Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Beheer van cyberbeveiligingsrisico's > 27 mei EU-technologische soevereiniteitscrisis: GCC High in Frankfurt werkt niet meer
27 mei EU-technologische soevereiniteitscrisis: GCC High in Frankfurt werkt niet meer

27 mei EU-technologische soevereiniteitscrisis: GCC High in Frankfurt werkt niet meer

by Marc ten Eikelder updated mei 13, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 9 minutes

Al bijna tien jaar wordt Europese datasoevereiniteit besproken in rechtszaken, conferenties en contractbepalingen. Op 27 mei 2026 wordt verwacht dat dit onderdeel wordt van het EU-aanbestedingsrecht.

Belangrijkste inzichten

  1. Brussel gaat van retoriek naar handhaving. Op 27 mei 2026 zal de Europese Commissie naar verwachting een Tech Sovereignty Package presenteren dat het EU-lidstaatregeringen verbiedt om Amerikaanse cloudproviders te gebruiken voor gevoelige publieke data in de zorg, financiële sector en rechtssystemen.
  2. De CLOUD Act is de aangewezen oorzaak. Amerikaanse wetshandhavers kunnen Amerikaanse providers verplichten om data te overhandigen, ongeacht waar deze is opgeslagen, op basis van de CLOUD Act van 2018. Europese dataresidentie kan dat structurele probleem niet oplossen.
  3. Europese organisaties zagen dit al aankomen. Vierenvijftig procent geeft aan zich zorgen te maken over soevereiniteitsgaranties van providers als belemmering, en 32 procent rapporteerde het afgelopen jaar een soevereiniteitsincident — waarbij ongeautoriseerde grensoverschrijdende overdrachten het meest voorkwamen.
  4. Architectuur wint van contracten. Schrems II stelde negen jaar geleden vast dat contracten geen buitenlandse toegangswetten kunnen overrulen. Het pakket van de Commissie operationaliseert dat principe nu voor het eerst op EU-aanbestedingsniveau.
  5. “Soevereiniteit die je kunt bewijzen” wordt de minimale eis bij aanbestedingen. Toezichthouders zullen drie zaken verwachten: handhaving van dataresidentie op architectuurniveau, exporteerbare bewijsstukken, en geteste paraatheid voor overheidsverzoeken tot toegang.

Volgens berichtgeving van CNBC bereidt de Europese Commissie een “Tech Sovereignty Package” voor dat het gebruik van Amerikaanse cloudproviders door lidstaatregeringen voor gevoelige publieke data beperkt, naast de Cloud and AI Development Act en de Chips Act 2.0. De maatregelen verbieden Amerikaanse providers niet volledig, maar beperken hun inzet in de zorg, financiële sector en rechtssystemen — precies de workloads die sinds 2018 centraal staan in de spanningen tussen GDPR en de CLOUD Act.

Europese functionarissen vertelden journalisten dat het kernidee is om sectoren te definiëren die op Europese cloudcapaciteit moeten worden gehost. Na presentatie moet het pakket worden goedgekeurd door alle 27 lidstaten. Het is de eerste keer dat de Commissie het soevereiniteitsdebat van theoretisch risico naar aanbestedingsbeperking verschuift.

Wat er op 27 mei verandert, is niet de onderliggende wetgeving. De Amerikaanse CLOUD Act blijft van kracht. GDPR blijft van kracht. Schrems II blijft van kracht. Wat verandert, is dat Europese organisaties niet langer kunnen beweren dat een door de VS gecontroleerde cloud in Frankfurt functioneel gelijkwaardig is aan een soevereine cloud. De Commissie gaat dat onderscheid bindend maken voor de publieke sector. De private sector zal volgen, want aanbestedingsnormen zijn leidend.

Waar de Commissie feitelijk op reageert

Het Tech Sovereignty Package komt niet uit het niets. Het is het institutionele antwoord op een reeks onthullingen die het Europese denken over Amerikaanse cloudproviders de afgelopen 18 maanden stilletjes hebben veranderd.

Een hoorzitting in de Franse Senaat in 2025 leverde een bekentenis op die door Europese beleidskringen is weerkaatst: zelfs met Europese dataresidentie kan een Amerikaanse provider niet garanderen dat EU-data nooit door Amerikaanse autoriteiten wordt opgevraagd. Zoals de analyse van Databalance over Microsofts soevereiniteitspositie in 2026 stelt, blijft de juridische realiteit ongewijzigd — er is nog steeds geen wet die het extraterritoriale effect van de Amerikaanse CLOUD Act opheft.

