Soevereiniteit: waarom je AI-stack onder eigen dak hoort

In het voorjaar van 2025 werd de e-mail van de hoofdaanklager van het Internationaal Strafhof onbruikbaar, nadat de Verenigde Staten sancties hadden ingesteld. Over wie precies de stekker eruit trok, lopen de lezingen uiteen. Maar de les was glashelder: als je kerninfrastructuur onder buitenlandse jurisdictie valt, kan een politiek besluit aan de andere kant van de oceaan je dienst stilleggen. Het Strafhof stapte over op Zwitserse e-mail en open-source software. Voor Europese bestuurders was het een wake-up call.

Residency is niet hetzelfde als zeggenschap

"Onze data staat in een datacenter in Frankfurt of Amsterdam" klinkt veilig, maar zegt weinig over zeggenschap. De Amerikaanse CLOUD Act geeft de VS de bevoegdheid om elke in Amerika gevestigde aanbieder te dwingen data te overhandigen, waar ter wereld die ook staat. In 2025 bevestigde Microsoft Frankrijk zelfs onder ede dat het soevereiniteit tegenover Amerikaanse autoriteiten niet kan garanderen, ook niet voor een als "soeverein" verkocht aanbod.

De vraag is dus niet wáár je data staat, maar wíe de stack beheerst en onder welk recht die valt. En daar wringt het juridisch: de EU Data Act en de AVG verbieden onrechtmatige toegang door derde landen, terwijl de CLOUD Act die toegang juist eist. De aanbieder zit klem tussen twee rechtsstelsels. Het risico ligt bij jou.

90%van Europa's digitale infrastructuur is non-Europees, vooral Amerikaans

+83%groei van Europese soevereine-cloud-uitgaven in 2026

471-68stemverhouding van de EP-resolutie om los te komen van US-techafhankelijkheid (jan 2026)

2025VS-sancties legden de e-mail van de ICC-hoofdaanklager stil

De vraag is niet wáár je data staat, maar wie de stack beheerst, en onder welk recht.

Waarom dit AI extra hard raakt

AI verwerkt vaak je gevoeligste gegevens: klantdossiers, patiëntinformatie, bedrijfsgeheimen. Juist daar wil je geen vraagtekens bij zeggenschap. En er is een tweede laag die makkelijk over het hoofd wordt gezien: het governance-systeem zelf. Je AI-register, je risicoclassificaties, je logs en bewijsstukken vormen samen een nauwkeurig portret van je organisatie. Een centrale, vaak Amerikaanse SaaS betekent dat ook dát overzicht buiten je eigen dak staat.

Vigil trust en instellingen: data-soevereiniteit, hosting in NL/EU, US CLOUD Act buiten bereik, volledige data-export — Soeverein by design: hosting in NL/EU, buiten bereik van de US CLOUD Act, en volledige data-export zonder lock-in.

De risico's als je het laat zoals het is

Afhankelijkheid voelt comfortabel zolang er niets gebeurt. Het probleem is dat je het risico pas merkt op het moment dat het zich voordoet, en dan is het te laat om nog te schakelen.

Wat je riskeert met een buitenlandse stack

Juridisch conflict. De CLOUD Act eist toegang die de EU Data Act en AVG verbieden. Je leverancier kan niet aan beide voldoen.
Continuïteit. Een sanctie of beleidswijziging kan je toegang afsnijden, zonder dat jij er invloed op hebt.
Buitenspel bij aanbestedingen. De EU overweegt het gebruik van Amerikaanse cloud te beperken voor gevoelige sectoren als zorg, financiën en justitie. Soevereiniteitscriteria duiken al op in tenders.
Vendor lock-in. Zonder echte exportmogelijkheid zit je vast aan één leverancier en zijn voorwaarden.
Vertrouwen. Klanten en toezichthouders vragen steeds vaker: waar staat onze data écht, en wie kan erbij?

Wat het oplevert

Soevereiniteit is geen defensieve keuze. Wie het op orde heeft, krijgt er voordeel voor terug, juist nu Europa hard op deze koers stuurt.

De opbrengst van eigen regie

Aanbestedingsklaar. Je voldoet aan soevereiniteitscriteria voordat ze verplicht worden.
Continuïteit. Je dienst staat niet onder buitenlandse jurisdictie en kan niet zomaar worden afgesloten.
Vertrouwen. Een helder antwoord op "waar staat onze data" wint klanten in gereguleerde sectoren.
Europese rugwind. Beleid, subsidies en momentum staan aan jouw kant.
Geen lock-in. Je data en bewijs zijn van jou, en je kunt ze meenemen.

Vigil dashboard: het hele platform draait in je eigen EU- of NL-omgeving — Het hele platform, register, kosten, beleid en compliance, in je eigen EU- of NL-omgeving.

Wat soevereiniteit in de praktijk betekent

Niet elk "Europees" of "soeverein" label dekt de lading. Vijf vragen scheiden de echte soevereiniteit van de marketing:

Waar je op let

Jurisdictie. Onder welk recht valt de leverancier, niet alleen waar de servers staan.
Deployment. Draait het in jouw eigen omgeving, of in een gedeelde cloud elders?
Data-export. Kun je alles meenemen, op elk moment, zonder lock-in?
Sleutelbeheer. Heb jij de encryptiesleutels (BYOK), of de leverancier?
Aantoonbaar. Onafhankelijke certificeringen (ISO 27001, NEN 7510) en transparantie over de keten.

Hoe Vigil dit doet

Vigil is per klant uitrolbaar in je eigen EU- of NL-omgeving: soeverein by design, buiten bereik van de CLOUD Act, met volledige data-export en je eigen sleutels. Je AI-inventaris én het bewijs dat je compliant bent, blijven onder eigen dak. Zo is grip op AI ook grip op je data.

Bronnen

Computer Weekly en CSIS, over het ICC-e-mailincident en transatlantisch vertrouwen, 2025.
EuroStack / Cristina Caffarra, over de circa 90% afhankelijkheid van non-Europese infrastructuur, 2025-2026.
Europees Parlement, resolutie over digitale soevereiniteit, 22 januari 2026.
Franse Senaat, verklaring van Microsoft Frankrijk over data-soevereiniteit, juni 2025.
EU Data Act (van kracht 2024, toepasbaar vanaf september 2025) en AVG.
Berichtgeving over de groei van Europese soevereine-cloud-uitgaven, 2026 (o.a. CNBC, The Register).