV-4) specificaties moeten ingaan op de vraag of serviceoperaties, onderhoud en ondersteuning uitsluitend worden uitgevoerd door personeel dat in de EU gevestigd is onder EU-rechtsbevoegdheid. Instanties moeten bekendmaking eisen van alle mogelijkheden voor externe toegang vanuit niet-EU-locaties en van alle omstandigheden waarin niet-EU-personeel toegang zou kunnen krijgen tot omgevingen van de instantie.

Soevereiniteit in de toeleveringsketen (SOV-5) specificaties moeten transparantie eisen over onderaannemersketens, met name of de onderliggende infrastructuur afhankelijk is van niet-EU-cloudplatforms die de rechtsbevoegdheidsblootstelling opnieuw introduceren die men met soevereine inkoop juist wil uitsluiten.

Toetsbare Specificaties Opstellen: Een Praktische Aanpak

Effectieve soevereiniteitspecificaties vertalen beleidsvereisten naar ja/nee-technische vragen en eisen voor gedocumenteerd bewijs. Voor elke prioritaire soevereiniteitsdoelstelling moet de specificatie een verplichte openbaarmakingsvereiste bevatten (wat de provider moet onthullen), een beoordelingscriterium (hoe antwoorden worden gescoord) en een bewijsstandaard (welke documentatie naleving aantoont).

Voor encryptiesleutelbeheer kan de specificatie luiden: “De provider documenteert de volledige levenscyclus van encryptiesleutels, inclusief generatie, opslag, rotatie en vernietiging. De instantie behoudt exclusieve controle over encryptiesleutels in haar eigen hardware security module (HSM) of gelijkwaardig sleutelbeheersysteem. De provider toont, via architectonische documentatie en onafhankelijke verificatie, aan dat hij onder geen enkele omstandigheid, inclusief juridische dwang vanuit welke rechtsbevoegdheid dan ook, toegang kan krijgen tot ontsleutelde gegevens van de instantie.”

Voor dataresidentie kan de specificatie vereisen: “Alle gegevens van de instantie, inclusief primaire opslag, back-ups, replica’s en metadata, bevinden zich uitsluitend binnen [gespecificeerde EU-lidstaat/-staten]. De provider implementeert technische controles die voorkomen dat gegevens de aangewezen geografische grenzen verlaten en levert doorlopende audit logs van de gegevenslocatie. De instantie kan dataresidentie onafhankelijk verifiëren.”

Voor leveranciersonafhankelijkheid moet de specificatie vermelden: “De provider toont aan dat de instantie de overeenkomst kan beëindigen zonder gegevensverlies of onderbreking van de dienstverlening. Alle gegevens van de instantie zijn exporteerbaar in standaard, niet-propriëtaire formaten. De provider documenteert een getest transitieplan met tijdlijn, benodigde middelen en procedures voor gegevensmigratie.”

Nationale Soevereiniteitsstrategieën Waarmee Instanties Zich Moeten Aligneren

Frankrijk: SecNumCloud en Cloud de Confiance

De Franse aanpak is de meest voorschrijvende van Europa. De SecNumCloud-certificering (v3.2) van ANSSI verplicht gecertificeerde providers om alle klant- en technische gegevens te lokaliseren in de EU, alle systeemondersteuning uit te voeren binnen de EU door EU-personeel, en te voldoen aan eigendomsbeperkingen die niet-EU-aandeelhouders beperken tot minder dan 25% individueel en 39% gezamenlijk. SecNumCloud-certificering is verplicht voor cloudinkoop in de Franse publieke sector en krijgt steeds meer invloed op aanbieders van kritieke infrastructuur in zorg, energie, financiële sector en transport. De samenwerking van Microsoft met Bleu (Orange/Capgemini joint venture) en die van Google met S3NS (Thales) weerspiegelen het operationele gewicht van deze vereisten.

Duitsland: Cloud Platform Requirements en Delos Cloud

De Duitse aanpak werkt via de Cloud Platform Requirements van de Duitse overheid, geïmplementeerd via het Delos Cloud-partnerschap (een SAP-dochteronderneming die Microsoft-technologieën onder Duits beheer exploiteert). De IT-Planungsrat coördineert IT-standaarden voor de publieke sector op federaal en deelstaatniveau. Voor Duitse instanties bieden de toezichtverwachtingen van BaFin over clouduitbesteding en de technische richtlijnen van het BSI aanvullende vereisten die EU-frameworks aanvullen. Instanties die inkopen voor federaal of Länder-gebruik moeten zowel de criteria van het EU Cloud Sovereignty Framework als Duitse vereisten opnemen.

