ICT-contracten

Wat is het ‘Cloud Sovereignty Framework’?

Joris Deene
2 weken geleden
242 keer bekeken
5 minuten leestijd

De Europese Commissie heeft een nieuw ‘Kader voor cloudsoeverniteit’ (Cloud Sovereignty Framework) gepubliceerd, een document dat een vage politieke term – ‘soevereiniteit’ – omzet in een concrete, meetbare en afdwingbare set van regels. Dit raamwerk is niet zomaar een beleidsnota; het wordt onmiddellijk toegepast in een aanbestedingsprocedure van 180 miljoen euro voor clouddiensten voor alle EU-instellingen. Deze stap is een duidelijk signaal: voor de EU is digitale soevereiniteit geen abstract ideaal meer, maar een harde contractuele eis.

Waarom een nieuw framework voor cloudsoevereiniteit?

Tot nu toe was “soevereiniteit” in de context van clouddiensten een containerbegrip. Het riep vragen op over datalocatie, de impact van buitenlandse wetgeving (zoals de Amerikaanse Cloud Act) en de afhankelijkheid van niet-Europese technologieleveranciers.

Voor overheden en publieke instellingen is deze onduidelijkheid een significant juridisch en strategisch risico. Het nieuwe framework van de Commissie, ontwikkeld door het Directoraat-Generaal Digitale Diensten, heeft tot doel deze ambiguïteit weg te nemen. Het biedt een uniforme meetlat om te bepalen in welke mate een clouddienst daadwerkelijk onder Europese controle staat.

Het framework is gebaseerd op bestaande Europese initiatieven zoals GAIA-X en het ENISA-cybersecuritykader.

De 8 pijlers van soevereiniteit

De kern van het framework wordt gevormd door acht ‘Sovereignty Objectives’ (Soevereiniteitsdoelstellingen). Een leverancier wordt niet langer enkel beoordeeld op dataopslag, maar op een veel breder en diepgaander spectrum:

  1. Strategische soevereiniteit (SOV-1): De mate waarin de provider verankerd is in het juridische, financiële en industriële ecosysteem van de EU (bv. eigendomsstructuur, bestuur).
  2. Juridische & jurisdictionele soevereiniteit (SOV-2): De blootstelling aan buitenlandse wetgeving (zoals de US Cloud Act) en de afdwingbaarheid van Europese rechten.
  3. Data & AI-soevereiniteit (SOV-3): De mate van controle die klanten hebben over hun data en AI-modellen, inclusief waar data wordt verwerkt.
  4. Operationele soevereiniteit (SOV-4): De praktische mogelijkheid om de technologie onafhankelijk van buitenlandse controle te beheren, ondersteunen en onderhouden.
  5. Soevereiniteit van de toeleveringsketen (SOV-5): De transparantie en herkomst van kritieke componenten (hardware en software) en de mate van EU-controle hierop.
  6. Technologische soevereiniteit (SOV-6): De onafhankelijkheid van de onderliggende technologie, gericht op open standaarden en het vermijden van ‘vendor lock-in’.
  7. Soevereiniteit op het gebied van beveiliging & compliance (SOV-7): De garantie dat beveiligingsoperaties (zoals Security Operations Centers) en compliance-controles uitsluitend onder EU-jurisdictie vallen.
  8. Ecologische duurzaamheid (SOV-8): De autonomie en veerkracht op lange termijn met betrekking tot energieverbruik en de schaarste van grondstoffen.

Van “geen” tot “volledige” soevereiniteit: de 5 SEAL-niveaus

Het framework definieert vervolgens vijf ‘Sovereignty Effectiveness Assurance Levels’ (SEALs) om de mate van soevereiniteit te classificeren. Dit laat zien dat soevereiniteit geen binaire ‘ja/nee’-vraag is, maar een glijdende schaal:

  • SEAL-0 (Geen soevereiniteit): Volledige controle door niet-EU-partijen.
  • SEAL-1 (Jurisdictionele soevereiniteit): EU-recht is formeel van toepassing, maar in de praktijk beperkt afdwingbaar.
  • SEAL-2 (Datasoevereiniteit): EU-recht is afdwingbaar, maar er blijven materiële niet-EU-afhankelijkheden bestaan.
  • SEAL-3 (Digitale veerkracht): EU-actoren hebben zinvolle invloed, maar er is nog steeds marginale controle door niet-EU-partijen.
  • SEAL-4 (Volledige digitale soevereiniteit): Technologie en operaties staan volledig onder EU-controle, zonder kritieke niet-EU-afhankelijkheden.

