Europa staat op een digitaal kruispunt. Terwijl de bescherming van persoonsgegevens centraal staat in Europese privacywetgeving, blijkt de onderliggende digitale infrastructuur – met name de cloud – onder buitenlandse invloed te staan. Voor privacy professionals is dit een urgent maar vaak over het hoofd gezien risico.
- 80% van de Europese digitale infrastructuur is afhankelijk van niet-Europese techbedrijven
- De cloud is het grootste privacyrisico door geopolitieke en juridische factoren
- Er bestaan Europese alternatieven, maar die vragen om bewuste strategische keuzes
- Privacy professionals kunnen hierbij een belangrijke rol spelen
“We beschermen persoonsgegevens tot in detail. Maar wie beschermt onze cloud? Digitale soevereiniteit klinkt abstract, maar raakt direct aan de kern van privacy: zeggenschap over data. En die zijn we aan het verliezen.“ Haroon Sheikh – filosoof, WRR-onderzoeker en bijzonder hoogleraar aan de VU Amsterdam – is al jaren een belangrijke stem in het debat over technologie en geopolitiek.
Net terug uit de Verenigde Staten straalt hij enthousiasme. Twee maanden lang liep hij mee in het hart van de Amerikaanse beleidswereld. Als fellow bij toonaangevende denktanks en universiteiten sprak hij met oud-politici, wetenschappers en strategen over de digitale toekomst. “Het was intens, leerzaam en confronterend,” zegt hij. “Ik heb gezien hoe technologie steeds meer een geopolitiek wapen wordt. En ik kwam terug met een versterkt besef: Europa moet nu echt zijn digitale lot in eigen hand nemen.”
Digitale soevereiniteit: wat is het en waarom is het urgent?
Digitale soevereiniteit is geen eenvoudig te definiëren begrip. Sheikh hanteert een praktische benadering: “Het gaat om het vermogen van individuen, organisaties en staten om zelfstandig te kunnen opereren in de digitale ruimte. En vaak wordt het gerelateerd aan onze afhankelijkheid van externe partijen en welke invloed die met zich meebrengen. Die invloed is groot en belangrijk voor privacy.”
Europa is digitaal kwetsbaar. Op het gebied van cloud, software en platforms zijn we grotendeels afhankelijk van Amerikaanse bedrijven. En die staan onder jurisdictie van de Amerikaanse overheid. Volgens Sheikh is dat niet zonder gevolgen voor de privacy van Europese burgers en organisaties. “De Cloud Act verplicht Amerikaanse bedrijven om mee te werken met de Amerikaanse overheid – óók als de data fysiek in Europa staat.”
Deze afhankelijkheid wordt pas echt zichtbaar wanneer geopolitiek meespeelt. Sheikh verwijst naar een spraakmakend voorbeeld: “Tijdens een onderzoek van het Internationaal Strafhof naar Israël werd Microsoft onder druk gezet om bepaalde accounts af te sluiten. Het gevolg: medewerkers werden afgesloten van hun eigen omgeving. Een tastbaar voorbeeld van hoe je door Amerikaanse techbedrijven digitaal buitenspel kunt worden gezet – een reëel risico en belangrijk drukmiddel in de huidige handelsoorlog met de VS.
Waarom dit raakt aan de kern van privacy
Volgens Sheikh ligt hier een belangrijk actieterrein voor privacy professionals. “Zeggenschap over data is de kern van privacy. En als je afhankelijk bent van een cloudprovider die onder een andere juridische orde valt, heb je die zeggenschap feitelijk niet.” Het gaat daarbij niet alleen om gegevensbescherming, maar ook om risicomanagement, contractbesprekingen en strategisch advies. “Privacy professionals moeten hier hun stem laten horen,” stelt Sheikh. Het is niet meer voldoende om te voldoen aan de AVG en DPIA’s uit te voeren. Je moet weten waar je data staat, onder welke jurisdictie, welke risico’s je loopt – en hoe je die contractueel en technisch kunt mitigeren.
