Met de introductie van het Europese Cloud Sovereignty Framework wordt voor het eerst digitale soevereiniteit niet alleen geanalyseerd, maar ook gestandaardiseerd en afdwingbaar gemaakt. De kern daarvan is het model van de Sovereignty Effectiveness Assurance Levels, kortweg SEAL.
Het belang daarvan is moeilijk te overschatten. Waar organisaties tot nu toe afhankelijk waren van interpretaties, benchmarks en soms zelfs marketingclaims, ontstaat er nu een gemeenschappelijke taal die zowel technisch als bestuurlijk bruikbaar is.
Van abstract naar meetbaar
De Europese Commissie heeft het Cloud Sovereignty Framework ontwikkeld om digitale soevereiniteit concreet en toetsbaar te maken. Het model definieert acht samenhangende dimensies, variërend van juridische controle en operationele autonomie tot supply chain-transparantie en technologische onafhankelijkheid.
Binnen dat raamwerk fungeren de SEAL-levels als de ondergrens. Het zijn vijf oplopende niveaus die aangeven in welke mate een cloudoplossing daadwerkelijk onder Europese controle staat. Die niveaus lopen van volledige afhankelijkheid van niet-Europese partijen tot een situatie waarin technologie, operatie en governance volledig binnen de Europese jurisdictie vallen.
Wat hier wezenlijk verandert, is dat soevereiniteit niet langer wordt beoordeeld als een losse eigenschap, maar als een samenhangend geheel van controlemechanismen. Daarmee verschuift de discussie van ‘staat de data in Europa?’ naar ‘wie heeft aantoonbaar zeggenschap over het systeem als geheel?’.
Soevereiniteit is geen ja/nee-vraag
Een van de sterkste aspecten van SEAL is dat het expliciet erkent dat soevereiniteit gradueel is. In de praktijk bevinden de meeste cloudoplossingen zich ergens tussen volledige afhankelijkheid en volledige autonomie.
Aan de onderkant van de schaal, bij SEAL-0, is er sprake van volledige controle door niet-Europese partijen en ontbreekt effectieve Europese juridische afdwingbaarheid. Bij SEAL-1 geldt Europese wetgeving formeel wel, maar blijft de feitelijke controle buiten Europa liggen.
Het middengebied, met name SEAL-2 en SEAL-3, weerspiegelt de huidige realiteit van de markt. Bij SEAL-2 is Europese wetgeving afdwingbaar, maar bestaan er nog materiële afhankelijkheden van niet-Europese technologie of leveranciers. Bij SEAL-3 verschuift de balans: Europese partijen hebben hier aantoonbare operationele en bestuurlijke invloed, maar er blijven marginale afhankelijkheden bestaan.
Organisaties hoeven niet per definitie naar volledige autonomie te streven
Pas bij SEAL-4 is sprake van volledige digitale soevereiniteit, waarbij de gehele keten, van hardware tot software en governance, binnen Europa wordt gecontroleerd. Dat niveau wordt in de praktijk nauwelijks gehaald, wat precies de bedoeling is: het model legt de lat bewust hoog om richting te geven aan de markt.
Deze gelaagdheid maakt het mogelijk om genuanceerde keuzes te maken. Organisaties hoeven niet per definitie naar volledige autonomie te streven, maar kunnen bewust bepalen welk niveau past bij hun risicoprofiel en maatschappelijke rol.
SEAL-2 als minimale ondergrens
Wat in de eerste toepassing van het Europese framework direct opvalt, is dat de lat niet op volledige soevereiniteit ligt. In recente Europese aanbestedingen is SEAL-2 als minimale ondergrens gehanteerd. Dat niveau garandeert dat Europese wetgeving afdwingbaar is, maar laat tegelijkertijd expliciet ruimte voor afhankelijkheden van niet-Europese technologie en leveranciers.
Daarmee wordt een fundamentele keuze zichtbaar: digitale soevereiniteit wordt in de praktijk niet gedefinieerd als onafhankelijkheid, maar als controle binnen een context van afhankelijkheid. Voor organisaties is dat een cruciaal inzicht. Het betekent dat de vraag niet langer is óf afhankelijkheden bestaan, maar welke afhankelijkheden acceptabel zijn, en onder welke voorwaarden die bestuurbaar blijven.
SEAL is meer dan meetinstrument
De echte kracht van SEAL zit niet alleen in het classificeren van cloudoplossingen, maar in de manier waarop het wordt toegepast. Binnen het Europese framework functioneren de SEAL-levels als harde drempel in aanbestedingen. Leveranciers die het vereiste niveau niet halen, worden uitgesloten van deelname.
Soevereiniteit verandert van evaluatiecriterium achteraf naar selectiecriterium vooraf. Daarmee verandert soevereiniteit fundamenteel van een evaluatiecriterium achteraf naar een selectiecriterium vooraf. Het wordt onderdeel van de economische werkelijkheid van de markt.
Dit mechanisme heeft directe gevolgen voor hoe leveranciers hun diensten ontwerpen. Architectuurkeuzes, juridische structuren en operationele modellen worden niet langer alleen bepaald door schaal en efficiëntie, maar ook door de mate waarin ze bijdragen aan een hoger SEAL-niveau.
