Deze maand blokkeerde het kabinet de verkoop van Solvinity, de hoster achter DigiD, aan een Amerikaanse koper. Diezelfde week vroeg Tweakers rond wat een "soevereine cloud" nu eigenlijk is. Niemand kon een sluitend antwoord geven.
Gartner zei het in mei op een congres zonder omhaal: een volledig soevereine cloud kan alleen bestaan als je Amerikaans of Chinees bent. Dat zijn de enige twee plekken waar elke laag van de stack wordt gemaakt. De chips, de routers, de opslag. Het eerlijke antwoord op "is jouw cloud soeverein?" is dus nee. De onze niet, en die van niemand buiten de Verenigde Staten of China.
Daarom gaan wij niet mee in de soevereiniteitsmanie. (Mooi voor Scrabble, dat dan weer wel.) De vragen die eronder liggen zijn wél terecht, en daar voeren we liever een eerlijk gesprek over.
Een woord dat alles betekent
Op dit moment schrijven meerdere Nederlandse overheidsinstanties ieder hun eigen definitie. DICTU heeft er een. Het ministerie van Economische Zaken werkt aan een definitie voor het kabinet, toegezegd aan de Tweede Kamer voor de eerste helft van 2026. De Algemene Rekenkamer hanteert weer een andere. De VNG, voor de gemeenten, heeft er een die in juni de openbare consultatie ingaat. De EU heeft een raamwerk met acht punten, alleen verplicht voor de Commissie zelf bij aanbestedingen.
Champagne heeft een wettelijke definitie. Het moet uit één streek in Frankrijk komen. Voor Zwitserse horloges geldt hetzelfde, tot aan het deel van de kosten dat in Zwitserland gemaakt moet zijn. "Soevereine cloud" heeft niets van dat alles. De Amerikaanse hyperscalers verkopen er toch allemaal een. Een label dat iedereen past, zegt niets.
Wat we niet kunnen beloven
Onze servers draaien op Intel en AMD. De schijven en opslag zijn net zo goed buitenlands, al staat een schijf vooral bytes te bewaren. De netwerkapparatuur verwerkt je verkeer, en daar weegt de keuze dus zwaarder: die zijn we aan het overzetten naar MikroTik, gebouwd in Letland, binnen de EU. Zelfs dan komen de chips op die printplaten uit Azië. Dat maken we niet zelf, en bijna niemand doet dat. (De koffiebonen trouwens ook niet. Soevereiniteit kent grenzen.)
We zijn ook geen hyperscaler. Drie locaties in Nederland, geen dertig regio's over de hele wereld. Geen wereldwijd edge-netwerk, geen oneindige schaal om drie uur 's nachts, met bijbehorende oneindige rekening. Heb je dat nodig, dan zijn wij niet de juiste keuze, en dat zeggen we dan ook gewoon.
De hardware die we draaien, is van onszelf. Een groot deel is refurbished, door ons geracked en onderhouden. Geen VM's die je per uur huurt van een bedrijf dat onder een buitenlandse rechter valt.
Welke risico's beheer je?
Haal het woord weg en het komt neer op risicobeheer. Welk risico wil je eigenlijk afdekken? Een paar nuchtere vragen bepalen dat, en die kunnen we beantwoorden.
Wie kan er juridisch bij je data? Dit is de belangrijkste, en juist degene die de marketing overslaat. Een aanbieder met een Amerikaanse eigenaar valt onder de Amerikaanse CLOUD Act. Die wet laat Amerikaanse diensten gegevens opvragen bij Amerikaanse bedrijven, ook als de servers in Amsterdam staan. De Algemene Rekenkamer zei het zonder omhaal: servers van Amerikaanse bedrijven op EU-grondgebied zijn geen garantie voor de soevereiniteit van de data. Wij zijn een Nederlands bedrijf met Nederlandse eigenaren. Er is geen buitenlands moederbedrijf waar een buitenlandse rechter druk op kan zetten.
Waar staat je data fysiek? De onze staat in Naaldwijk en Amsterdam, op machines die we zelf bezitten en racken. Je kunt weten in welk gebouw. Dat klinkt vanzelfsprekender dan het is, want de meeste clouds halen die lat niet.
Kun je weer weg? De Auditdienst Rijk waarschuwde twee jaar geleden dat de overheid geen echte exitstrategie had voor haar cloudcontracten. De Rekenkamer constateerde hetzelfde: het Rijk ging de cloud in zonder de weg terug te doordenken. Het is jouw data. Wij geven die terug in een vorm waar je mee verder kunt, en we vertellen vooraf hoe dat gaat.
Het eerlijke antwoord
Niets daarvan heeft het woord "soeverein" nodig. Het vraagt alleen dat je weet wie er bij je data kan, waar die fysiek staat, en hoe je weggaat als je dat ooit wilt. Dat is risicobeheer, en de afweging is aan jou. Wij beantwoorden die vragen liever dan dat we een label verkopen dat de overheid zelf nog niet eens kan definiëren.
Draai je een Java-platform en wil je een helder antwoord op waar je data staat en wie erbij kan? Plan een gesprek.