De wake-up call voor soevereiniteit

Stel u voor: een middelgroot advocatenkantoor in Amsterdam schakelt een populaire AI-assistent in om contractbeoordeling te versnellen. Het werkt uitstekend. De reactietijden dalen, medewerkers kunnen meer zaken behandelen en cliënten zijn onder de indruk. Zes maanden later stelt een partner een eenvoudige vraag: waar worden onze cliëntgegevens precies verwerkt? Het antwoord blijkt niet eenvoudig, en de implicaties reiken verder dan iemand had verwacht.

Dit scenario speelt zich op dit moment af in heel Europa, bij advocatenkantoren, financiële instellingen, zorginstellingen en overheidsinstanties. De AI-tools die ondernemingen de afgelopen twee jaar in hoog tempo hebben ingevoerd, zijn overweldigend gebouwd op infrastructuur die wordt gecontroleerd door een handvol Amerikaanse technologiebedrijven. En in 2026 botst die afhankelijkheid frontaal op een golf van regelhandhaving, geopolitieke spanningen en stijgende verwachtingen van cliënten rondom gegevensbeheer.

De cijfers spreken voor zich. Volgens Deloitte wordt in 2026 alleen al meer dan $100 miljard geïnvesteerd in soevereine AI-rekencapaciteit. McKinsey schat dat 30 tot 40% van alle AI-uitgaven beïnvloed kan worden door soevereiniteitsvereisten, wat neerkomt op een markt van $500 tot $600 miljard wereldwijd in 2030. Forrester voorspelt dat 2026 het jaar wordt waarop overheden kiezen voor een 'domestic first'-aanpak bij AI-aanbestedingen. En de EU AI-wet, de eerste uitgebreide AI-regelgeving ter wereld, bereikt op 2 augustus 2026 een kritiek handhavingsmoment, wanneer het merendeel van haar regels van kracht wordt.

AI-soevereiniteit is geen niche-beleidsdebat meer. Het is een strategisch vraagstuk op bestuursniveau. En als uw organisatie hier nog niet over nadenkt, loopt u al achter.

Wat is AI-soevereiniteit?

Kern van AI-soevereiniteit is controle. Het is het vermogen van een organisatie, of een natie, om haar AI-systemen te ontwikkelen, in te zetten en te beheren in overeenstemming met haar eigen regels, beveiligingsvereisten en waarden. McKinsey definieert het langs vier dimensies: territoriaal (waar data en rekencapaciteit zich fysiek bevinden), operationeel (wie ze beheert en beveiligt), technologisch (wie de onderliggende infrastructuur en intellectuele eigendom bezit) en juridisch (welk rechtsgebied toegang en naleving regelt).

Het is de moeite waard AI-soevereiniteit te onderscheiden van een paar verwante begrippen die vaak door elkaar worden gehaald. Datasoevereiniteit richt zich uitsluitend op waar data wordt opgeslagen, verwerkt en welk juridisch rechtsgebied van toepassing is. Dataresidentie is nog specifieker: het gaat om de fysieke locatie van servers. AI-soevereiniteit gaat verder en omvat niet alleen de data, maar ook de modellen zelf, de infrastructuur waarop ze draaien en de governancekaders die bepalen hoe ze worden gebruikt.

IBM maakt een nuttig onderscheid tussen AI-soevereiniteit en soevereine AI. AI-soevereiniteit verwijst naar het bredere vermogen tot controle, de bevoegdheid om te bepalen hoe AI-systemen worden gebruikt, wie ze beheert en of ze voldoen aan lokale regelgeving. Soevereine AI is de infrastructuur en technische capaciteit die die controle mogelijk maakt: de datacenters, de GPU's, de modellen die binnen jurisdictiegrenzen zijn gebouwd en getraind. Beschouw soevereine AI als het fundament en AI-soevereiniteit als het huis dat u erop bouwt.

Cruciaal is dat soevereiniteit niet betekent dat AI wordt afgewezen of dat men zich terugtrekt in isolement. Het gaat om geïnformeerde controle. Zoals McKinsey's analisten het stellen: niet alle AI-werklasten vereisen strikte soevereiniteit. De slimme aanpak is om uw portfolio te segmenteren en publieke modellen te gebruiken voor generieke taken, terwijl u soevereine infrastructuur reserveert voor hoogwaardige intellectuele eigendommen en gevoelige data.

De drie pijlers van AI-soevereiniteit

Om soevereiniteit praktisch in plaats van abstract te maken, helpt het om te denken in termen van drie onderling verbonden pijlers: datasoevereiniteit, modelsoevereiniteit en infrastructuursoevereiniteit. Elk richt zich op een andere dimensie van controle, en zwakheden in elk van de pijlers kunnen de andere ondermijnen.

Datasoevereiniteit

Dit is de meest bekende pijler, en terecht, want regelgevingskaders zoals de AVG hebben hier de meeste aandacht aan besteed. Datasoevereiniteit betekent controle hebben over waar uw data wordt opgeslagen, hoe deze wordt verwerkt en, cruciaal, wie er juridische toegang toe heeft. Het klinkt eenvoudig, maar in de wereld van cloud-gebaseerde AI is dat allesbehalve het geval. Wanneer een onderneming gebruikmaakt van een in de VS gevestigde AI-aanbieder, kan de data zich fysiek bevinden in een EU-datacenter, maar toch juridisch toegankelijk zijn voor Amerikaanse autoriteiten op grond van extraterritoriale wetgeving. We komen hier zo op terug.

Modelsoevereiniteit

Deze pijler vraagt: wie controleert de AI-modellen waarvan uw organisatie afhankelijk is? Wie bepaalt hoe ze worden getraind, op welke data ze worden verfijnd en welke output ze produceren? Bij de meeste huidige AI-implementaties in ondernemingen is het antwoord een externe aanbieder. Dat creëert afhankelijkheden die verder gaan dan data: het betekent dat de AI-capaciteiten van uw organisatie worden gevormd door de beslissingen van iemand anders over modelarchitectuur, trainingsdata en updatecycli. Modelsoevereiniteit betekent het vermogen behouden om modellen te kiezen, te wisselen of te verfijnen zonder gebonden te zijn aan het ecosysteem van één leverancier.

Infrastructuursoevereiniteit

De derde pijler betreft de fysieke en operationele laag: waar AI-werklasten daadwerkelijk draaien, wie die infrastructuur beheert en welk rechtsgebied er van toepassing is. Dit is waar het onderscheid tussen 'sovereign-washed' clouddiensten en echte soevereiniteit cruciaal wordt. Een in de EU gepositioneerd datacenter dat wordt beheerd door een Amerikaanse moedermaatschappij kan er soeverein uitzien, maar als de moedermaatschappij onderworpen is aan de Amerikaanse wetgeving, is de soevereiniteit, zoals een Duitse CEO het omschreef, een illusie.

Waarom soevereiniteit nu belangrijk is, de context van 2026

Soevereiniteitsoverwegingen zijn niet nieuw, maar in 2026 komen er verschillende krachten samen die dit het jaar maken waarop ondernemingen niet langer actie kunnen uitstellen.

De regelgevingsdruk

De EU AI-wet bereikt haar meest significante handhavingsdatum op 2 augustus 2026. Op die datum worden de meeste bepalingen van kracht, waaronder regels voor hoog-risico AI-systemen, transparantieverplichtingen onder Artikel 50, vereisten voor AI-regelgevingssandboxes in elke lidstaat en de start van formele handhaving op zowel nationaal als EU-niveau. Voor ondernemingen die AI gebruiken in de juridische praktijk, gezondheidszorg, financiën of openbare diensten is dit niet theoretisch: het is een nalevingsdeadline met echte gevolgen, inclusief boetes die kunnen oplopen tot €35 miljoen of 7% van de wereldwijde jaaromzet voor verboden AI-praktijken.

De AI-wet bestaat ook niet op zichzelf. Ze staat naast een steeds spierbalder AVG-handhavingsregime, de EU Data Act (die in september 2025 van kracht werd en nieuwe eisen stelt aan het overstappen en de interoperabiliteit van cloudaanbieders) en sectorspecifieke richtsnoeren van beroepsorganisaties. In de juridische sector hebben zowel de Raad van Balies en Juridische Beroepsverenigingen van Europa (CCBE) als de Nederlandse Orde van Advocaten (NOvA) aanbevelingen gepubliceerd over AI-gebruik die uitdrukkelijk wijzen op gegevenssoevereiniteit en vertrouwelijkheidsrisico's. Zuid-Korea heeft in januari 2026 uitgebreide AI-regelgeving aangenomen. Wereldwijd is de trend onmiskenbaar: regelgeving wordt aangescherpt en soevereiniteitsbewust.

De geopolitieke dimensie

De Amerikaanse CLOUD Act, aangenomen in 2018, verleent Amerikaanse autoriteiten de bevoegdheid om Amerikaanse bedrijven te dwingen gegevens te overhandigen, ongeacht waar die gegevens fysiek zijn opgeslagen. Dit staat rechtstreeks op gespannen voet met Artikel 48 van de AVG, dat stelt dat buitenlandse rechterlijke bevelen tot gegevensoverdracht alleen geldig zijn wanneer ze zijn gebaseerd op een internationale overeenkomst. Het resultaat is een onoplosbare juridische spanning: organisaties die gebruikmaken van in de VS gevestigde aanbieders staan voor een situatie waarbij naleving van de wetgeving van de ene jurisdictie betekent dat die van de andere wordt geschonden.

Dit is niet hypothetisch. Eind 2025 kondigde het Amerikaanse IT-bedrijf Kyndryl zijn voornemen aan om Solvinity, een Nederlandse managed cloudprovider, over te nemen. Verschillende Nederlandse overheidsklanten, waaronder de gemeente Amsterdam en het Ministerie van Justitie en Veiligheid, hadden specifiek gekozen voor Solvinity om hun afhankelijkheid van Amerikaanse bedrijven te verminderen en CLOUD Act-risico's te beperken. Solvinity beheert kritieke nationale infrastructuur, waaronder het Nederlandse burgerauthenticatiesysteem DigiD. De overname plaatst deze systemen direct binnen het potentiële bereik van Amerikaanse autoriteiten. Het was, zoals meerdere rapporten het omschreven, een onaangename verrassing.

Ondertussen nemen zelfs Europa's eigen instellingen actie. Het Internationaal Strafhof in Den Haag verving zijn Microsoft-kantoorsoftware eind 2025 door een Europees open-source alternatief, mede gedreven door een incident waarbij zijn hoofdaanklager naar verluidt werd buitengesloten van zijn Outlook-e-mailaccount onder Amerikaanse politieke druk.

Het concentratierisico

Ongeveer twee derde van de Europese cloudinfrastructuurmarkt wordt gecontroleerd door drie Amerikaanse bedrijven: Amazon Web Services, Microsoft Azure en Google Cloud. Sommige analisten schatten het bredere cijfer zelfs hoger: de Eurostack Foundation schat dat 90% van Europa's digitale infrastructuur wordt beheerst door niet-Europese, voornamelijk Amerikaanse bedrijven. Dit is niet alleen een soevereiniteitsprobleem; het is een concentratierisico. Wanneer kritieke bedrijfsactiviteiten afhangen van een klein aantal buitenlandse aanbieders, kan elke geopolitieke verstoring, regelgevingswijziging of commerciële beslissing van die aanbieders onevenredige gevolgen hebben.

De 'soevereine cloud'-aanbiedingen van Amerikaanse hyperscalers, zoals AWS's European Sovereign Cloud, Microsoft's Azure soevereine regio's en Google's distributed cloud, worden door juridische experts met scepsis bekeken. Het kernprobleem blijft: zolang de moedermaatschappij een Amerikaanse entiteit is, is ze onderworpen aan de Amerikaanse wetgeving. De locatie van data wordt, zoals een techrechtexpert opmerkte, irrelevant voor de toepasselijkheid van Amerikaanse wetgeving.

Wat er op het spel staat voor ondernemingen

De risico's van het negeren van soevereiniteit zijn concreet en groeiend. Voor gereguleerde sectoren in het bijzonder gaat het niet alleen om nalevingschecklists, maar om de levensvatbaarheid van AI-adoptie zelf.

Regelgevingsrisico is het meest voor de hand liggende risico. Nu de EU AI-wet wordt gehandhaafd en AVG-boetes blijven stijgen, staan ondernemingen die niet kunnen aantonen dat ze controle hebben over hun AI-datastromen voor aanzienlijke financiële en juridische aansprakelijkheid. Maar de risico's reiken verder dan boetes. In professionele dienstverlening, met name de juridische praktijk, leidt een schending van de vertrouwelijkheid van cliënten niet alleen tot een sanctie; het kan carrières beëindigen en kantoren vernietigen. De CCBE heeft expliciet gewaarschuwd dat gegevens die in AI-tools worden ingevoerd, door aanbieders kunnen worden opgeslagen en hergebruikt voor trainingsdoeleinden, waardoor een vertrouwelijkheidsrisico ontstaat dat raakt aan de kern van de advocaat-cliëntrelatie.

Leveranciersgebondenheid vormt een ander strategisch risico. Ondernemingen die diep zijn ingebed in het ecosysteem van één aanbieder, staan voor beperkte transparantie, beperkte portabiliteit en de reële mogelijkheid dat commerciële of geopolitieke beslissingen buiten hun controle hun AI-mogelijkheden van de ene op de andere dag ingrijpend wijzigen. De nieuwe overstapvereisten van de EU Data Act zijn bedoeld om dit aan te pakken, maar regelgevende remedies kosten tijd, en in de tussentijd is de afhankelijkheid reëel.

Misschien het belangrijkst: de verwachtingen van cliënten verschuiven. In sectoren die zijn gebouwd op vertrouwen, zoals de juridische, financiële en gezondheidszorgsector, vragen cliënten steeds vaker waar en hoe hun gegevens worden verwerkt. Ondernemingen die die vragen duidelijk en geloofwaardig kunnen beantwoorden, zullen een concurrentievoordeel behalen. Degenen die dat niet kunnen, verliezen opdrachten aan concurrenten die dat wel kunnen.

Wat soevereine AI er in de praktijk uitziet

Soevereine AI is geen enkel product of certificering: het is een aanpak voor het bouwen en inzetten van AI die controle op elke laag verankert. In de praktijk betekent dit dat verschillende elementen samenwerken.

Het begint met EU-gehoste infrastructuur die werkelijk vrij is van extraterritoriale juridische blootstelling. Dat betekent dat de infrastructuurprovider zelf, niet alleen het datacenter, zijn hoofdkantoor heeft en juridisch gevestigd is binnen de EU. Dit onderscheid is enorm belangrijk: een Duits datacenter dat wordt beheerd door een Amerikaans moederbedrijf levert geen echte soevereiniteit op, ongeacht wat de marketingmaterialen zeggen.

Het betekent transparante gegevensverwerkingsovereenkomsten die duidelijk maken waar gegevens naartoe gaan, wie er toegang toe heeft en, cruciaal, dat cliëntgegevens nooit worden gebruikt om de AI-modellen te trainen of te verfijnen. Deze toezegging van 'geen training op cliëntgegevens' is bijzonder belangrijk in professionele dienstverlening, waar de CCBE modeltraining op cliëntinvoer identificeert als een primair vertrouwelijkheidsrisico.

Het betekent modelflexibiliteit: de mogelijkheid om AI-modellen te kiezen, te wisselen of te verfijnen zonder gebonden te zijn aan het eigen ecosysteem van één leverancier. Open architecturen en interoperabele standaarden (zoals het Model Context Protocol, dat terrein wint als industriestandaard voor het koppelen van AI-systemen aan externe tools) verminderen afhankelijkheid en toekomstbestendigen investeringen.

En het betekent compliance by design in plaats van compliance als nagedachte. De meest effectieve soevereine AI-oplossingen plakken privacy en governance niet achteraf op bestaande platforms: ze zijn van de grond af opgebouwd met regelgevingsverplichtingen als eersteklas vereisten. Dit is het verschil tussen een oplossing die toevallig AVG-conform is en een oplossing waarbij naleving technisch wordt gehandhaafd in de architectuur zelf.

Aan de slag: een praktische routekaart

Als soevereiniteit aanvoelt als een grote en complexe onderneming, is dat ook zo. Onderzoek van McKinsey laat zien dat soevereine cloud- en AI-migraties doorgaans drie tot vier jaar vergen, niet vanwege technologische beperkingen, maar vanwege het organisatorische werk dat gepaard gaat met het verplaatsen van gereguleerde werklasten. Het goede nieuws is dat u niet alles tegelijk hoeft op te lossen. Een gefaseerde aanpak werkt goed.

Voer ten eerste een audit uit van uw huidige AI-stack. Breng in kaart waar uw gegevens naartoe gaan wanneer u AI-tools gebruikt. Identificeer welke aanbieders in de VS zijn gevestigd en daardoor mogelijk onderworpen zijn aan de CLOUD Act. Begrijp welke van uw AI-toepassingen gevoelige gegevens betreffen, zoals cliëntinformatie, personeelsgegevens en bedrijfseigen IP, en welke werkelijk laag risico zijn.

Breng ten tweede uw regelgevingsverplichtingen in kaart. De AVG is de basis, maar sectorspecifieke regels zijn van groot belang. Als u in de juridische praktijk werkt, zouden de NOvA- en CCBE-aanbevelingen uw AI-beleid moeten vormgeven. Als u in de financiële sector zit, zijn de hoog-risicoclassificaties van de EU AI-wet en de DORA-vereisten van toepassing. Als u in de gezondheidszorg werkt, komen er extra gegevensbeschermingslagen bij kijken. Denk niet alleen aan wat vandaag vereist is, maar overweeg ook wat er na augustus 2026 aankomt.

Evalueer ten derde uw aanbieders op soevereiniteitscriteria. Stel kritische vragen: Waar is de aanbieder gevestigd? Is deze onderworpen aan extraterritoriale wetgeving? Worden cliëntgegevens gebruikt voor modeltraining? Kunt u van aanbieder wisselen zonder uw gegevens of werkstromen te verliezen? Is naleving contractueel beloofd of technisch gehandhaafd? De antwoorden zullen veel zeggen over of uw huidige opzet werkelijk soeverein is of slechts 'sovereign-washed'.

Begin ten vierde klein. Pilot soevereine AI in uw meest gevoelige werkstromen als eerste, namelijk die met cliëntvertrouwelijkheid, gereguleerde data of hoogwaardige IP. Dit stelt u in staat vertrouwen en interne expertise op te bouwen zonder een volledige migratie te proberen. Het onderzoek van McKinsey ondersteunt deze gefaseerde aanpak en merkt op dat toonaangevende ondernemingen hun werklasten segmenteren en soevereine infrastructuur reserveren voor wat dat echt nodig heeft.

