De discussie over digitale soevereiniteit in Europa wordt vaak gevoerd vanuit één centrale vraag: waar staan de data? Volgens SAP is dat een belangrijk, maar onvolledig uitgangspunt. Een datacenter in Europa volstaat niet automatisch om een cloud-omgeving soeverein te maken. Omgekeerd betekent het gebruik van een Amerikaanse hyperscaler volgens het bedrijf niet noodzakelijk dat soevereiniteit uitgesloten is.

Martin Merz, president SAP Sovereign Cloud, stelt dat het debat daardoor te vaak rond infrastructuur blijft hangen. Volgens hem moeten organisaties vooral kijken naar de voorwaarden die nodig zijn om gevoelige data en kritieke processen veilig en controleerbaar naar de cloud te brengen.

SAP baseert zich daarbij op twintig jaar ervaring met zogenoemde trusted deployments voor overheden en veiligheidsdiensten. Het bedrijf werkte al sinds de vroege jaren 2000 met de Amerikaanse federale overheid aan dergelijke omgevingen en breidde die ervaring later uit naar onder meer Australië, Canada, Duitsland, Nederland en Frankrijk. Elk land voegde eigen eisen toe, waardoor SAP naar eigen zeggen een gehard raamwerk ontwikkelde voor soevereine cloud-implementaties.

Vier dimensies van soevereiniteit

Volgens SAP bestaat cloud-soevereiniteit uit vier dimensies. De eerste is data-soevereiniteit. Daarbij blijven data en metadata binnen een bepaald land of een bepaalde regio. Dat moet vermijden dat gevoelige informatie onbedoeld onder andere jurisdicties valt of via replicatieprocessen buiten het afgesproken kader terecht komt.

De tweede dimensie is operationele soevereiniteit. Die draait om de vraag wie toegang krijgt tot systemen en data. Voor bepaalde omgevingen mogen enkel medewerkers met de juiste nationaliteit, screening of veiligheidsmachtiging toegang krijgen. Zeker voor defensie, overheden en veiligheidsdiensten is dat een cruciale voorwaarde.

De derde dimensie is technische soevereiniteit. Daarbij wijst SAP onder meer op de locatie van de control plane van de cloud-omgeving. Die control plane regelt beheer, updates en toegangsrechten. Volgens Merz moet ook dat beheer onder nationale controle kunnen vallen, in plaats van afhankelijk te zijn van een centraal systeem elders.

De vierde dimensie is juridische soevereiniteit. Daarbij gaat het om het rechtskader waaronder de cloud-omgeving valt. Organisaties moeten erop kunnen vertrouwen dat hun gevoelige data en processen binnen het afgesproken nationale of regionale juridische kader blijven.

Officiële erkenning blijft noodzakelijk

Volgens SAP volstaat het niet dat een aanbieder zelf zegt aan deze vier voorwaarden te voldoen. Een cloud-omgeving kan pas echt als soeverein worden beschouwd wanneer een nationale cybersecurity-autoriteit dat bevestigt.

Welke onderliggende infrastructuur wordt gebruikt, is volgens Merz minder doorslaggevend dan vaak wordt aangenomen. Dat kan SAP’s eigen infrastructuur zijn, maar ook een Amerikaanse hyperscaler of zelfs de datacenters van de klant zelf. Als de bevoegde nationale autoriteit bevestigt dat de omgeving voldoet aan de eisen voor soevereiniteit, kan ze volgens SAP als soevereine cloud worden ingezet.

Die benadering botst soms met het Europese debat, waarin digitale soevereiniteit vaak wordt gekoppeld aan het weren van Amerikaanse technologie. Merz zegt die gevoeligheid te begrijpen maar ziet een principiële uitsluiting van bepaalde infrastructuur niet als de meest productieve strategie.

Multi-cloud als veiligheidsnet

Volgens SAP moet soevereiniteit vooral worden bekeken vanuit weerbaarheid. Organisaties moeten voorbereid zijn op geopolitieke, juridische of technologische veranderingen. Een cloud-strategie die volledig afhankelijk is van één leverancier, creëert daarbij nieuwe kwetsbaarheden.