Voor organisaties betekent dit dat soevereiniteit niet langer een abstract risico is, maar een concrete ontwerpvariabele. De vraag verschuift van ‘is deze oplossing compliant?’ naar ‘op welk niveau van controle willen wij opereren?’.
Van analyse naar normering
In Nederland zijn de afgelopen tijd verschillende instrumenten ontwikkeld om digitale soevereiniteit inzichtelijk te maken. Het toetsingsinstrument voor clouddiensten van DICTU is daar een goed voorbeeld van. Dit model helpt organisaties om afhankelijkheden te analyseren op juridisch, technisch en organisatorisch niveau.
Wat dergelijke instrumenten vooral doen, is inzicht creëren. Ze maken zichtbaar waar risico’s zitten en welke afhankelijkheden bestaan in de keten. Maar ze geven geen eenduidig antwoord op de vraag wat ‘voldoende’ soevereiniteit is.
Daar voegt SEAL een cruciale laag aan toe. Het introduceert een referentiekader dat de uitkomsten van analyses vertaalt naar een gestandaardiseerd niveau. Daarmee ontstaat voor het eerst een directe koppeling tussen analyse en besluitvorming.
In de Nederlandse praktijk betekent dit dat organisaties hun bestaande tooling kunnen blijven gebruiken voor diepgaande analyse, maar de uitkomsten kunnen vertalen naar een SEAL-niveau dat bestuurlijk en strategisch hanteerbaar is.
Drie directe voordelen
De introductie van SEAL biedt organisaties drie directe voordelen. Allereerst maakt het vergelijking mogelijk. Cloudoplossingen kunnen op een uniforme manier naast elkaar worden gelegd, los van marketingclaims of interpretaties. Dit helpt CIO’s en architecten om keuzes te onderbouwen met een objectief referentiepunt.
Daarnaast maakt het sturing mogelijk. Door een gewenst SEAL-niveau te definiëren, kunnen organisaties hun sourcing-strategie expliciet richten op een bepaald niveau van autonomie en risicobeheersing. Dit is met name relevant in sectoren waar continuïteit en compliance zwaar wegen, zoals de overheid, financiële dienstverlening en energie.
Ten slotte maakt het verantwoording mogelijk. Omdat SEAL is gekoppeld aan concrete criteria en evidence-based beoordeling, kunnen organisaties beter aantonen hoe zij omgaan met digitale afhankelijkheden. Dit sluit aan bij de groeiende behoefte aan transparantie vanuit toezichthouders en auditors. In die zin fungeert SEAL niet alleen als meetinstrument, maar ook als communicatiemiddel tussen bestuur, IT en compliance.
Bruikbaar ecosysteem
Hoewel SEAL een centrale rol gaat spelen, staat het niet op zichzelf. Juist in combinatie met bestaande tools ontstaat een bruikbaar ecosysteem. Analyse-instrumenten zoals het DICTU-model brengen afhankelijkheden gedetailleerd in kaart. Commerciële frameworks zoals die van Forrester positioneren soevereiniteit binnen bredere strategische keuzes. Technische maturity-scans van leveranciers als SUSE helpen om concrete verbeterstappen te identificeren.
Daarnaast ontstaan er initiatieven die proberen soevereiniteit te kwantificeren of te visualiseren, bijvoorbeeld via indexen of scoringsmodellen. Deze benaderingen vullen elkaar aan, maar missen vaak een gemeenschappelijke standaard. SEAL fungeert precies als die verbindende laag. Het biedt een uniforme schaal die de uitkomsten van al deze instrumenten vertaalt naar een gedeelde taal.
Eenvoud, diepgang en afdwingbaarheid
De effectiviteit van SEAL ligt in de combinatie van drie eigenschappen. Het model is eenvoudig genoeg om bestuurlijk te begrijpen. Vijf niveaus maken het mogelijk om complexe technische en juridische vraagstukken terug te brengen tot een hanteerbare schaal. Tegelijkertijd is het inhoudelijk diep genoeg om betekenisvol te zijn. Achter elk niveau schuilen uitgebreide criteria die betrekking hebben op governance, technologie en supply chains. Maar doorslaggevend is dat het model direct gekoppeld is aan besluitvorming. Omdat SEAL wordt gebruikt in aanbestedingen en selectieprocessen, heeft het directe impact op markttoegang en concurrentie. Dat maakt het geen theoretisch framework, maar een instrument dat daadwerkelijk gedrag in de markt verandert.
Van inzicht naar regie
Digitale soevereiniteit ontwikkelt zich razendsnel van een abstract beleidsdoel naar een concreet stuurmechanisme. Waar organisaties eerst vooral zochten naar inzicht, ontstaat nu de mogelijkheid om daadwerkelijk te sturen op het gewenste niveau van controle en autonomie. De combinatie van bestaande analysetools en het Europese SEAL-model maakt dat voor het eerst mogelijk. Analyse zonder normering blijft vrijblijvend.
Normering zonder analyse blijft oppervlakkig. Samen vormen ze de basis voor volwassen besluitvorming. Voor Nederlandse organisaties ligt hier een duidelijke kans. Door deze instrumenten slim te combineren, kunnen zij niet alleen voldoen aan Europese kaders, maar ook zelf regie nemen over hun digitale afhankelijkheden.
(de volledige versie van dit artikel van Sander Hulsman verscheen eerder op DSRNews.eu)
