Cloudsoevereiniteit en AI-versnelling: de botsing die niemand benoemt

Beide opdrachten zijn urgent, niet te vermijden en nadrukkelijk met elkaar verbonden. Toch behandelen de meeste organisaties ze als parallelle werkstromen: het AI-team versnelt op infrastructuur, terwijl het security- en complianceteam een soevereiniteitsstrategie uitwerkt. Twee sporen, twee stuurgroepen, twee tijdlijnen. Tot ze botsen.

Onze overtuiging: wie cloudsoevereiniteit en het versnellen met AI niet als een geïntegreerd strategisch vraagstuk behandelt, bouwt aan een innovatiekloof die hij niet meer kan dichten.

Koploper en kwetsbaarder: de Nederlandse paradox

Nederland is de meest cloudvolwassen markt in Europe, Midden-Oosten en Azië. De cijfers uit PwC's EMEA Cloud Business Survey 2025 spreken voor zich:

• 39 procent van de Nederlandse organisaties rapporteert hoge cloudvolwassenheid, tegenover 25 procent in de rest van EMEA.
• 67 procent past FinOps (financial operations) toe op AI-processen, bijna het dubbele van het Europese gemiddelde van 39 procent.
• 48 procent moderniseert data-architecturen voor ‘cloud-native’ analyses, versus 35 procent elders.

Indrukwekkende cijfers, maar ze vertellen een ongemakkelijk verhaal zodra je de soevereiniteitslaag ernaast legt. Want elke stap voorwaarts in cloudvolwassenheid is tegelijkertijd een stap dieper in afhankelijkheid. Elk AI-proces dat gebouwd is op een niet-Europees AI-model en draait op een niet-Europese ‘hyperscaler’, verdiept de operationele en softwarematige vervlechting. Hoe verder je bent op de cloudreis, hoe meer je moet ontwarren als de geopolitieke context dat vereist.

De meeste organisaties ervaren dit niet als probleem, juist omdat ze zo goed geïntegreerd zijn. Maar integratie is niet hetzelfde als controle. Het is vaak het tegenovergestelde.

Drie lagen van soevereiniteit en de blinde vlek

Als bestuurders over cloudsoevereiniteit spreken, gaat het gesprek vrijwel altijd over datalocatie. ‘Staan onze data in Frankfurt? In Dublin? Dan zitten we goed.’ Ze vergeten alleen dat dit slechts één van de drie lagen van soevereiniteit is.  

Laag 1 - Datasoevereiniteit: waar bevinden mijn data zich?

Veel organisaties stoppen hier. Maar als een Amerikaanse partij de servers beheert waarop die data staan, kunnen er alsnog juridische claims op worden gelegd via de Amerikaanse Cloud Act; ongeacht de fysieke locatie. Datalocatie is noodzakelijk, maar volstrekt onvoldoende.

Laag 2 - Operationele soevereiniteit: wie heeft toegang tot en controle over de systemen?

Dit is de laag waar de echte kwetsbaarheid begint. Het gaat om de vraag of je de IT-infrastructuur, het beveiligingsbeleid en de operationele processen zelfstandig kunt beheren. Of herstel, toegangscontrole en continuïteit van bedrijfskritische applicaties gegarandeerd zijn zonder afhankelijkheid van buitenlandse operationele beslissingen. Als een ‘hyperscaler’ morgen door sancties wordt getroffen of servicevoorwaarden eenzijdig wijzigt, wie houdt dan de sleutel?

Laag 3 - Softwaresoevereiniteit: kan ik mijn applicaties onafhankelijk draaien?

De meeste organisaties adresseren de eerste laag, worstelen met laag twee en denken liever niet na over laag drie. Precies daar, op laag twee en drie, raakt de soevereiniteitsvraag de AI-versnelling het hardst.

Hoe AI-versnelling de soevereiniteitskloof systematisch vergroot

AI op schaal vereist drie dingen: een enorme rekenkracht, enorme datavolumes en een snel iteratief ontwikkelproces. De techgiganten leveren die als geen ander. Hun platformen zijn geoptimaliseerd voor precies deze combinatie; dat is hun bedrijfsmodel. Maar elke keer als je een AI-model traint, inzet en schaalt op hyperscaler-infrastructuur, groeit de afhankelijkheid op alle drie de lagen:

• Rekenkracht wordt operationeel onvervangbaar. Je AI draait niet zomaar ergens anders. De integratie met GPU-clusters, specifieke API's en platformdiensten maakt migratie niet alleen kostbaar; het maakt haar in veel gevallen operationeel ondenkbaar op korte termijn.
• Data-architecturen worden platformgebonden. Feature stores, ML-pipelines, monitoring-tooling en modelregistries raken steeds dieper verweven met de specifieke cloud-omgeving. Elke iteratie versterkt de koppeling.
• Snelheid zelf vergroot de afhankelijkheid. Hoe sneller je itereert - en dat is precies de belofte van AI - hoe meer propriëtaire diensten je consumeert. De weg terug wordt niet met elke maand moeilijker, maar met elke sprint.

