De belofte van cloudsoevereiniteit
Binnen het Cloud for Sovereignty-programma introduceerde Microsoft twee typen cloudoplossingen: de Sovereign Public Cloud en de Sovereign Private Cloud. Deze zijn ontworpen om data volledig binnen Europese datacenters te houden, operationeel beheerd door Europese medewerkers en versleuteld met behulp van External Key Management (EKM).
Voor sectoren met zware compliance-eisen, zoals overheid en gezondheidszorg, bestaan daarnaast nationale initiatieven, zoals Bleu in Frankrijk en Delos Cloud in Duitsland. In deze modellen wordt regelgeving niet gezien als beperking, maar als fundament voor verantwoorde innovatie.
In de tweede helft van 2025 kwam hierin een duidelijke versnelling:
- Microsoft 365 Local werd algemeen beschikbaar, waardoor kernproductiviteitsdiensten zoals Exchange en SharePoint lokaal in een Azure-omgeving kunnen draaien.
- Azure Local groeide door van kleinschalige clusters naar omgevingen met honderden servers, inclusief ondersteuning voor SAN-opslag en geavanceerde AI-hardware zoals NVIDIA GPU’s.
- Nationale cloudinitiatieven versterkten hun samenwerking om continuïteit te borgen, zelfs in scenario’s met geopolitieke druk op internationale clouddiensten.
Deze ontwikkelingen laten zien dat soevereiniteit binnen de Microsoft-cloud geen abstracte ambitie meer is, maar in de praktijk actief wordt gerealiseerd en versterkt door lokale partners.
De reality check: Franse senaat
Toch kent dit verhaal ook een schaduwzijde. Tijdens een hoorzitting op 18 juni 2025 werd Microsoft Frankrijk gevraagd of het bedrijf kan garanderen dat Europese data nooit door Amerikaanse autoriteiten wordt opgevraagd. Het antwoord was helder en confronterend: nee, die garantie kan niet worden gegeven.
De oorzaak ligt in de Amerikaanse CLOUD Act, die Amerikaanse bedrijven onder bepaalde omstandigheden kan verplichten data te verstrekken, ook als die data fysiek in Europa is opgeslagen. Microsoft gaf aan dergelijke verzoeken juridisch aan te vechten, te beperken tot het strikt noodzakelijke en klanten waar mogelijk te informeren. Tot op heden zouden er geen verzoeken zijn geweest voor EU-data, maar juridisch blijft de mogelijkheid bestaan.
Waarom dit ertoe doet voor uw organisatie
Deze verklaring heeft het debat over digitale soevereiniteit in Europa opnieuw op scherp gezet. Ze benadrukt dat soevereiniteit niet alleen gaat over de fysieke locatie van data, maar vooral over welke jurisdictie erover kan beschikken.
Voor publieke organisaties, zorginstellingen en partijen in kritieke infrastructuur is dit geen detail, maar een strategisch gegeven. Het verklaart:
- waarom Europese landen investeren in nationale cloudpartners;
- waarom encryptie, governance en sleutelbeheer cruciaal zijn;
- en waarom contractuele en operationele waarborgen steeds belangrijker worden.
In 2026 is de juridische realiteit ongewijzigd: er bestaat nog steeds geen wet die de extraterritoriale werking van de Amerikaanse CLOUD Act opheft, waardoor Microsoft geen absolute garantie kan geven dat EU-data nooit door Amerikaanse autoriteiten zal worden opgevraagd. Tegelijkertijd zijn wel aanvullende maatregelen ingevoerd, zoals een Europees bestuursorgaan dat toezicht houdt op alle datacenteroperaties binnen de EU, bestaande uit uitsluitend EU burgers, en expliciete afspraken over digitale veerkracht in overheidscontracten.
Ook de Europese Unie verhoogde de lat met het Cloud Sovereignty Framework (oktober 2025), waarin acht concrete eisen zijn vastgelegd voor soevereine clouddiensten. Daarbij wordt gewerkt met een soevereiniteitsscore die beoordeelt in hoeverre diensten die onder EU recht vallen, blootstaan aan buitenlandse wetgeving zoals de CLOUD Act en operationeel blijven bij buitenlandse sancties. Deze benchmark dwingt Cloud leveranciers, inclusief Microsoft, om aantoonbaar te voldoen aan Europese soevereiniteitseisen om overheidsklanten te kunnen blijven bedienen.

