Sla zowat elke technologiepresentatie van dit moment open en je komt het woord tegen voordat je bij de derde slide bent. Soevereine cloud. Soevereine AI. Soeverein by design. Het staat op de beursbanners, in de persberichten, halverwege elke tweede productpagina. En ergens in al die herhaling is het stilletjes opgehouden iets te betekenen.

Dat gebeurt nu eenmaal met een woord dat iedereen wil gebruiken. Zodra genoeg mensen die heel verschillende dingen verkopen naar hetzelfde modewoord grijpen, verliest de term de enige eigenschap die hem de moeite waard maakte: het vermogen om twee aanbiedingen uit elkaar te houden. Een risicomanager die drie "soevereine" platforms vergelijkt, heeft geen manier om te weten of het om een echt verschil in controle gaat of om drie marketingteams die in hetzelfde kwartaal bij hetzelfde modewoord uitkwamen.

De natuurlijke reactie is om met je ogen te rollen en door te lopen. Prima bij de meeste marketingruis. Hier is het een valkuil. Onder die ruis zit een echte vraag met gevolgen die op de balans en in de rechtszaal opduiken, en de vermoeidheid leert capabele kopers om af te haken op precies het moment dat ze beter zouden moeten opletten. Dit is dus een poging om weer een bodem onder het woord te leggen: wat sovereignty washing werkelijk is, waarom het woord opnieuw tanden heeft, en hoe je eerlijke claims onderscheidt van witgewassen claims.

Dit patroon kennen we al

Hier hebben we een sjabloon voor. We zagen het bij "groen", toen elk product ineens een blaadje op het etiket kreeg en "duurzaam" ging betekenen wat het marketingbudget nodig had. We zien het nu opnieuw bij "AI", geplakt op functies die nauwelijks geautomatiseerd zijn. Sovereignty washing is dezelfde beweging in een nieuw jasje. Een aanbieder presenteert een product als soeverein zonder datgene te leveren wat het woord hoort te garanderen: echte controle over het systeem en vrijheid van inmenging van buitenaf.

In de praktijk ziet het er aan de oppervlakte meestal redelijk uit. De aanbieder opent een datacenter binnen de landsgrenzen, plakt een regionaal label op de productnaam en verklaart het vakje soevereiniteit afgevinkt. Dataresidentie, zo gaat het argument, staat gelijk aan soevereiniteit.

Dat klopt niet, en het gat tussen die twee dingen is het hele verhaal. Waar je data staat, zegt bijzonder weinig over wie de infrastructuur eronder beheert, wie bij de managementlaag kan, waar de telemetrie naartoe stroomt, of welk recht geldt wanneer een buitenlandse autoriteit erom komt vragen. Een server in Frankfurt die eigendom is van en beheerd wordt door een bedrijf dat onder de rechtspraak van een ander land valt, is tegelijk fysiek lokaal en juridisch buitenlands.

Dit is niet hypothetisch. Toen een hooggeplaatste manager van een van de grootste Amerikaanse cloudaanbieders onder ede voor een nationaal parlement werd gevraagd of het bedrijf kon beloven dat de data van een Europese overheid nooit aan de autoriteiten thuis zou worden overgedragen, was het eerlijke antwoord dat het dat niet kon. Onder de Amerikaanse CLOUD Act kan een aanbieder die onder Amerikaanse rechtsmacht valt, worden gedwongen data te overhandigen, ongeacht in welk land de servers toevallig staan. De postcode op het gebouw verandert daar niets aan.

Waarom het woord weer tanden heeft

Jarenlang bleef dit een traag dispuut tussen Europese aanbieders en de grote hyperscalers, het soort discussie dat congrespanels vulde en nergens toe leidde. Wat er veranderde, is geen slogan. Het is dat de inzet concreet werd, om twee redenen die vandaag al waar zijn in plaats van beloofd voor later.

De eerste is rechtsmacht. Het bereik van buitenlands recht over een aanbieder is geen voorspelling of doemscenario. Het is de operationele werkelijkheid. Een soevereiniteitsclaim die een rechtmatig toegangsverzoek van een andere overheid niet overleeft, is geen zwakkere vorm van soevereiniteit. Het is iets anders met hetzelfde label erop, en geen enkele hoeveelheid lokale hosting herschrijft aan welke rechtbanken een bedrijf gehoorzaamt.

De tweede is dat de koper, niet de verkoper, uiteindelijk met het risico blijft zitten. Een organisatie in een gereguleerde sector heeft een antwoord nodig dat ze kan verdedigen tegenover een auditor en tegenover haar eigen bestuur. Wanneer een soevereiniteitsclaim marketing blijkt te zijn, landt de rekening daarvoor niet bij de leverancier die de brochure drukte. Die landt bij het bedrijf dat het geloofde en erop voortbouwde. Die scheefheid maakt van sovereignty washing geen discussiepunt meer maar een inkoopprobleem met iemands naam eraan.

Twee manieren om het mis te hebben

Hier loopt het gesprek meestal vast, want er zijn twee tegengestelde manieren om het woord te misbruiken, en allebei laten ze de koper slechter achter.

De eerste hebben we al behandeld: geografie als eindstreep behandelen. Zet de data in het land, noem het soeverein, stop met nadenken. Dit is washing door understatement, en het komt vaak voor omdat het makkelijk te verkopen is.

De tweede is luider en de laatste tijd populairder in technische kringen. Het is het puristenstandpunt, en het gaat zo. Geen enkel platform kan ooit echt soeverein zijn, want niemand in Europa beheert de hele stack tot aan het silicium, en zolang de chips ergens anders vandaan komen is het hele idee een fictie. Geef de puristen eerst hun gelijk, want de zorg eronder is terecht. Toeleveringsketens zijn echt een afhankelijkheid, en doen alsof dat niet zo is zou een eigen vorm van washing zijn.

Maar de conclusie volgt niet, en ze rust op een stille categoriefout. Ze verwart soevereiniteit met zelfvoorziening. Soevereiniteit heeft nooit betekend dat je alles zelf maakt. Geen enkel land ter wereld geldt pas als soeverein zodra het zijn eigen lithium delft en zijn eigen brandstof raffineert. Soevereiniteit betekent dat je controle houdt waar controle ertoe doet en overal elders strategische opties openhoudt. De puristentest vraagt of je de complete halfgeleiderketen van de planeet kunt bezitten, een test die zo gebouwd is dat iedereen hem zakt, inclusief de mensen die hem hebben opgesteld. Een norm die niets kan halen, is geen hoge norm. Het is een nutteloze, want hij zegt een koper helemaal niets over welke van twee echte opties de betere is.

Beide fouten richten dezelfde schade aan vanaf tegenovergestelde kanten. De ene zegt dat soevereiniteit triviaal eenvoudig is, de andere dat het ronduit onmogelijk is, en samen wekken ze de indruk dat het woord helemaal niet te meten valt. Dat valt het wel. Je moet het alleen niet langer behandelen als een badge die je wel of niet bezit.

Soevereiniteit is een glijdende schaal, en je kunt het meten

De eerlijke versie van soevereiniteit is gelaagd. Het is een kwestie van hoeveel controle je op elk niveau van het systeem houdt, en de bruikbare zet is om die niveaus één voor één te bekijken in plaats van één oordeel voor het geheel te eisen.

Begin bij waar de data staat. Residentie is de bodem, niet het plafond. Het doet ertoe, maar op zichzelf is het de zwakste van de garanties, want het zegt alleen iets over locatie en niets over controle. Daarboven zit operationele controle: wie het draaiende systeem daadwerkelijk kan aanraken, wie de sleutels in handen heeft, welke engineers bij de managementlaag kunnen, en wat er gebeurt tijdens support en onderhoud wanneer een mens toegang nodig heeft. Hier vallen heel wat soevereine claims stilletjes uit elkaar, omdat de data lokaal kan staan terwijl de handen aan de knoppen dat niet zijn.

Dan komt de juridische laag, de laag die de postcode niet kan repareren. De echte vraag is welk recht openbaarmaking kan afdwingen, en de thuisjurisdictie van een aanbieder volgt hem over elke grens waar hij actief is. Een platform dat wordt gedraaid door een organisatie die buiten buitenlands bereik valt, is soeverein op een manier die een lokaal gehoste maar buitenlands bezeten platform simpelweg niet kan evenaren, hoe de marketing ook klinkt.

Onderaan zit de toeleveringsketen, het silicium waar de puristen graag naar wijzen. Hier is volledig eigendom voor niemand echt haalbaar, dus je houdt op te doen alsof en bouwt in plaats daarvan aan veerkracht. Door de klant beheerde encryptiesleutels houden de data onleesbaar voor iedereen die er niet toe gedwongen kan worden ze los te laten. Echte portabiliteit betekent dat een workload daadwerkelijk kan vertrekken wanneer dat nodig is. Technische omkeerbaarheid voorkomt dat een afhankelijkheid stilletjes uitgroeit tot een gijzeling. De fabriek bezitten kun je niet. Wat je wel kunt, is zorgen dat je nooit vastzit bij degenen die haar wél bezitten, en dat blijkt een vorm van controle die heel wat waard is.

Elk van deze is iets waar een koper in gewone taal naar kan vragen en waar een bouwer met bewijs op kan antwoorden. Eerlijk over elke laag, washing op geen enkele.

De mensen die het moeten vragen, nemen geen genoegen meer met de brochure

Dit alles blijft abstract tot het moment dat de persoon aan de andere kant van de tafel een CISO is, een risicomanager of een externe auditor met een vragenlijst waar onderaan hun eigen handtekening op wacht. Dan wordt het razendsnel concreet.

"Waar draait deze applicatie, wie kan erbij, en welk recht kan toegang afdwingen"

was vroeger een regel die diep weggestopt zat in een leveranciersbeoordeling, vluchtig gelezen en afgevinkt. Het wordt een poort. Een label overleeft het contact niet met iemand die nu juist als taak heeft het te verifiëren, en de vragen worden scherper omdat de mensen die ze stellen al eens door gladde antwoorden zijn gepakt.

Dat vermogen is er al. Security- en privacyteams hebben jaren besteed aan het exact in kaart brengen van waar data naartoe stroomt, en diezelfde discipline reikt nu dieper, tot waar de workload draait en wie de knoppen in handen heeft terwijl het draait. Residentie hield al een tijd geleden op een acceptabel volledig antwoord te zijn. Daarnaast is veerkracht op de agenda van het bestuur beland. Risicomanagers vragen niet alleen of de data veilig is; ze willen weten of het bedrijf afgesneden kan worden, en of het er zelf weer uit kan als het moet. Omkeerbaarheid en portabiliteit, de onderkant van dat gelaagde model, blijken de vragen die bepalen of een afhankelijkheid te tolereren is, en de angst om door een leverancier gegijzeld te worden is een financiële zorg lang voordat het een filosofische wordt.

Wat het allemaal aanscherpt, is dat verantwoordelijkheid persoonlijk is geworden. Wanneer een soevereiniteitsclaim een marketingregel blijkt, ligt de blootstelling niet bij de leverancier. Die ligt bij de bestuurder die de claim accepteerde en in een dossier zette dat hij nu moet verdedigen. "Vertrouw ons, het is soeverein" is niet iets waar een serieuze risicofunctie nog haar naam onder kan zetten. Daarom doet het woord ertoe, en dat heeft niets te maken met wat het in het abstracte betekent. De vraagkant wordt volwassen. De brochure moet nu door een audit komen, en het enige wat door een audit komt is een eerlijke beschrijving, laag voor laag, van wat je beheert en waar je omheen hebt gebouwd.

Waar het op neerkomt

Soevereiniteit is geen sticker die je verdient door een lokaal datacenter te openen, en het is geen fantasie die je opgeeft omdat je je eigen chips niet kunt bakken. Het is een verzameling keuzes in techniek en governance die optellen tot controle die je aan iemand kunt laten zien, in een beoordeling kunt verdedigen en waarop je kunt bouwen wanneer een buitenlandse rechtbank komt aankloppen. Iedereen zegt het woord. Veel minder mensen zijn bereid het te definiëren, want een echte definitie valt te toetsen, en een claim die te toetsen valt, kan fout blijken. Precies daarom staan de kopers die ertoe doen op het punt om bewijs te gaan vragen in plaats van bijvoeglijke naamwoorden.

GLBNXT bouwt soevereine AI-infrastructuur voor gereguleerde Europese ondernemingen en biedt LLM-agnostische, AVG-conforme platforms die volledig binnen de EU worden gehost. Meer informatie op glbnxt.com

Bronnen

• U.S. Department of Justice, CLOUD Act Resources (officieel overzicht en de volledige wettekst): https://www.justice.gov/criminal/cloud-act-resources

• The Register, "Microsoft admits it 'cannot guarantee' data sovereignty" (verslag van het verhoor in de Franse Senaat): https://www.theregister.com/2025/07/25/microsoft_admits_it_cannot_guarantee/

• erp.today, "'Sovereignty Washing': Why Cloud Sovereignty Claims Don't Always Match Reality": https://erp.today/sovereignty-washing-cloud-sovereignty/