Convergentie Richting EU-normen

De Europese Commissie heeft de Cloud and AI Development Act (CAIDA) aangekondigd, die naar verwachting één EU-breed cloudbeleid voor overheden creëert met geharmoniseerde inkoopnormen. Deze wetgeving zal waarschijnlijk sterk leunen op de acht doelstellingen en SEAL-methodologie van het Cloud Sovereignty Framework. Instanties die hun inkoopspecificaties nu afstemmen op het framework, zijn voorbereid op CAIDA-vereisten zodra deze bindend worden, zonder bestaande contracten opnieuw te hoeven aanbesteden of heronderhandelen.

De Soevereiniteitskloof in de Huidige Inkooppraktijk

Waarom “EU-datacenter” Onvoldoende is als Inkoopcriterium

Veel huidige inkoopspecificaties van overheden eisen “gegevensopslag binnen de EU” of “EU-datacenterlocatie” als maatregel voor soevereiniteit. Het Cloud Sovereignty Framework laat zien waarom dit onvoldoende is. De locatie van het datacenter adresseert de fysieke geografie, maar niet de rechtsbevoegdheid, het beheer van encryptiesleutels, operationele toegang of afhankelijkheden in de toeleveringsketen. Een Amerikaanse provider met een EU-datacenter scoort SEAL-0 of SEAL-1 op SOV-2 (juridische soevereiniteit), omdat de Amerikaanse wetgeving de verplichtingen van de provider bepaalt, ongeacht de serverlocatie.

De keuze van de Europese Commissie voor acht afzonderlijke soevereiniteitsdoelstellingen in plaats van één “soevereiniteit”-checkbox weerspiegelt de multidimensionale aard van de uitdaging. Inkoopspecificaties die alleen op datacenterlocatie vertrouwen, stellen providers in staat te claimen dat ze aan soevereiniteitsvereisten voldoen, terwijl ze volledig onderworpen blijven aan toegangseisen van niet-EU-overheden.

Waarom “Sovereign Cloud”-partnerschappen Kritisch Moeten Worden Beoordeeld

Amerikaanse hyperscalers hebben gereageerd op Europese druk rond soevereiniteit door Europese partnerschappen aan te gaan. Microsofts Bleu (Frankrijk) en Delos Cloud (Duitsland), Googles S3NS (Frankrijk) en AWS’s European Sovereign Cloud positioneren zich allemaal als soevereine alternatieven. Deze constructies verschillen echter sterk in de mate van daadwerkelijke soevereiniteit die ze bieden, en inkoopspecificaties moeten ze beoordelen aan de hand van dezelfde frameworkcriteria als elke andere provider.

Belangrijke vragen bij het beoordelen van soevereine cloudpartnerschappen zijn of de Europese partner volledige technische controle heeft over de tech stack of afhankelijk is van het Amerikaanse moederbedrijf voor code, updates en onderhoud. Instanties moeten nagaan of de constructie is getest op een CLOUD Act- of FISA-verzoek en wat het gedocumenteerde resultaat zou zijn. Ze moeten verifiëren of de Europese entiteit onafhankelijk kan opereren als de Amerikaanse partner de samenwerking beëindigt en of de inzetarchitectuur gebruikmaakt van dedicated infrastructuur of gescheiden multi-tenant infrastructuur die wordt gedeeld met niet-soevereine workloads.

Implementatie: Soevereiniteit Inbouwen in uw Inkoopproces

Fase 1: Beoordeel Huidige Regelingen aan de Hand van het Framework

Breng alle cloud- en SaaS-diensten in kaart die burgergegevens, interagency-communicatie, regelgevende correspondentie en interne beleidsdocumenten verwerken. Beoordeel voor elke dienst de huidige provider aan de hand van de acht soevereiniteitsdoelstellingen en documenteer waar mogelijk de SEAL-niveaus. Identificeer regelingen waarbij juridische soevereiniteit (SOV-2) of gegevenssoevereiniteit (SOV-3) onder acceptabele drempels scoren. Deze beoordeling vormt de migratieprioriteitenlijst.