De cloud: centrale zwakke plek
De cloud is volgens Sheikh de belangrijkste schakel in deze discussie. “Amerikaanse bedrijven hebben ongeveer 70% van de cloudmarkt in handen. Microsoft, Amazon en Google zijn de dominante spelers. Daarmee ligt het grootste deel van onze digitale infrastructuur feitelijk buiten Europees bereik.”
Er zijn alternatieven, maar die zijn versnipperd en vaak nog in ontwikkeling. Kleine Europese partijen – zoals het Duitse Schwarz Group (moederbedrijf van Lidl) of Franse aanbieders – ontwikkelen wel oplossingen, maar die hebben nog niet de schaal, veiligheid en dienstverlening van Amerikaanse hyperscalers. Toch moeten we die alternatieven serieus nemen, en erop inzetten dat ze kunnen opschalen.
Voor privacy professionals betekent dit dat ze een actieve rol moeten spelen bij cloudkeuzes. Stel kritische vragen: Waar worden onze data opgeslagen? Is de partij onderworpen aan de Cloud Act? Wat gebeurt er bij een geopolitiek conflict? Is er een migratiepad naar een andere aanbieder?
Europa’s strategie: samenwerken of falen
Volgens Sheikh is het voor Europa cruciaal om niet alleen regulering te ontwikkelen, maar ook alternatieven op te bouwen. “We hebben met de GDPR wereldwijd laten zien dat we normen kunnen stellen. Maar dat is niet genoeg. We moeten ook investeren in onze eigen infrastructuur.” Dat betekent ook dat we publieke instellingen soms moeten verplichten om soevereine diensten af te nemen. “Als telecombedrijven als KPN, Orange en Telefónica samenwerken, kunnen zij samen een volwaardig alternatief bieden,” stelt Sheikh. “Maar dan moet er een markt voor zijn. Overheden en instellingen moeten bereid zijn klant te worden, ook als dat soms betekent dat je iets inlevert aan gemak of schaal.”
Wat kunnen organisaties nu doen?
Voor veel organisaties klinkt digitale soevereiniteit als een langetermijnvraagstuk. Maar volgens Sheikh zijn er nu al concrete stappen mogelijk:
- Check: waar staan je data fysiek én juridisch?
- Stel eisen aan contracten: opslag in Europa, transparantie over dataverkeer.
- Zet gevoelige data in een Europese (of hybride) cloud
- Gebruik open standaarden en vermijd vendor lock-ins
- Bereid je voor op Europese alternatieven
- Zorg dat bestuurders de risico’s snappen: geef intern advies
De rol van privacyprofessionals
Privacy professionals kunnen volgens Sheikh het verschil maken. Zij zijn de interne experts die bijdragen aan bewustwording, risico’s inzichtelijk maken en bestuurders adviseren. Maar dan moeten ze wel hun blikveld verbreden. Niet alleen juridische compliance, maar ook geopolitieke risico’s horen bij hun werkveld. Daarnaast kunnen privacy officers meedenken bij de selectie van cloud- en softwareleveranciers. Ze zorgen ervoor dat gegevensbescherming wordt ingebed in IT- en inkoopstrategieën, en stellen waar nodig strengere eisen aan verwerkersovereenkomsten.
Een hoopvolle boodschap op het Dataprotectie & Privacy Event
Tijdens zijn sessie op 2 oktober wil Sheikh de deelnemers vooral een breder perspectief bieden. In vogelvlucht zal hij de wereld van digitalisering inzichtelijk maken en uitleggen hoe de geopolitieke verhoudingen invloed daarop uitoefenen. Zijn boodschap: “We kunnen écht soevereiner worden als Europa. Het is heel hoopvol dat ons parlement en regering heel actief zijn om onze afhankelijkheid af te bouwen. Privacy professionals zijn daarin onmisbare spelers. Op 2 oktober geef ik ze handvatten om aan de slag te gaan.”