Daarom ziet SAP een multi-cloudstrategie niet als een compromis maar als een manier om digitale soevereiniteit praktisch vorm te geven. Een organisatie kan vandaag kiezen voor een hyperscaler omwille van technologische voordelen en tegelijk een Europees of eigen alternatief opbouwen. Die opties hoeven elkaar volgens SAP niet uit te sluiten.

Merz stelt dat organisaties scenario’s moeten voorbereiden vóór ze nodig zijn. De vraag is niet alleen of een cloud-omgeving vandaag voldoet aan de regels maar ook wat er gebeurt wanneer een leverancier wegvalt, een geopolitieke situatie verandert of een nieuw juridisch risico ontstaat.

Van compliance naar strategie

SAP waarschuwt ervoor om soevereiniteit te behandelen als een eenmalig compliance-vinkje. Een certificaat of erkenning is belangrijk, maar vervangt geen bredere strategie. Organisaties moeten concreet kunnen antwoorden op vragen over toegang, rechtsmacht, databeheer, operationele controle en alternatieven.

Die vragen worden urgenter door de opkomst van artificiële intelligentie. AI-toepassingen zijn afhankelijk van betrouwbare, beschikbare en juridisch veilige data. Wanneer organisaties AI willen inzetten in kritieke processen, wordt controle over data en infrastructuur een randvoorwaarde.

Volgens Merz produceert Europa enorme hoeveelheden data maar blijft het grootste deel daarvan onbenut. De uitdaging ligt daarom niet alleen in het bouwen van nieuwe digitale infrastructuur maar vooral in het veilig en gecontroleerd omzetten van bestaande data in innovatie en concurrentiekracht.

Soevereiniteit als voorwaarde voor innovatie

Voor SAP is digitale soevereiniteit geen rem op innovatie maar een noodzakelijke basis. Zonder controle over data, toegang, infrastructuur en juridische context wordt het moeilijk om AI op grote schaal toe te passen in gevoelige of bedrijfskritieke processen.

Dat geldt niet alleen voor overheden, defensiebedrijven of veiligheidsdiensten. Ook ondernemingen die afhankelijk zijn van data voor hun kernprocessen moeten nadenken over beschikbaarheid, betrouwbaarheid en juridische kwetsbaarheid. In die context wordt cloud-soevereiniteit steeds minder een niche-thema en steeds meer een strategische voorwaarde voor digitale transformatie.

Meer info: 0800/50.550 of https://www.sap.com

(+ VISUAL)

(Martin Merz, president SAP Sovereign Cloud)

dVO Signals

Wie kan kopen van SAP of gelijkaardige cloud- en soevereiniteitsoplossingen?

• Overheden en publieke instellingen
  • Organisaties met gevoelige data, wettelijke bewaarplichten en strikte toegangsvereisten kunnen nood hebben aan soevereine cloud-omgevingen.
  • Relevante rollen: cio, ciso, secretaris-generaal, dataverantwoordelijke, hoofd IT-infrastructuur.
• Defensie-, veiligheids- en kritieke infrastructuurspelers
  • Organisaties die exact moeten weten wie toegang heeft tot systemen, onder welke jurisdictie data vallen en hoe continuïteit wordt gegarandeerd.
  • Relevante rollen: security officer, compliance manager, risk manager, IT-architect.
• Grote ondernemingen met gevoelige bedrijfsdata
  • Banken, verzekeraars, energiebedrijven, telecomspelers, farma en industriebedrijven kunnen soevereiniteit bekijken als onderdeel van risicobeheer en AI-strategie.
  • Relevante rollen: cio, chief data officer, chief risk officer, legal counsel.
• Bedrijven die AI willen opschalen
  • Ondernemingen die AI willen inzetten in kernprocessen moeten hun data governance, toegangsbeheer en cloud-architectuur sterker onder controle krijgen.
  • Relevante rollen: AI lead, data governance manager, enterprise architect, business transformation lead.
• Organisaties met multi-cloud ambities
  • Bedrijven die afhankelijkheid van één leverancier willen verminderen, kunnen investeren in alternatieve cloud-scenario’s en exit-strategieën.
  • Relevante rollen: cloud architect, procurement director, IT strategy manager.

Wie kan aan deze organisaties verkopen?

• Cloud- en SAP-integratiepartners
  • De vraag naar soevereine cloud-omgevingen creëert kansen voor partijen die SAP-landschappen, hyperscalers en private cloud-omgevingen kunnen integreren.
  • Relevante prospectrollen: cio, SAP program manager, enterprise architect.
• Cybersecurity-bedrijven
  • Toegangsbeheer, monitoring, logging, incidentrespons en security audits worden belangrijker naarmate cloud-soevereiniteit strategischer wordt.
  • Relevante prospectrollen: ciso, security operations manager, compliance officer.
• Data governance- en compliance consultants
  • Organisaties zullen hulp nodig hebben bij data-soevereiniteit, meta-data, data-classificatie, toegangsregels en lifecycle-beheer.
  • Relevante prospectrollen: chief data officer, privacy officer, legal counsel.
• Juridische kantoren en gespecialiseerde legal advisors
  • Juridische soevereiniteit vraagt advies rond contracten, rechtsmacht, data-doorgifte, cloud-voorwaarden en aansprakelijkheid.
  • Relevante prospectrollen: general counsel, dpo, procurement manager.
• Audit- en certificatiepartners
  • Aangezien officiële erkenning door nationale autoriteiten cruciaal is, ontstaat vraag naar begeleiding bij audits, certificering en documentatie.
  • Relevante prospectrollen: risk manager, internal auditor, compliance director.
• Multi-cloud- en exit strategie-consultants
  • Organisaties die niet afhankelijk willen worden van één cloud provider, hebben nood aan architectuuradvies, migratiescenario’s en continuïteitsplanning.
  • Relevante prospectrollen: cto, cloud architect, business continuity manager.
• AI-consultants met governance-expertise
  • AI-projecten verschuiven van experiment naar kritieke toepassing. Leveranciers die AI combineren met data governance en controleerbaarheid kunnen inspelen op die behoefte.
  • Relevante prospectrollen: AI lead, coo, transformation director.

Ecosysteemsignalen

• Cloud-soevereiniteit wordt breder dan datacenter-locatie
  • De discussie verschuift van “waar staat de server?” naar “wie heeft toegang, onder welke wetgeving, met welke controle en welke alternatieven?”.
• Cybersecurity-autoriteiten krijgen een sleutelrol
  • Officiële erkenning door nationale instanties wordt belangrijker in de beoordeling van soevereine cloud-omgevingen.
• Multi-cloud wordt strategisch risicobeheer
  • Organisaties kunnen multi-cloud inzetten als verzekering tegen geopolitieke, juridische of technologische afhankelijkheid.
• AI maakt soevereiniteit urgenter
  • Naarmate AI dieper in kernprocessen komt, wordt controle over data, toegang en infrastructuur belangrijker voor betrouwbaarheid en schaalbaarheid.
• Compliance alleen volstaat niet meer
  • Organisaties hebben niet genoeg aan certificaten. Ze moeten scenario’s klaar hebben voor leveranciersuitval, veranderende wetgeving of geopolitieke spanningen.
• Tertiaire sector krijgt nieuwe advieskansen
  • Banken, verzekeraars, juridische kantoren, audit-bedrijven, HR-dienstverleners en management consultants kunnen soevereiniteit koppelen aan risicobeheer, governance, continuïteit en digitale transformatie.
• Europese technologiepolitiek beïnvloedt aankoopbeslissingen
  • De spanning tussen technologische prestaties, Europese autonomie en afhankelijkheid van hyperscalers zal aankooptrajecten in IT en cloud sterker kleuren.