Daarna volgde het ProPublica-onderzoek naar de FedRAMP-autorisatie van Microsoft GCC High, gepubliceerd in maart 2026. Uit het onderzoek bleek dat FedRAMP-beoordelaars concludeerden dat er onvoldoende vertrouwen was in de totale beveiligingsstatus van het systeem voordat het toch werd goedgekeurd, omdat federale agentschappen het al gebruikten. Zoals ProPublica meldde, vond het team kwesties die fundamenteel zijn voor risicobeheer, waaronder tijdig herstel van kwetsbaarheden en kwetsbaarheidsscans.

Europese toezichthouders lazen dat onderzoek. Ze keken ook naar Microsofts eigen Digital Sovereignty Summit in Brussel in april 2026, waar het bedrijf soevereiniteit herdefinieerde als een continu risicobeheerproces in plaats van een eindbestemming — waarmee feitelijk werd erkend dat locatiegaranties niet langer volstaan.

De Commissie legt nu vast wat Europese organisaties operationeel al hadden geconcludeerd.

De data die dit moment voorspelden

Europese organisaties geven al twee jaar aan onderzoekers aan dat contracten hun soevereiniteitsprobleem niet kunnen oplossen. Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe ondervroeg 286 IT- en securityprofessionals in Canada, het Midden-Oosten en Europa en bracht het verschil met harde cijfers in kaart.

Tachtig procent van de Europese respondenten geeft aan goed of zeer goed geïnformeerd te zijn over soevereiniteitsvereiste. Toch had 32 procent het afgelopen jaar een soevereiniteitsincident. Het meest voorkomende incident was ongeautoriseerde grensoverschrijdende overdracht, gevolgd door onderzoeken door toezichthouders, datalekken met soevereiniteitsimplicaties en derde partij compliance-fouten.

Het Europe Sovereignty Report trok de conclusie expliciet: regelgevingsvolwassenheid vermindert, maar elimineert incidenten niet. Het resterende gat is operationeel, niet informatief — en het dichten ervan vereist architectuur, niet meer bewustwordingstraining. Vierenvijftig procent van de respondenten noemde soevereiniteitsgaranties van providers als grootste belemmering, het hoogste percentage van alle onderzochte regio’s en een directe uitdaging voor de aanname dat alleen EU-datacenters het probleem oplossen.

Achtentwintig procent van de Europese respondenten rapporteert nu jaarlijkse soevereiniteitsbudgetten van meer dan EUR 5 miljoen. Bij organisaties met meer dan 10.000 werknemers valt meer dan 70 procent in de hoogste uitgavencategorieën. De investeringen zijn geconcentreerd op gebieden die aantoonbare controle opleveren: handhaving van dataresidentie, beheer van encryptiesleutels, automatisering van toegangsbeleid en exporteerbare audittrails. Organisaties waren al aan het investeren in het dichten van het gat dat de Commissie nu gaat formaliseren.

Waarom “GCC High in Frankfurt” deze toets nooit kon doorstaan

Het meest gebruikte argument van Amerikaanse providers voor Europese workloads is een variant van een soevereine enclave: een Amerikaans cloudproduct, gehost in Europese datacenters, beheerd door Europees personeel, onder Europees bestuur. Microsoft GCC High is het vlaggenschip voor Amerikaanse overheidsworkloads, en de commerciële varianten — Microsoft Cloud for Sovereignty, AWS European Sovereign Cloud, Google Cloud Sovereign Solutions — volgen hetzelfde architectuurpatroon in Europa.

Het Tech Sovereignty Package is gebaseerd op de erkenning dat dit patroon het structurele probleem niet oplost. Geografie is geen rechtsbevoegdheid, en een enclave die wordt beheerd door een door de VS gecontroleerde entiteit blijft onder de CLOUD Act bereikbaar, ongeacht het land waar de servers staan.

De technische variant van het probleem is sleutelbeheer. Zolang een Amerikaanse provider de encryptiesleutels beheert, opslaat of kan worden verplicht deze op te halen, is de locatie van de data operationeel irrelevant. De Customer Key-functie van Microsoft illustreert het gat: klanten kunnen hun eigen sleutels meenemen, maar Microsoft behoudt operationele mogelijkheden om data te ontsleutelen voor serviceprocessen. Dat is voldoende voor een CLOUD Act-verzoek, maar onvoldoende voor een toezichthouder die Schrems II serieus neemt.

De Commissie beweegt richting een definitie van soevereiniteit die drie zaken vereist die het enclave-model niet tegelijkertijd kan leveren: cryptografische scheiding van provider-toegang, rechtsbevoegdheidsimmuniteit tegen extraterritoriale wetgeving, en exporteerbaar bewijs dat dataresidentie daadwerkelijk is afgedwongen.

Hoe “Soevereiniteit die je kunt bewijzen” eruitziet als handhaving werkelijkheid wordt

Het Europe Sovereignty Report vat het operationele antwoord samen in drie architectonische pijlers. Het Tech Sovereignty Package maakt van elk een aanbestedingsvereiste.

Controls. Handhaving van dataresidentie, encryptiesleutelbeheer en toegangsbeleid die ongeautoriseerde grensoverschrijdende verplaatsing op architectuurniveau voorkomen — niet op contractniveau. Organisaties moeten kunnen aantonen dat data fysiek niet een bepaalde rechtsbevoegdheid kan verlaten zonder een expliciet, gelogd, beleidsmatig geëvalueerd event.

Bewijsstukken. Exporteerbare audittrails, dataresidentie logs en compliance-rapportages die toezichthouders op verzoek tevredenstellen. Vijfenvijftig procent van de Europese respondenten is van plan de komende twee jaar te investeren in compliance-automatisering, en 51 procent in technische controls. De gedeelde drijfveer is dat handmatige bewijsverzameling niet schaalbaar is over DORA, NIS 2, de Data Act en de EU AI Act tegelijk.

Paraatheid. Geteste draaiboeken voor overheidsverzoeken tot data-toegang, derde partij vendor-failures, Transfer Impact Assessments en Schrems II-compliancescenario’s. Zesendertig procent van de Europese respondenten noemt geopolitieke verschuivingen — met name Amerikaanse beleidswijzigingen — als topzorg. Organisaties die deze draaiboeken hebben geoefend, gaan soepel door het handhavingsvenster van de Commissie. Organisaties die dat niet hebben, ontdekken het gat tijdens de audit.

De Kiteworks-aanpak: architectuur die standhoudt als contracten dat niet kunnen

Dit is het architectonische moment waarvoor data-layer governance is ontwikkeld. Kiteworks biedt een veilig controleplatform, ontworpen vanuit het principe dat soevereiniteit niet kan worden uitbesteed aan een contractuele belofte van een provider. De inzetopties — on-premises, private cloud, hybride en single-tenant hosted — stellen organisaties in staat gevoelige content exclusief binnen EU-infrastructuur te houden, onafhankelijk van Amerikaanse providers die onder de CLOUD Act vallen.

Het platform handhaaft drie controls die het pakket van de Commissie zal belonen. Encryptiesleutelbeheer kan door de klant binnen de rechtsbevoegdheid worden gehouden, met FIPS 140-3 gevalideerde cryptografische modules en dubbele encryptie in rust — op bestands- en schijfniveau met aparte sleutels. Toegangsbeleid wordt afgedwongen op infrastructuurniveau via ABAC en RBAC; elk verzoek wordt geauthenticeerd en geautoriseerd op basis van attributengebaseerde regels voordat data wordt aangeraakt. Manipulatiebestendige auditlogs worden in realtime aan SIEM geleverd zonder vertraging, en leveren het exporteerbare bewijs dat toezichthouders steeds vaker zullen eisen.

De Secure MCP Server en AI Data Gateway breiden hetzelfde governance-model uit naar AI-agentinteracties, zodat de soevereiniteitsstatus van een organisatie niet ineenstort wanneer AI-workflows dezelfde gereguleerde data verwerken. Elk AI-verzoek wordt geauthenticeerd, geautoriseerd, versleuteld en gelogd met dezelfde data-layer controls als voor menselijke gebruikers — de GPAI-verplichtingen van de EU AI Act en de residency-vereiste van het Tech Sovereignty Package worden via dezelfde architectuur ingevuld.

Wat organisaties vóór 27 mei moeten doen

Ten eerste moet elke workload die gevoelige persoonsgegevens verwerkt, worden gekoppeld aan de werkelijke rechtsbevoegdheid van de cloudprovider, niet alleen aan de locatie van het datacenter. Als de controlerende entiteit in de VS is gevestigd, valt de workload onder de CLOUD Act, ongeacht de geografie. Volgens het Kiteworks Europe Sovereignty Report is het feit dat 32 procent van de Europese organisaties het afgelopen jaar een soevereiniteitsincident had, het minimum waar de Commissie naar zal kijken.

Ten tweede moet encryptiesleutelbeheer buiten het bereik van de provider worden georganiseerd voor de workloads die in stap één zijn geïdentificeerd. Sleutels die door de cloudprovider worden beheerd, zijn geen sleutelbeheer. Echt beheer betekent dat het cryptografisch materiaal wordt beheerd door de klant of een rechtsbevoegd gescheiden derde partij, en dat de provider deze niet kan ophalen via operationele, technische of juridische routes.