Stel je het volgende voor: een Nederlandse financiële instelling traint een AI-model voor fraudedetectie op klantdata van Europese burgers. Het model draait op de infrastructuur van een Amerikaanse hyperscaler. De data staan in Europa (laag 1 geadresseerd). Maar de rekenkracht, de operationele omgeving en de onderliggende software worden beheerd vanuit de VS. Op een ochtend verandert het geopolitieke klimaat: nieuwe sancties, aangepaste servicevoorwaarden, een juridisch conflict over datatoegang. De data zijn Europees. De controle is het niet.

De uitweg: segmenteer radicaal

De oplossing is niet het volledig overstappen naar Europese alternatieven. De Europese markt heeft serieuze initiatieven, maar een overstap is makkelijker gezegd dan in de praktijk gedaan.

De oplossing is evenmin het negeren van soevereiniteit en blind doorversnellen op AI. Dat is een strategisch risico dat met elke geopolitieke escalatie groter wordt. De uitweg is radicaler segmenteren: per proces, per datalaag, per AI-toepassing één expliciete beslissing nemen over de balans tussen soevereiniteit en snelheid.

Licht elk proces op drie lagen door, niet op één. Stop met de reflex om alleen datalocatie te checken. Breng per AI-toepassing, per datapipeline, per operationeel systeem in kaart:

• Wie beheert de infrastructuur (laag 2)?
• Hoe afhankelijk is de applicatie van één leverancier (laag 3)?

Een AI-model op klantdata van Europese burgers heeft een fundamenteel ander soevereiniteitsprofiel dan een intern voorspellingsmodel op geanonimiseerde operationele data. Behandel ze dan ook anders.

Maak de afweging zichtbaar en bestuurlijk. Voor sommige AI-toepassingen is afhankelijkheid van een techgigant acceptabel, omdat de innovatiesnelheid het rechtvaardigt en het soevereiniteitsrisico beheersbaar is. Voor andere toepassingen breng je processen bewust onder Europese of hybride controle, ook als dat meer kost en trager gaat. Het cruciale punt: dit moet een gedocumenteerde bestuursbeslissing zijn (dit is ‘chefsache’), geen sluipende standaard die ontstaat doordat het AI-team kiest wat het snelst werkt.

Ontwerp voor portabiliteit; nu, niet later. Investeer in ‘containerisatie’, open standaarden en leveranciersneutrale architecturen. Niet als technische hygiëne, maar als strategische optionaliteit. De kosten van migratie over twee jaar worden vandaag bepaald door de architectuurkeuzes die je deze maand maakt.

Bouw de interne capabiliteiten die een gesegmenteerde omgeving vereist. Multicloud en hybride architecturen managen is fundamenteel anders dan single-cloud. Het vraagt om cloud-architecten die meerdere platformen beheersen, datagovernanceteams die per proces soevereiniteitsvereisten beoordelen, en een security-organisatie die over omgevingen heen opereert. Zonder deze vaardigheden is segmentatie een papieren exercitie.  

Vier vragen voor de eerstvolgende bestuursvergadering

De strategische keuzes over soevereiniteit en AI-versnelling horen niet thuis in een technisch overleg. Ze horen in de bestuurskamer. Vier vragen die daar morgen op tafel kunnen liggen:

1. Welke van onze AI-processen creëren op dit moment onzichtbare afhankelijkheden op laag twee en drie? Niet waar onze data staan, maar wie onze systemen beheert en of we onze applicaties onafhankelijk kunnen draaien. Als niemand in de organisatie deze vraag met precisie kan beantwoorden, is dát het eerste probleem om op te lossen.
2. Waar accepteren we bewust soevereiniteitsrisico voor snelheid, en waar doen we dat onbewust? Het verschil tussen een berekend risico en een sluipende afhankelijkheid is documentatie en bestuurlijke goedkeuring. Maak het zichtbaar en bespreekbaar.
3. Wat zijn onze werkelijke migratiekosten als we morgen gedwongen worden om van provider te wisselen? Niet de theoretische architectuurplaat, maar de reële kosten in tijd, geld en operationele verstoring. Dit getal bepaalt je onderhandelingspositie én je kwetsbaarheid.
4. Behandelen we soevereiniteit en AI-versnelling als één geïntegreerd vraagstuk, of als twee aparte werkstromen? Als het antwoord ‘twee werkstromen’ is, is de botsing geen vraag van óf, maar van wanneer.

Bouwen aan compliance en weerbaarheid

82 procent van de organisaties in Europa heroverweegt op dit moment hun cloudstrategie als gevolg van geopolitieke druk en nieuwe regelgeving. Dat die heroverweging plaatsvindt, is goed. De vraag is of ze ver genoeg gaat. Want de organisaties die nu het drielagenmodel doorlopen, die per proces expliciete keuzes maken tussen soevereiniteit en snelheid, en die AI-versnelling en digitale autonomie als twee kanten van dezelfde strategische medaille ontwerpen, bouwen aan een positie die niet alleen compliant is, maar ook weerbaar. Een positie niet alleen vandaag presteert, maar ook overeind staat als de geopolitieke werkelijkheid opnieuw verschuift.  

Ga hier naar de website van PwC