Cloud en AI zijn allang geen “IT-onderwerpen” meer. Ze vormen de basis onder digitale dienstverlening, klantcontact, zorg, overheid, financiële processen, veiligheid, logistiek en steeds meer bedrijfsvoering. Maar achter iedere AI-toepassing en iedere clouddienst zit een praktische vraag: waar draait dit, wie beheert het, onder welke wetgeving valt het en wie kan er uiteindelijk bij?
Precies daar draait de voorgestelde Cloud and AI Development Act om, kortweg CADA. De Europese Commissie wil met deze wet het Europese cloud- en AI-ecosysteem versterken. Niet alleen door meer rekenkracht en datacentercapaciteit mogelijk te maken, maar vooral door duidelijker te maken welke clouddiensten geschikt zijn voor welke soorten data en processen.
De kern van CADA is dus niet: “alles moet Europees”. De kern is: hoe gevoeliger de data of kritischer het proces, hoe beter moet worden aangetoond wie er controle heeft over de dienst, de data, de infrastructuur, de softwareketen en de onderaannemers.
Waarom is CADA nodig?
Europa gebruikt veel cloud- en AI-diensten van een beperkt aantal grote niet-Europese aanbieders. Die aanbieders leveren veel innovatie, schaal en betrouwbaarheid. Tegelijkertijd ontstaat er een strategische afhankelijkheid. Voor gewone toepassingen is dat misschien acceptabel. Voor gevoelige publieke processen, kritieke infrastructuur of data met grote maatschappelijke impact ligt dat anders.
Denk aan overheidsdata, zorginformatie, politie- en justitietoepassingen, defensie, crisismanagement, vitale infrastructuur of AI-systemen die beslissingen ondersteunen in publieke dienstverlening. Dan is het niet genoeg om alleen te weten dat de servers in Europa staan. Je wilt ook weten wie juridisch zeggenschap heeft, wie technisch toegang kan krijgen, wie support levert, welke softwarecomponenten worden gebruikt en welke buitenlandse wetgeving invloed kan hebben.
CADA probeert dit te organiseren via een Europees kader voor cloudsoevereiniteit.
De datagevoeligheid bepaalt het benodigde niveau
Een belangrijk uitgangspunt van CADA is de risicogebaseerde benadering. Niet elke toepassing hoeft aan de zwaarste eisen te voldoen. Een eenvoudige publieke website stelt andere eisen dan een systeem voor defensie, rechtspraak of zorgregistraties.
Daarom begint de beoordeling bij de vraag: hoe gevoelig is de data en hoe kritisch is het proces?
Op basis daarvan wordt bepaald welk niveau van cloudsoevereiniteit nodig is. De gevoeligheid van de toepassing is dus de trigger. Maar daarna verschuift de aandacht naar de aanbieder en de dienst: kan de leverancier aantonen dat hij voldoet aan de eisen die bij dat niveau horen?
Dat maakt CADA praktisch relevant. Het gaat niet om een abstract label, maar om toetsbare controlepunten.
Vier niveaus voor cloudsoevereiniteit
CADA introduceert vier zogenoemde Union assurance levels. Die niveaus geven aan welke mate van controle, autonomie en bescherming een clouddienst biedt.
Bij de lagere niveaus gaat het vooral om basiswaarborgen, zoals vestiging in de EU, verwerking van data binnen de EU, transparantie over onderaannemers en passende cybersecurity. Bij hogere niveaus worden de eisen strenger. Dan gaat het bijvoorbeeld om de locatie van personeel, juridische zeggenschap, eigendomsstructuur, operationele ondersteuning, controle over de softwareketen en bescherming tegen ongewenste toegang door derde landen.
Het verschil tussen “data staat in Europa” en “de dienst is soeverein genoeg voor een kritieke toepassing” wordt hiermee veel duidelijker. Een aanbieder kan dus niet volstaan met de boodschap dat er Europese datacenters worden gebruikt. De vraag wordt: wie heeft de feitelijke, juridische en technische controle over de hele keten?
Van mooie belofte naar aantoonbaar bewijs
Een belangrijk effect van CADA is dat cloudsoevereiniteit minder vrijblijvend wordt. Nu gebruiken aanbieders termen als “sovereign cloud”, “trusted cloud” of “EU cloud” niet altijd op dezelfde manier. Dat maakt het voor inkopers lastig om aanbiedingen goed te vergelijken.
CADA wil daar een einde aan maken door diensten te laten beoordelen op basis van geharmoniseerde criteria. Voor hogere assurance levels zijn onafhankelijke audits voorzien. Het resultaat moet Europees herkenbaar en bruikbaar zijn, zodat een dienst die op het juiste niveau is erkend niet in iedere lidstaat opnieuw langs een ander meetlatje hoeft.
Dat is belangrijk voor aanbieders én afnemers. Aanbieders krijgen duidelijker waar zij aan moeten voldoen. Overheden en andere publieke organisaties krijgen een concreter kader om te bepalen welke cloudoplossing past bij het risico van hun toepassing.
De controleketen wordt doorslaggevend
De grootste verschuiving zit misschien wel in het denken over de controleketen. CADA kijkt niet alleen naar de hoofdleverancier, maar ook naar de partijen daaromheen.