Waarom Microsoft Cloud toch een logische keuze blijft
Ondanks deze juridische complexiteit blijft Microsoft Cloud, en met name Microsoft 365, voor veel organisaties een strategische keuze. Niet alleen vanwege compliance, maar ook vanwege schaal, innovatie en beveiliging.
- Productiviteit en integratie
Microsoft 365 biedt een diep geïntegreerd ecosysteem voor samenwerking, moderne werkplekken en AI-gedreven productiviteit. - Security en compliance by design
Microsoft investeert structureel in beveiliging en compliance, met oplossingen zoals Purview, Advanced Threat Protection en versleutelingsopties zoals Customer Key, Double Key Encryption en External Key Management.
Het alternatief, alles on-premises of in een niche cloud, leidt vaak tot hogere kosten, minder innovatie en complexer beheer.
Welke data hoort waar? De hybride strategie
| Categorie | Kenmerken | Aanbevolen locatie |
|---|---|---|
| Algemene bedrijfsdata | Lage tot middelhoge gevoeligheid, hoge samenwerkingseis | Microsoft 365 in EU-regio’s met EKM, Azure |
| Kritieke IP of staatsgevoelige data | Hoge gevoeligheid, strikte jurisdictie eisen | Azure Local of Public Cloud |
| Regulated workloads (gezondheid, justitie) | Wettelijke verplichting tot nationale hosting | National Partner Cloud (bijv. Bleu, Delos) |
Azure Local: de brug tussen cloud en controle
Azure Local biedt organisaties de mogelijkheid om cloudfunctionaliteit te combineren met lokale controle. Het platform biedt fysieke isolatie doordat workloads in een lokale omgeving draaien die wordt beheerd door een vertrouwde partner. Tegelijkertijd blijft er sprake van feature pariteit: organisaties krijgen toegang tot Azure services zonder dat data de landsgrenzen verlaat.
Dit maakt Azure Local bijzonder geschikt voor sectoren waarin nationale wetgeving soevereiniteit eist. In combinatie met Microsoft 365 Local ontstaat zo een hybride model waarin samenwerkingstools en kernapplicaties in de Cloud draaien, terwijl gevoelige workloads lokaal blijven.
Eind 2025 is Azure Local verder doorontwikkeld tot een volwassener platform. Het ondersteunt nu grootschalige implementaties met clusters van enkele honderden servers en organisaties kunnen hun bestaande opslagoplossingen via SANkoppelingen integreren en GPUacceleratie benutten voor AIworkloads. Hiermee biedt Azure Local niet alleen controle en naleving van nationale regels, maar ook de schaalbaarheid en prestaties die grotere organisaties verwachten.
De praktijk van soevereine cloudkeuzes
De Microsoft Cloud blijft een krachtige basis voor het grootste deel van uw digitale landschap. Door bewust te kiezen voor hybride architecturen, met cloud waar het kan en lokale controle waar het moet, ontstaat een toekomstbestendige balans tussen innovatie, compliance en regie.
Daarbij is het essentieel om aandacht te besteden aan risico’s en de beveiliging van uw data. Binnen Azure kunt u alle data versleutelen en de encryptiesleutels volledig zelf beheren via Azure Key Vault Premium Hardware Security Modules (HSM’s). Hiermee houdt u de regie over uw eigen data en wordt het vrijwel onmogelijk om deze te ontsleutelen, zelfs wanneer dit extern wordt opgevraagd. Zo bent u verzekerd van maximale veiligheid, compliance en controle, zonder concessies te doen aan flexibiliteit en innovatie.
Architectuur als fundament voor datasoevereiniteit
Hoewel Microsoft Cloud voor veel organisaties een belangrijke bouwsteen vormt, wordt datasoevereiniteit uiteindelijk bepaald door architectuurkeuzes, governance en contractuele inrichting, niet door één platform alleen.
Met diepgaande expertise in datasoevereiniteit en het beheer van bedrijfskritische systemen en infrastructuren, helpen wij organisaties bij het ontwerpen en realiseren van IT-landschappen waarin controle, continuïteit en innovatie in balans zijn. Niet het platform staat centraal, maar de architectuurkeuze die past bij het risicoprofiel en de strategische doelstellingen van uw organisatie.