In de aanbestedingsprocedure stelt de Commissie voor elke van de acht doelstellingen een minimum SEAL-niveau in. Inschrijvers die dit minimumniveau niet halen, worden uitgesloten.

De ‘Sovereignty Score’: een gewogen formule

Naast de minimale SEAL-drempels, gebruikt de Commissie een ‘Sovereignty Score’ als gunningscriterium om de offertes kwalitatief te rangschikken. Deze score wordt berekend met een formule die de acht doelstellingen een verschillend gewicht toekent:

  • Operationele soevereiniteit (SOV-4): 20%
  • Soevereiniteit van de toeleveringsketen (SOV-5): 20%
  • Strategische soevereiniteit (SOV-1): 15%
  • Technologische soevereiniteit (SOV-6): 15%
  • Juridische soevereiniteit (SOV-2): 10%
  • Data & AI-soevereiniteit (SOV-3): 10%
  • Beveiliging & compliance (SOV-7): 10%
  • Ecologische duurzaamheid (SOV-8): 5%

De weging is veelzeggend. De Commissie kent het hoogste gewicht toe aan operationele en supply chain-onafhankelijkheid. De relatief lagere scores voor ‘Juridisch’ en ‘Beveiliging’ (elk 10%) worden in het document verklaard doordat deze domeinen al significant worden afgedekt door andere waarborgen in de aanbestedingsprocedure.

Analyse: de toekomst van het framework

Hoewel het framework momenteel is opgesteld voor één specifieke (maar zeer grote) aanbesteding, is de impact potentieel veel groter.

Ten eerste biedt het een antwoord op de scepsis rond ‘soevereiniteitsformules’. Hoewel de nauwkeurigheid van dergelijke formules in inkooptrajecten altijd ter discussie kan staan, ligt de ware waarde van dit framework niet in de formule zelf, maar in de gedetailleerde definitie van de acht doelstellingen en hun ‘contributing factors’. Het dwingt leveranciers om kleur te bekennen over hun eigendomsstructuur , de herkomst van hun hardware , de locatie van hun supportteams en hun afhankelijkheid van niet-EU-software.

Ten tweede zal dit kader vrijwel zeker gaan fungeren als een de facto benchmark. Andere Europese, nationale en lokale overheden die worstelen met dezelfde soevereiniteitsvragen, hebben nu een gedetailleerd en doordacht referentiekader dat ze kunnen kopiëren of waarop ze zich kunnen baseren voor hun eigen aanbestedingen.

Dit framework is ontworpen om de Europese cloudmarkt richting te geven en ‘soevereiniteitswashing’ tegen te gaan. Zowel Europese als niet-Europese cloudleveranciers die zaken willen doen met de publieke sector in de EU, zullen hun diensten langs deze meetlat moeten leggen.

Conclusie

Het ‘Cloud Sovereignty Framework’ van de Europese Commissie is een belangrijke stap. Het transformeert een abstract politiek concept naar een concrete set van juridische, technische en operationele vereisten. Voor cloudleveranciers definieert het de spelregels voor de komende jaren. Voor publieke instellingen in België biedt het een krachtig instrument om controle over hun digitale infrastructuur te waarborgen en juridische risico’s te beheersen.

Heeft u vragen over de juridische implicaties van cloudcontracten, IT-aanbestedingen of de impact van dit soevereiniteitskader op uw dataverwerking? Onze advocaten, gespecialiseerd in IT-recht, aanbestedingsrecht en gegevensbescherming (AVG), staan klaar om uw dossier te analyseren. Neem vrijblijvend contact op voor een eerste advies.

Joris Deene

Advocaat-partner bij Everest Advocaten

Bekijk alle posts

Misschien vind je dit ook leuk

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics