De DICTU, een van de grootste ICT-dienstverleners binnen de overheid, biedt een toetsingsinstrument om clouddiensten systematisch te beoordelen op digitale soevereiniteit. Het instrument werkt met vijf dimensies — juridisch, data & AI, technologie, operationeel en mens, elk met vijf soevereiniteitsniveaus. Aanleiding is de groeiende afhankelijkheid van de Amerikaanse hyperscalers Microsoft, Google en Amazon.

Meer dan 70 procent van de wereldwijde cloudmarkt is in handen van Amerikaanse aanbieders. Voor DICTU, de IT-uitvoeringsorganisatie van het Rijk, is die concentratie een reëel risico. Daarom publiceert DICTU een toetsingsinstrument waarmee clouddiensten objectief, transparant en herhaalbaar beoordeeld kunnen worden op digitale soevereiniteit. Het instrument is bedoeld voor gebruik bij aanbestedingen en selectieprocedures voor overheidsdiensten.

Het toetsingsinstrument combineert elementen uit het EuroStack-initiatief en het Cloud Sovereignty Framework van de Europese Commissie. DICTU voegt aan die Europese kaders een vijfde dimensie toe: ‘Mens’. Daarmee wijkt het instrument bewust af van EuroStack, dat een economische dimensie hanteert. De vijf dimensies samen vormen de definitie van een soevereine clouddienstverlener voor Europa.

Vijf dimensies, elk met vijf soevereiniteitsniveaus

Elke dimensie kent een eigen hoofdvraag en vijf oplopende soevereiniteitsniveaus. Bij de juridische dimensie draait het om de vraag aan welk rechtssysteem de aanbieder verantwoording schuldig is. Een lokale EU-vestiging is daarbij niet voldoende. Het moederbedrijf én het hoofdkantoor moeten juridisch in de EU gevestigd zijn. Bescherming tegen extraterritoriale wetgeving als de Amerikaanse CLOUD Act geldt als harde randvoorwaarde.

Bij data & AI gaat het om controle over waar data fysiek opgeslagen wordt, wie toegang heeft en of encryptie technisch afdwingbaar is, ook voor de aanbieder zelf. Het hoogste niveau vereist volledige cryptografische isolatie via HYOK en confidential computing. De technologiedimensie beoordeelt of open standaarden en opensource worden gebruikt, waarmee vendor lock-in wordt voorkomen. Operationeel bekijkt het instrument of de volledige infrastructuur en control plane fysiek binnen de EU/EER/EFTA vallen en uitsluitend door Europees personeel worden beheerd. De mensendimensie ten slotte toetst screening, certificering en de capaciteit van personeel om soevereine cloudomgevingen zelfstandig te bouwen en door te ontwikkelen.

Tip: Overheid laat juristen AWS Sovereign Cloud onderzoeken: beperkt soeverein