Bouw ten vijfde interne kennis op. Soevereiniteit is niet alleen een IT-beslissing: het raakt aan juridische zaken, compliance, inkoop en de directie. Het Fast Company-perspectief vat dit goed samen: governance slaagt wanneer het de realiteit weerspiegelt dat medewerkers AI zullen experimenteren ongeacht het beleid, en biedt goedgekeurde, bedrijfsklare omgevingen waar teams veilig nieuwe tools kunnen adopteren.

Soevereiniteit als concurrentievoordeel

Het is verleidelijk om AI-soevereiniteit te framen als een kostenpost of nalevingslast, nog iets om over na te denken in een toch al complexe regelgevingsomgeving. Maar die framing mist de strategische kans.

Ondernemingen die vroeg actie ondernemen op het gebied van soevereiniteit, bouwen iets wat hun concurrenten niet gemakkelijk kunnen repliceren: vertrouwen. Met name in gereguleerde sectoren is het vermogen om cliënten precies te vertellen waar hun gegevens naartoe gaan, te demonstreren dat AI-outputs worden beheerst door de EU-wetgeving en te bewijzen dat vertrouwelijke informatie een gecontroleerde omgeving nooit verlaat, geen afvinkoefening. Het is een echte onderscheidende factor.

McKinsey schat dat soevereine AI een GDP-uplift van €480 miljard voor Europa alleen zou kunnen vertegenwoordigen, waarbij gereguleerde sectoren als eerste profiteren omdat ze eindelijk AI-toepassingen op schaal kunnen inzetten met de juiste soevereine opzet. Onderzoek van Deloitte toont aan dat de 13% van ondernemingen die soevereine, AI-klare fundamenten hebben gelegd, een tot vijf keer hoger rendement op investering realiseren dan hun concurrenten.

De vraag in 2026 is niet of uw onderneming AI-soevereiniteit nodig heeft. Het is of u het zich kunt veroorloven zonder te opereren. Het regelgevingslandschap is duidelijk, de geopolitieke risico's zijn gedocumenteerd en de concurrentiedynamiek verschuift. Ondernemingen die nu soevereine AI-fundamenten bouwen, doordacht, in fasen, te beginnen met hun meest gevoelige werklasten, zullen de leiders zijn in de volgende golf van betrouwbare AI-adoptie.

Want uiteindelijk hoeven technologische vooruitgang en uw professionele waarden niet in conflict te zijn. Ze moeten samen vooruitgaan.

Over GLBNXT

GLBNXT biedt soevereine AI-oplossingen gebouwd voor gereguleerde sectoren. Ons platform is 100% EU-gehost, AVG-conform by design en gebouwd met nul training op cliëntgegevens. We werken met advocatenkantoren, overheidsadviesbureaus en ondernemingen die AI nodig hebben waarop ze kunnen vertrouwen. Ga voor meer informatie of om een demonstratie te plannen naar www.glbnxt.com.

Key Sources

• McKinsey, “Sovereign AI ecosystems for strategic resilience and economic impact,” March 2026

• Deloitte, “State of AI in the Enterprise: The Untapped Edge,” via World Economic Forum, January 2026

• Deloitte, “A new era of self-reliance: Navigating technology sovereignty,” TMT Predictions 2026

• EU AI Act Implementation Timeline (artificialintelligenceact.eu)

• European Commission, “AI Act, Shaping Europe’s digital future,” 2026

• IBM, “What is AI Sovereignty?,” February 2026

• Computer Weekly, “Sovereign cloud and AI services tipped for take-off in 2026”

• The Register, “Europe gets serious about cutting US digital umbilical cord,” December 2025

• Fast Company, “Sovereign AI is reshaping enterprise responsibility,” March 2026

• CIO.com, “Building sovereignty at speed in 2026,” December 2025

• CCBE Guide on the Use of Generative AI by Lawyers, October 2025

• NOvA Recommendations on AI in Legal Practice, 2025