Ten derde moet de generatie van auditbewijzen worden geautomatiseerd. Volgens het Kiteworks Europe Sovereignty Report is 55 procent van de Europese respondenten van plan te investeren in compliance-automatisering. De reden is simpel: handmatige reconciliatie van bewijs over DORA, NIS 2, GDPR, de EU Data Act en de AI Act is niet schaalbaar, en het Tech Sovereignty Package voegt een zesde set verplichtingen toe die leveranciers in de publieke sector zullen moeten overnemen.

Ten vierde moeten de Schrems II- en overheidsverzoek-draaiboeken worden geoefend. Zorg voor een gedocumenteerde procedure voor wat er gebeurt als een Amerikaanse instantie een CLOUD Act-bevel uitvaardigt tegen je provider, als een toezichthouder bewijs vraagt van grensoverschrijdende verplaatsing, en als een derde partij in je toeleveringsketen een soevereiniteitsincident ervaart. Het Kiteworks Europe Sovereignty Report laat zien dat 36 procent van de Europese respondenten geopolitieke verschuivingen nu al als zorg noemt. Organisaties die hun draaiboeken hebben getest, zullen de volgende onthullingscyclus zonder verstoring doorstaan.

Ten vijfde moet soevereiniteit worden omgezet in een aanbestedingsvoordeel. Het Kiteworks Europe Sovereignty Report toont aan dat 51 procent van de Europese respondenten verbeterd vertrouwen als voordeel van soevereiniteit noemt, en 33 procent noemt competitief voordeel. Het Tech Sovereignty Package maakt van dat signaal een minimale eis voor publieke aanbestedingen en steeds vaker ook voor gereguleerde private aanbestedingen. Organisaties die residency, sleutelbeheer en exporteerbaar bewijs op verzoek kunnen aantonen, winnen de contracten die anderen verliezen.

De Commissie heeft de datum vastgesteld. Het architectonische antwoord is al negen jaar zichtbaar. Op 27 mei moet de rest van de markt beslissen of ze hebben opgelet.

Veelgestelde vragen

De financiële sector is een van de sectoren die in het conceptpakket van de Commissie worden genoemd. Hoewel de initiële focus ligt op gebruik door de publieke sector, volgt gereguleerde private aanbesteding doorgaans de publieke standaarden. Volgens Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe geeft 54 procent van de Europese respondenten aan dat soevereiniteitsgaranties van providers een belemmering vormen. Verwacht dat DORA-georiënteerde bedrijven binnen 12 tot 18 maanden strengere eisen krijgen voor encryptiesleutelbeheer en exporteerbare auditbewijzen.

Nee. Volgens berichtgeving van CNBC verbiedt het pakket Amerikaanse providers niet volledig, maar beperkt het hun inzet voor zeer gevoelige workloads. De zorgsector wordt expliciet genoemd. Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe toont aan dat 46 procent van de Europese respondenten al van plan is het gebruik van EU-gebaseerde providers uit te breiden.

Het EU-pakket heeft geen directe invloed op de Amerikaanse CMMC-naleving. Wel heeft het ProPublica-onderzoek naar de FedRAMP-autorisatie van GCC High afzonderlijke zorgen geuit over de documentatie en beveiligingsstatus van Microsoft. Volgens Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe moeten defensie-aannemers met EU-activiteiten evalueren of GCC High zowel aan de Amerikaanse CMMC-verplichtingen als aan de EU-soevereiniteitseisen voldoet — het antwoord is steeds vaker dat één platform niet beide kan dekken.

Volgens Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe moeten raden van bestuur drie categorieën bewijs verwachten. Registraties van handhaving van dataresidentie die tonen waar data fysiek staat en hoe verplaatsing wordt gecontroleerd. Documentatie van encryptiesleutelbeheer waaruit blijkt dat de provider niet eenzijdig klantdata kan ontsleutelen. Exporteerbare audittrails die aantonen wie welke data wanneer en met welke autorisatie heeft geraadpleegd — in realtime aan SIEM geleverd zonder vertraging.

Het komt erbovenop. Het pakket wordt toegevoegd aan GDPR, NIS 2, DORA, de EU Data Act en de EU AI Act. Volgens Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe is 55 procent van de Europese organisaties al van plan te investeren in compliance-automatisering, en noemt 58 procent technische infrastructuurwijzigingen als hun grootste resourcebehoefte. Handmatige reconciliatie over zes overlappende kaders is niet haalbaar — automatisering op basis van één architectonische standaard is de enige duurzame status.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks