Cloudsoevereiniteit in de publieke cloud: Grip op data in een veranderende wereld

Door Alwin Perotti, tech lead workplace &security

De publieke cloud is niet meer weg te denken uit moderne IT-omgevingen. Organisaties profiteren van schaalbaarheid, flexibiliteit en moderne samenwerkingsmogelijkheden. Maar deze voordelen brengen ook nieuwe risico’s met zich mee. Hoe zorg je ervoor dat je als organisatie de controle behoudt over je data, ook als deze zich buiten je directe infrastructuur bevindt?

Cloudsoevereiniteit is het antwoord op deze vraag. Het is geen abstract concept, maar een concrete strategie waarmee organisaties hun digitale onafhankelijkheid kunnen waarborgen. Infinity IT ondersteunt organisaties bij het realiseren van deze soevereiniteit, met een aanpak die draait om versleuteling, back-up, uitwijkmogelijkheden en lokale controle.

Wat is cloudsoevereiniteit?
Cloudsoevereiniteit betekent dat een organisatie volledige zeggenschap heeft over haar data, ongeacht waar deze is opgeslagen. Het gaat om meer dan alleen locatie. Het draait om toegang, beveiliging, herstelbaarheid en juridische controle. In een tijd waarin geopolitieke spanningen en technologische afhankelijkheid toenemen, is dit geen luxe maar een noodzaak.

De afgelopen maanden zijn er meerdere voorbeelden geweest die dit onderstrepen. In juni 2025 kondigde de Amerikaanse overheid aan dat bepaalde cloudproviders verplicht zijn om data beschikbaar te stellen aan Amerikaanse autoriteiten, zelfs als deze data zich fysiek buiten de VS bevindt. Dit leidde tot bezorgdheid bij Europese organisaties over de bescherming van hun gegevens. Ook in Duitsland en Frankrijk zijn er discussies ontstaan over het gebruik van Amerikaanse cloudinfrastructuur binnen overheidsinstellingen.

Versleuteling onder eigen beheer
Een van de belangrijkste pijlers van cloudsoevereiniteit is versleuteling met eigen sleutels. Organisaties kunnen hun data versleutelen op een manier die alleen zij zelf kunnen ontsleutelen. De sleutels worden fysiek opgeslagen in Nederland, zowel bij de organisatie zelf als bij Infinity IT in beveiligde datacenters in Amsterdam en Almere. Dit betekent dat de toegang tot data volledig onder Nederlands beheer valt en niet afhankelijk is van buitenlandse partijen.

Deze aanpak voorkomt dat derden, zoals buitenlandse overheden of leveranciers, toegang kunnen krijgen tot gevoelige informatie. Zelfs als de cloudprovider technisch toegang heeft tot de data, blijft deze onleesbaar zonder de juiste sleutel. Dit biedt bescherming tegen ongewenste toegang, juridische conflicten en politieke druk.

Back-up en herstel: meerdere strategieën mogelijk
Naast versleuteling is het essentieel om voorbereid te zijn op situaties waarin de publieke cloud tijdelijk of structureel niet beschikbaar is. Denk aan een storing, een beveiligingsincident of een besluit van de leverancier om toegang te beperken. Infinity IT ondersteunt verschillende strategieën om hier adequaat op te reageren.

Organisaties kunnen kiezen voor back-ups in eigen beheer, waarbij data periodiek wordt gerepliceerd naar een private cloud of lokale infrastructuur. Dit biedt maximale controle en maakt het mogelijk om bij uitval snel over te schakelen naar een alternatieve omgeving.

Een andere optie is het gebruik van Europese datacenters die onafhankelijk opereren van de publieke cloudleverancier. Deze bieden snelle toegang tot bestanden en e-mail, zelfs als de primaire omgeving niet beschikbaar is.

Sommige organisaties kiezen voor een hybride aanpak: een lokale kopie voor kritieke data en een cloudgebaseerde back-up voor minder urgente informatie. Dit maakt het mogelijk om gefaseerd te herstellen en prioriteit te geven aan de meest essentiële processen.

Welke aanpak het beste past, hangt af van het risicoprofiel van de organisatie, de gewenste mate van controle en de beschikbare middelen. Infinity IT adviseert en ondersteunt bij het opstellen van een passend herstelplan, inclusief de benodigde infrastructuur en procedures.

Uitwijkscenario’s: voorbereid op het ergste
Een belangrijk uitgangspunt is dat organisaties niet afhankelijk mogen zijn van één leverancier of infrastructuur. Daarom wordt er gewerkt aan uitwijkscenario’s waarbij binnen enkele uren een alternatieve omgeving kan worden opgespind. Dit is vooral van belang bij kritieke processen zoals e-mail, samenwerking en toegang tot documenten.

De basisfunctionaliteit kan vaak al binnen vier uur worden hersteld, terwijl het volledige herstel doorgaans binnen 72 uur plaatsvindt. Door vooraf duidelijke prioriteiten te stellen en herstelprocedures vast te leggen, kan de impact van een calamiteit tot een minimum worden beperkt.

In het voorjaar van 2025 werd een grote Europese universiteit getroffen door een ransomware-aanval op hun cloudomgeving. Dankzij een lokale back-up en een vooraf opgesteld herstelplan konden zij binnen 48 uur weer operationeel zijn. Dit voorbeeld laat zien hoe belangrijk het is om voorbereid te zijn op het onverwachte.

Juridische en maatschappelijke context
De discussie over digitale soevereiniteit is niet nieuw, maar heeft de afgelopen maanden aan urgentie gewonnen. Europese beleidsmakers pleiten steeds nadrukkelijker voor het gebruik van lokale infrastructuur en eigen versleuteling. In Nederland is er toenemende aandacht voor het beperken van afhankelijkheid van Amerikaanse leveranciers, zeker binnen de publieke sector.

Organisaties die hun data versleutelen met eigen sleutels en back-ups bewaren in Nederlandse datacenters voldoen aan strenge Europese regelgeving op het gebied van privacy en databescherming. Ze behouden de regie over hun data, kunnen toegang intrekken wanneer nodig en zijn beschermd tegen ongewenste toegang door derden.

Conclusie: digitale onafhankelijkheid als strategische keuze
Cloudgebruik hoeft niet te betekenen dat je controle opgeeft. Met de juiste maatregelen — zoals eigen versleuteling, flexibele back-upstrategieën en een hybride infrastructuur — kunnen organisaties profiteren van de voordelen van de publieke cloud, terwijl ze tegelijkertijd hun onafhankelijkheid en veiligheid behouden.
Infinity IT helpt organisaties om deze balans te vinden en te behouden. Of het nu gaat om het opstellen van beleid, het inrichten van infrastructuur of het begeleiden van migraties: de focus ligt altijd op grip, veiligheid en continuïteit.

Digitale soevereiniteit is geen abstract ideaal, maar een praktische noodzaak. In een wereld waarin technologie, politiek en veiligheid steeds meer verweven raken, is het de sleutel tot duurzame digitale autonomie.