Wie zijn de onderaannemers? Waar bevinden infrastructuur, personeel en support zich? Welke softwarecomponenten zijn onderdeel van de dienst? Is er een actueel overzicht van afhankelijkheden? Kan een derde land invloed uitoefenen op onderhoud, updates, beveiligingspatches of continuïteit? En zijn er technische of organisatorische maatregelen om ongewenste toegang of verstoring te voorkomen?
Dat betekent dat cloudsoevereiniteit niet alleen een juridische discussie is. Het is ook een operationele en technische vraag. Een clouddienst kan alleen betrouwbaar worden beoordeeld als de hele keten transparant genoeg is.
Wat betekent dit voor publieke inkoop?
Voor overheden en publieke organisaties wordt CADA vooral relevant bij aanbestedingen. Zij zullen beter moeten bepalen welk assurance level past bij de toepassing die zij willen inkopen.
Bij een minder gevoelige toepassing kan een lager niveau voldoende zijn. Bij kritieke processen kan een hoger niveau vereist worden. De aanbesteding wordt daarmee niet alleen een vergelijking op prijs, functionaliteit en beschikbaarheid, maar ook op aantoonbare controle, autonomie en ketenbeheersing.
Dit kan de markt veranderen. Europese en Nederlandse cloudproviders krijgen kansen wanneer zij kunnen aantonen dat zij voldoen aan strengere soevereiniteitseisen. Grote internationale aanbieders blijven relevant, maar zullen bij gevoelige toepassingen duidelijker moeten aantonen hoe zij juridische, technische en operationele risico’s afdekken.
Het puntensysteem dat eraan komt
Naast de assurance levels wordt ook gewerkt met aanbestedingscriteria voor Europese toegevoegde waarde. Dat betekent dat aanbieders in publieke aanbestedingen extra punten kunnen krijgen wanneer zij aantoonbaar bijdragen aan het Europese cloud- en AI-ecosysteem.
Denk aan het gebruik van Europese technologie, ontwikkeling of innovatie binnen de EU, versterking van de Europese digitale leveringsketen, transparantie over software en hardware, of het gebruik van componenten die bijdragen aan Europese leveringszekerheid.
Belangrijk is dat dit geen automatische “Europa wint”-regel is. Prijs, kwaliteit en technische geschiktheid blijven belangrijk. Het puntensysteem is bedoeld als aanvullend kwaliteitscriterium. Maar in aanbestedingen kan zo’n criterium wel degelijk verschil maken. Zeker bij opdrachten waarin cloudsoevereiniteit, continuïteit en controle over de keten zwaar meewegen.
Voor aanbieders betekent dit dat zij hun Europese waarde concreet moeten kunnen onderbouwen. Niet alleen met marketingclaims, maar met bewijs: waar wordt ontwikkeld, wie beheert de dienst, welke technologie wordt gebruikt, hoe ziet de softwareketen eruit en hoe wordt afhankelijkheid van derde landen beperkt?
En de datacenters dan?
CADA bevat ook maatregelen om de Europese datacentercapaciteit te vergroten. Dat is logisch: zonder voldoende rekenkracht kan Europa geen sterke cloud- en AI-markt bouwen. Daarbij speelt duurzaamheid een belangrijke rol, bijvoorbeeld via energie-efficiëntie, betere benutting van servers en snellere procedures voor innovatieve en duurzame datacenterprojecten.
Maar voor veel organisaties is dit niet de kern van CADA. Datacentercapaciteit is vooral de randvoorwaarde aan de aanbodzijde. De strategische impact voor cloudgebruikers, publieke instellingen en aanbieders zit vooral in de vraag welke diensten straks als geschikt worden gezien voor gevoelige of kritieke toepassingen.
Wat moeten organisaties nu al doen?
Organisaties hoeven niet te wachten tot CADA definitief is om zich voor te bereiden. De richting is duidelijk: cloudkeuzes worden steeds vaker beoordeeld op risico, controle en afhankelijkheid.
Een goede eerste stap is het in kaart brengen van het huidige cloudlandschap. Welke data staan waar? Welke processen zijn kritisch? Welke leveranciers en onderaannemers zijn betrokken? Welke contractuele exitmogelijkheden zijn er? Welke support- en beheerprocessen lopen via derde landen? En is duidelijk welke wetgeving van toepassing kan zijn op de aanbieder?
Voor publieke organisaties komt daar nog een vraag bij: welk assurance level past straks bij welke toepassing? Niet alles hoeft naar het hoogste niveau, maar voor gevoelige of kritieke processen moet de onderbouwing beter worden.
Voor cloudproviders is de boodschap minstens zo duidelijk. Wie straks wil meedoen in het segment van soevereine cloud, moet kunnen bewijzen hoe de controleketen werkt. Transparantie, auditbaarheid, juridische structuur, softwareketen, supportmodel en operationele autonomie worden commerciële onderscheidende factoren.
CADA in één zin
De Cloud and AI Development Act gaat niet alleen over meer Europese cloudcapaciteit, maar vooral over vertrouwen: Europa wil kunnen bepalen welke clouddiensten geschikt zijn voor welke risico’s, en wil dat aanbieders hun controle over data, infrastructuur, software en keten aantoonbaar maken.
Daarmee verschuift cloudsoevereiniteit van een marketingterm naar een toetsbaar kader. En dat kan grote gevolgen hebben voor publieke inkoop, cloudstrategie en de positie van Nederlandse en Europese cloudproviders.
