Digitale soevereiniteit staat hoog op de agenda van Europese organisaties, maar de discussie is complexer dan ze lijkt. Microsoft implementeert soevereiniteit op vier niveaus, maar biedt het daarmee volledige garantie?
Geopolitieke spanningen, nieuwe wetgeving zoals NIS2, en de snelle opkomst van AI zorgen ervoor dat bedrijven en overheden in Europa steeds kritischer nadenken over wie ze hun gegevens toevertrouwen. Vragen over waar data staan, wie toegang en wie controle heeft, zijn niet langer voorbehouden aan de publieke sector, maar klinken ook vaker bij private bedrijven.
Die realiteit ontgaat ook Microsoft niet. “De trend richting soevereiniteit valt niet meer te ontkennen”, zegt Frank Callewaert, regionale CTO voor Microsoft in de Benelux, wanneer hij ons ontvangt in de Innovation Hub van Microsoft, gelegen in het hart van de Europese wijk in Brussel. “We zien overal ter wereld geopolitieke conflicten. Bedrijven vragen zich af hoe ze ermee moeten omgaan.”
De ruis op de relatie tussen de Europese Unie en de Verenigde Staten zet ook de positie van Microsoft als publieke cloudprovider onder druk. Kan het als Amerikaans bedrijf wel soevereiniteit garanderen in Europa? Callewaert gaat namens Microsoft geen vraag uit de weg.
Vier dimensies
Op de vraag ‘wat is soevereiniteit’ bestaat volgens Callewaert geen eenvoudig antwoord. “Het is een breed begrip: iedereen hanteert zijn eigen definitie en accenten. Bedrijven moeten eerst bepalen wat het voor hen betekent. Wij baseren ons op de drie categorieën van Gartner: data, operationeel en technisch, en voegen daar nog een vierde dimensie aan toe: cyberveiligheid”.
“Datasoevereiniteit is op zich niet nieuw: de publieke sector stelt zich sinds de invoer van de GDPR al vragen over waar data zitten. De GDPR is in deze discussie nog steeds de ‘noordster’. Operationele soevereiniteit betekent dat de klant de controle over zijn gegevens behoudt, technologische soevereiniteit moet garanderen dat de data van de klant ook van hem zijn en blijven. Microsoft is slechts de ‘verwerker’ van gegevens van klanten.”
“We voegen zelf nog een vierde luik toe: cybersoevereiniteit. Staatsactoren zijn bijzonder actief. Daarom delen we bijvoorbeeld onze beveiligingsinformatie met het CCB”, zegt Callewaert.
Legaal, technologisch en operationeel
Om die vier beloftes in te vullen, houdt Microsoft zowel legale, technologische als operationele stokken achter de deur. Callewaert: “Iedere lokale datacenterregio is georganiseerd als een gebouw dat onder nationaal en Europees recht staat en valt onder verantwoordelijkheid van een Europese board of directors. Sinds september 2025 staan expliciete weerbaarheidsengagementen in onze contracten vermeld. Zo bouwen we de capaciteit uit om onze cloud in Europa end-to-end te ‘vereuropesen’.”
Op technologisch vlak investeert Microsoft in versleuteling en toegangsbeperking. “De Data Boundary bepaalt dat data van Europese klanten binnen de EU blijven”, gaat Callewaert verder. “Gegevens zijn standaard dubbel versleuteld, in opslag en in transit. Klanten die dat wensen, kunnen extra versleuteling toevoegen of hun eigen sleutels beheren. Microsoft-beheerders hebben dan geen toegang tot de sleutels: de klant draagt de verantwoordelijkheid. Voor veel organisaties zal dat voldoende zijn, maar vanaf deze zomer bieden we ook de mogelijkheid om sleutels op eigen hardware te bewaren.”
Tenslotte stipt Callewaert de operationele laag aan. In datacenters wordt een strikte scheiding tussen fysieke en softwarematige toegang tot servers gehanteerd. “Wie servers fysiek ziet, weet niet wat erop draait, en omgekeerd. Iedere interventie krijgt een specifieke opdracht en tijdslimiet. Klanten krijgen bij het gebruik van het zogenaamde ‘lockbox’ toegang tot logs en hebben een ‘noodknop’ om interventies te blokkeren.”
“Een nieuwe toevoeging is Data Guardian. Onze clouddiensten worden wereldwijd ontwikkeld. We organiseren support zoveel mogelijk vanuit Europa, maar het is onmogelijk om alle kennis hier te hebben. Onderlinge vragen tussen ingenieursteams worden gedocumenteerd en met de klant gedeeld. Bij internationale ondersteuning wordt er steeds in Europa mee over de schouder gekeken.”
De kracht van de cloud
Met deze werkwijze dekt Microsoft volgens Callewaert al veel soevereiniteitsnoden af. “Maar er zijn organisaties die de ‘extremen’ opzoeken. Daarom investeren we opnieuw in lokale alternatieven, geëvolueerd vanuit hyperconvergentie.” Een voorbeeld is Azure Local, wat Callewaert omschrijft als een ‘miniset voor Azure op gecertificeerde hardware’.
“Dit principe is niet nieuw. We waren er al mee bezig voor soevereiniteit aan de oppervlakte kwam. Het biedt een goed antwoord voor organisaties die willen terugvallen op on-prem. Azure Local biedt de mogelijkheid om in theorie een cloudomgeving op te zetten en de connectiviteit vervolgens door te knippen. De werelden van on-prem en cloud worden dichter bij elkaar gebracht”.
Microsoft trekt die mogelijkheid ook door naar zijn cloud- en AI-diensten. Recent introduceerde het de mogelijkheid om Microsoft 365-applicaties lokaal te draaien. Callewaert: “Vroeger verloor je productiviteitsapps als je wegging van de cloud. Daar bieden we een antwoord op door SharePoint, e-mail en chat lokaal beschikbaar te stellen. AI Foundry laat klanten toe om AI-modellen op hun eigen hardware te gebruiken op een identieke manier als in de publiek cloud. Zo is de klant zelf in controle over waar zijn AI-modellen draaien”.
Callewaert erkent dat misvattingen over soevereiniteit nog steeds wijdverspreid zijn. “Veel bedrijven denken dat ze hun bestaande omgeving gewoon kunnen verplaatsen. Maar als je grote AI-modellen zelf wil gaan draaien, heb je veel hardware nodig. De kracht van de publieke cloud wordt nog vaak onderschat, zowel voor rekenkracht als voor beveiliging. Veel aanvallen vinden plaats op lokaal gehoste omgevingen.”
Cloud Act
Ondanks alle maatregelen heeft Microsoft hoe langer hoe meer de perceptie tegen. Als Amerikaans bedrijf valt het onder de Amerikaanse Cloud Act: een wetgeving die stelt dat de overheid toegang kan vragen tot gegevens van bedrijven, ook als ze buiten de Verenigde Staten zijn. De Franse collega’s van Callewaert gaven onlangs nog zelf toe Microsoft geen ‘volledige soevereiniteit’ kan beloven.
Callewaert nuanceert meteen de impact van de wetgeving. “De Cloud Act is een instrument waarmee de overheid in heel beperkte omstandigheden toegang kan vragen tot gegevens buiten de VS, bijvoorbeeld in onderzoek naar zware criminele activiteiten zoals terrorisme, wapenhandel of drugshandel. Het is geen wildcard voor de overheid: ieder verzoek moet voldoende motivering, bewijs, proportionaliteit en specificiteit voor een bepaalde persoon bevatten.”
Microsoft belooft ook om zich tot zover het kan te verzetten tegen dergelijke aanvragen. “Ons principe is dat we geen toegang verschaffen tot de omgevingen van klanten, maar we staan als bedrijf niet boven de wet. Iedere aanvraag met betrekking op een Europees bedrijf zal beoordeeld worden door een team van Europese juristen. Vervolgens wijzen we het verzoek door naar de klant. Is dat niet voldoende om de aanvraag te weigeren, kijken we naar technische en operationele middelen. We kunnen sowieso niet ingaan op het verzoek als de klant zijn sleutels zelf heeft.”
Nog nooit in onze historiek hebben we publieke sectorgegevens overhandigd aan eender welke overheid.
Frank Callewaert, CTO Microsoft BeLux
“We rapporteren hier iedere zes maanden over. In de laatste zes maanden werden van 168 verzoeken met betrekking tot bedrijfsgegevens 95 onmiddellijk geweigerd. Bovendien komt slechts een fractie vanuit de Amerikaanse overheid: we krijgen ook veel vragen vanuit Europese landen zoals Frankrijk en Duitsland. Nog nooit in onze historiek hebben we publieke sectorgegevens overhandigd aan eender welke overheid”, stelt Callewaert gerust.
Een blijvend thema
Callewaert verwacht dat soevereiniteit niet snel meer zal gaan liggen. Hij stipt drie evoluties aan die de datastrategie van bedrijven onder druk zetten. “Het ritme van innovatie ging, aangedreven door generatieve AI, nooit zo snel. Dit geldt zowel voor de consumentenmarkt als in de zakelijke wereld. Organisaties willen de trein niet missen, maar die toepassingen hebben veel data nodig. Ten tweede is er het wettelijk kader met bijhorende conformiteitseisen, die de adoptie soms kunnen vertragen.”
De derde en misschien wel meest ingrijpend evolutie, is de actuele geopolitieke onzekerheid. “De huidige situatie creëert vragen die voorheen misschien niet gesteld werden. Het is goed dat bedrijven en overheden ermee bezig zijn en dingen in vraag durven stellen. Microsoft is niet doof gebleven voor die bezorgdheden”, besluit Callewaert.