Fase 2: Ontwikkel Framework-conforme Aanbestedingsspecificaties

Stel inkoopspecificaties op die de acht soevereiniteitsdoelstellingen als beoordelingscriteria opnemen, met vastgestelde minimale SEAL-niveaus per doelstelling. Weeg de criteria naar gelang de gevoeligheid van de gegevens en functies die worden ingekocht. Neem verplichte openbaarmakingsvereisten op voor encryptiearchitectuur, blootstelling aan rechtsbevoegdheid, operationele toegang en samenstelling van de toeleveringsketen. Definieer bewijsstandaarden die architectonische documentatie vereisen, geen marketingmateriaal. Specificeer exitstrategievereisten die aansluiten bij de verwachtingen voor operationele soevereiniteit uit het framework.

Fase 3: Beoordeel Reacties met Frameworkmethodologie

Score providerreacties op elke soevereiniteitsdoelstelling met de SEAL-methodologie. Wijs elke reactie af die niet aan de minimumnormen voor prioritaire doelstellingen voldoet. Pas voor gekwalificeerde reacties de gewogen score van het framework toe om de algehele soevereiniteitsstatus te vergelijken. Vraag om onafhankelijke verificatie van providerclaims, vooral rond encryptiesleutelbeheer en onafhankelijkheid van rechtsbevoegdheid.

Fase 4: Valideer en Monitor na Gunning

Controleer na gunning of de ingezette architectuur overeenkomt met de aanbestedingsspecificatie via onafhankelijke auditverificatie. Stel doorlopende monitoring in met periodieke herbeoordeling aan de hand van de soevereiniteitsdoelstellingen, vooral als eigendomsstructuren van providers, onderaannemersrelaties en juridische omgevingen veranderen. Neem contractuele bepalingen op voor beëindiging als de soevereiniteitsstatus onder de gespecificeerde drempels zakt.

Souvereine Inkoop Beschermt het Vertrouwen van Burgers

Europese burgers vertrouwen hun overheid persoonlijke gegevens toe. Belastinggegevens, gezondheidsinformatie, gegevens over sociale diensten, identiteitsdocumenten en interagency-communicatie behoren tot de meest gevoelige categorieën informatie in elke samenleving. Wanneer deze gegevens via platforms lopen die onderworpen zijn aan toegangseisen van buitenlandse overheden, wordt de impliciete belofte van bescherming van burgergegevens ondermijnd, ongeacht wat er in contracten staat.

Het EU Cloud Sovereignty Framework biedt overheidsinstanties de middelen om inkoopbeslissingen te nemen die dit vertrouwen waarborgen. Door soevereiniteitsprincipes te vertalen naar toetsbare technische criteria, kunnen instanties platforms selecteren die echte bescherming bieden in plaats van contractuele garanties die geen stand houden bij juridische dwang vanuit het buitenland.

Kiteworks Helpt Europese Overheidsinstanties te Voldoen aan Digitale Soevereiniteitsvereisten bij Inkoop

Het Kiteworks Private Data Network levert een soevereine architectuur die aansluit bij de vereisten van het EU Cloud Sovereignty Framework op alle prioritaire doelstellingen. Op SOV-2 (juridische soevereiniteit) betekent het door de klant beheerde encryptiemodel van Kiteworks dat het platform niet kan voldoen aan buitenlandse ontsleutelverzoeken, omdat het geen encryptiesleutels bezit. Op SOV-3 (gegevenssoevereiniteit) genereren en bewaren instanties sleutels in hun eigen HSM, waardoor ongeautoriseerde toegang technisch onmogelijk is.

Kiteworks wordt ingezet als single-tenant instantie op dedicated Europese infrastructuur, waarmee SOV-4 (operationele soevereiniteit) wordt ingevuld via geïsoleerde omgevingen die niet worden gedeeld met andere tenants of rechtsbevoegdheden. Ingebouwde geofencing handhaaft dataresidentie op platformniveau en levert het continue auditbewijs dat framework-conforme inkoopspecificaties vereisen. Kiteworks ondersteunt GDPR-naleving, NIS2-afstemming en DORA operationele weerbaarheid over alle gevoelige communicatiekanalen voor content.

Het platform verenigt beveiligde bestandsoverdracht, e-mailbescherming, beheerde bestandsoverdracht en webformulieren onder één governanceframework, zodat instanties aan soevereiniteitsvereisten bij inkoop kunnen voldoen over alle kanalen voor gegevensuitwisseling met één architectuur, één beoordeling en één bewijspakket.

Meer weten over het voldoen aan digitale soevereiniteitsvereisten bij inkoop? Plan vandaag nog een demo op maat.

Veelgestelde Vragen

Het EU Cloud Sovereignty Framework is een gestructureerde beoordelingsmethodologie die in oktober 2025 door de Europese Commissie is gepubliceerd en acht soevereiniteitsdoelstellingen definieert voor het beoordelen van cloudproviders. Elke doelstelling wordt gescoord met SEAL-niveaus van 0 tot 4. De Commissie past het framework toe bij haar eigen aanbesteding van EUR 180 miljoen voor cloud via het Cloud III Dynamic Purchasing System. Hoewel het nog niet wettelijk verplicht is voor alle overheidsinstanties van lidstaten, vormt het de referentiemethodologie die nationale inkoopautoriteiten en de aanstaande Cloud and AI Development Act naar verwachting zullen overnemen. Instanties kunnen de beoordelingscriteria en SEAL-score van het framework nu al opnemen in aanbestedingsspecificaties.

Inkoopspecificaties moeten van providers eisen dat zij alle rechtsbevoegdheden waarvan de wetgeving van toepassing is op hun operaties bekendmaken en bevestigen of een niet-EU-autoriteit toegang tot gegevens kan afdwingen. SOV-2 (juridische en rechtsbevoegdheidssoevereiniteit) van het EU Cloud Sovereignty Framework beoordeelt expliciet blootstelling aan extraterritoriale wetshandhaving. Specificaties moeten van providers eisen dat zij, via architectonisch bewijs in plaats van contractuele garanties, aantonen dat zij geen ontsleutelde gegevens van de instantie kunnen produceren onder juridische dwang vanuit het buitenland. Door de klant beheerde encryptie waarbij de provider nooit sleutels bezit, levert dit architectonische bewijs.

Souvereine cloudpartnerschappen tussen Amerikaanse hyperscalers en Europese entiteiten verschillen sterk in de mate van daadwerkelijke soevereiniteit die ze bieden en moeten worden beoordeeld aan de hand van dezelfde frameworkcriteria als elke provider. Belangrijke beoordelingsvragen zijn of de Europese entiteit volledige technische onafhankelijkheid heeft van het Amerikaanse moederbedrijf, of de constructie bestand is tegen een CLOUD Act-verzoek en of de inzet gebruikmaakt van dedicated of gescheiden infrastructuur. Instanties moeten deze aanbiedingen beoordelen op soevereiniteitsdoelstellingen SOV-1 tot en met SOV-6 en voor elk gedocumenteerd bewijs eisen, geen marketingmateriaal of partneraankondigingen.

Specificaties moeten door de klant beheerde encryptie eisen waarbij de instantie sleutels genereert, opslaat en beheert in haar eigen HSM, en de provider aantoonbaar geen toegang heeft tot ontsleutelde gegevens. Dit adresseert SOV-3 (gegevenssoevereiniteit) op SEAL-3 of SEAL-4-niveau. De specificatie moet documentatie vereisen van de volledige sleutelcyclus, onafhankelijke verificatie dat de provider niet kan ontsleutelen, en audit logs van alle encryptiehandelingen. Door de provider beheerde encryptie met BYOK-constructies (bring your own key) moet kritisch worden beoordeeld, omdat veel providers toegang houden tot sleutelmateriaal tijdens gegevensverwerking.

De Cloud and AI Development Act (CAIDA) zal naar verwachting een verplichte EU-brede cloudpolicy voor overheden creëren met geharmoniseerde inkoopnormen op basis van het Cloud Sovereignty Framework. De wetgeving beoogt de EU-datacentercapaciteit te verdrievoudigen en verplichte toelatingsvereisten voor cloudproviders voor de publieke sector vast te stellen. Instanties die hun inkoopspecificaties nu al afstemmen op de acht doelstellingen en SEAL-methodologie van het framework, zijn voorbereid op naleving zodra CAIDA-vereisten van kracht worden. De richting van de regelgeving is duidelijk: soevereine inkoop verschuift van een vrijwillig framework naar een bindende verplichting.

Aanvullende bronnen 

  • Blog Post  
    Data Sovereignty: een best practice of wettelijke vereiste?
  • eBook  
    Data Sovereignty en GDPR
  • Blog Post  
    Voorkom deze valkuilen bij Data Sovereignty
  • Blog Post  
    Data Sovereignty beste practices
  • Blog Post  
    Data Sovereignty en GDPR [Inzicht in gegevensbeveiliging]

    •  

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks