De data-soevereiniteitsillusie: Waarom 'Local Zones' niet genoeg zijn

De geografie van een leugen

In de strakke, glazen bestuurskamers van Frankfurt, Parijs en Amsterdam heeft zich een comfortabele fictie geworteld. Het is de fictie van de 'Local Zone'. Het vertelt een eenvoudig, geruststellend verhaal aan zowel CIO's als ministers: als u uw data in een datacenter plaatst dat zich fysiek op Europese bodem bevindt (een onopvallend pakhuis in een buitenwijk van Dublin misschien, of een bunker nabij Frankfurt), bent u beschermd. U bent compliant. U bent soeverein.

Dit verhaal wordt verteld door 's werelds grootste hyperscalers: Amazon Web Services, Microsoft Azure, Google Cloud. Het wordt herhaald door inkoopmanagers, gevalideerd door dure consultants en afgetekend door compliance-teams die wanhopig een vinkje willen zetten. Het vormt de basis van miljarden euro's aan IT-uitgaven in de hele Europese Unie.

Het is echter, om het bot te zeggen, een gevaarlijke illusie.

In 2025 is de fysieke locatie de minst belangrijke factor in data-soevereiniteit. Het is een overblijfsel uit de tijd dat data fysiek papier in een archiefkast was. In het digitale tijdperk kan de fysieke schijf waar uw data op staat zich weliswaar in een serverrek in Dublin bevinden, maar als het identiteitsbeheersysteem dat de toegang daartoe regelt in Virginia draait, bent u niet soeverein. Als het supportteam dat de server repareert verantwoording aflegt aan een manager in Seattle, bent u niet soeverein. En als de encryptiesleutels die uw data vergrendelen uiteindelijk beheerd kunnen worden door een Amerikaanse entiteit die onder de CLOUD Act valt, bent u zeker niet soeverein.

We bouwen onze kritieke infrastructuur (onze energienetten, onze zorgsystemen, onze bankgrootboeken, onze defensielogistiek) op een fundering van drijfzand. We hebben 'residentie' verward met 'soevereiniteit'. En in een wereld van toenemende geopolitieke instabiliteit zou die verwarring ons onze onafhankelijkheid kunnen kosten.

De anatomie van de cloud: Spieren vs. Brein

Om te begrijpen waarom het 'Local Zone'-model faalt, moet u voorbij de marketingbrochures kijken en de architectuur van de moderne publieke cloud begrijpen. We zijn geneigd de cloud te zien als een verzameling servers (rekenkracht) en harde schijven (opslag). Maar dit zijn slechts de spieren. Het 'brein' van de cloud is de Control Plane.

De Control Plane is de gecentraliseerde softwarelaag die alles orkestreert. Het bepaalt wie een virtuele machine mag opstarten. Het bepaalt wie toegang krijgt tot een database. Het beheert de facturatie. Het pusht de software-updates. Het bezit de hoofdsleutels. En cruciaal: voor de grote Amerikaanse hyperscalers is deze Control Plane een wereldwijd, verenigd systeem. Het is niet gefedereerd; het is gecentraliseerd. En het wordt bijna zonder uitzondering bestuurd vanuit de Verenigde Staten.

Wanneer een Europese bank haar kernbanksysteem uitrolt in een 'soevereine' regio van een Amerikaanse hyperscaler, huren ze in feite een kamer in een enorm hotel. Ze kunnen de deur van hun kamer op slot doen, zeker. Ze kunnen hun eigen meubels meenemen. Maar de verhuurder beheert het beveiligingssysteem van het gebouw, de elektriciteit, het water, de liften, en (cruciaal) de moedersleutel die alle andere sleutels overrulet.

Deze centralisatie creëert twee duidelijke risico's: het technische risico en het juridische risico.

Het technische risico: De US-East-1 afhankelijkheid

De technische kwetsbaarheid van deze architectuur is niet theoretisch; het is keer op keer aangetoond. Ervaren cloud engineers kennen het grapje: "Als US-East-1 niest, wordt het internet verkouden." US-East-1 (Northern Virginia) is de primaire regio voor veel AWS-diensten en host vaak de wereldwijde control plane voor specifieke functies.

We hebben meerdere gevallen gezien waarin storingen in Virginia diensten in EU-West (Ierland) of EU-Central (Frankfurt) platlegden. Waarom? Omdat de lokale regio in Europa gebruikers niet kon authentiseren, of geen nieuwe resources kon provisioneren, omdat het contact met het 'moederschip' in de VS verloren was. Als een glasvezelbreuk, een softwarebug of een cyberaanval in Virginia uw bedrijf in Berlijn kan stilileggen, is uw bedrijf niet soeverein. U zit vast aan een digitaal infuus.

Ware soevereiniteit vereist de 'Internet Pull Test'. Als u fysiek de glasvezelkabels zou doorknippen die Europa met de Verenigde Staten verbinden, zou uw digitale infrastructuur dan blijven functioneren? Voor de meeste Europese bedrijven die op Amerikaanse clouds draaien, is het antwoord een angstaanjagend "Nee". Ze zouden de mogelijkheid verliezen om in te loggen (Identity en Access Management 'bellen' vaak naar huis), de mogelijkheid om op te schalen (Control Plane onbereikbaar), en potentieel de mogelijkheid om data te ontsleutelen (Key Management Service onbereikbaar).

Het juridische risico: De lange arm van de Amerikaanse wet

De juridische dimensie is nog scherper dan de technische, en dit is waar de marketing van 'Local Zones' volledig door de mand valt. De Verenigde Staten hebben een juridisch kader dat het idee van data-soevereiniteit op basis van fysieke locatie expliciet verwerpt.

De CLOUD Act

De Amerikaanse CLOUD Act (Clarifying Lawful Overseas Use of Data Act), aangenomen in 2018, was een gamechanger. Deze wet werd ontworpen om een specifiek probleem voor Amerikaanse wetshandhavingsinstanties op te lossen: ze wilden data die door Microsoft in Ierland werd beheerd, en Microsoft weigerde die te overhandigen met het argument dat dit onder Ierse jurisdictie viel. De CLOUD Act maakte dat argument irrelevant.

Onder de CLOUD Act kunnen Amerikaanse wetshandhavingsinstanties elk in de VS gevestigd technologiebedrijf (of elk bedrijf met een 'sufficient nexus', voldoende verbinding, met de VS) dwingen data af te staan die zij beheren, ongeacht waar die data is opgeslagen. Het maakt niet uit of de server in Parijs staat. Het maakt niet uit of de dochteronderneming die de data beheert een Ierse Limited Liability Company is. Als het moederbedrijf Amerikaans is, ligt de data binnen het bereik van Amerikaanse rechtbanken.

Dit is extraterritorialiteit verankerd in de wet. Het behandelt Amerikaanse techbedrijven als verlengstukken van de Amerikaanse staat, met de macht om in buitenlandse jurisdicties te reiken en informatie te extraheren zonder het traditionele proces van wederzijdse rechtshulpverdragen (MLAT) te doorlopen.

FISA 702 en 'Upstream' surveillance

Naast standaard wetshandhaving is er het domein van nationale veiligheid. Sectie 702 van de Foreign Intelligence Surveillance Act (FISA) stelt Amerikaanse inlichtingendiensten (zoals de NSA) in staat om Amerikaanse aanbieders van elektronische communicatiediensten te dwingen mee te werken aan de surveillance van niet-Amerikaanse personen die zich buiten de Verenigde Staten bevinden.

Dit gaat niet over het vangen van criminelen; het gaat over buitenlandse inlichtingen. "Buitenlandse inlichtingen" is een breed begrip dat alles kan omvatten, van terrorisme tot handelsbesprekingen, diplomatieke strategieën en industriële capaciteiten. Onder FISA 702 kan een Amerikaanse cloudprovider bevolen worden om communicatie of data te onderscheppen. Cruciaal is dat het hen vaak verboden wordt om het bestaan van zo'n bevel openbaar te maken.

Het Europese Hof van Justitie (HvJ-EU) is zich hier terdege van bewust. In de baanbrekende Schrems II-uitspraak in 2020 verklaarde het HvJ-EU de 'Privacy Shield' data-overeenkomst tussen de EU en de VS ongeldig. De redenering van het hof was expliciet: Amerikaanse surveillancewetten (FISA 702, EO 12333) zijn disproportioneel en bieden Europese burgers geen afdwingbare rechten. Daarom bieden de VS geen "passend beschermingsniveau" voor persoonsgegevens zoals vereist door de AVG (GDPR).

We zitten dus in een situatie waarin Europese bedrijven Amerikaanse clouds gebruiken om gevoelige data op te slaan, daarbij doende alsof deze in Europa blijft om aan interne compliance te voldoen, terwijl het hoogste hof in Europa heeft geoordeeld dat het Amerikaanse juridische kader die data onveilig maakt. Het is cognitieve dissonantie van epische proporties. Het is een compliance-tijdbom die wacht om te ontploffen.

De "Break Glass" achterdeur

Cloudproviders negeren dit niet. Ze weten dat het een verkoopblokkade is. Dus komen ze met 'Sovereign Cloud'-aanbiedingen. Ze claimen 'Operationele Soevereiniteit'. Ze zeggen: "Alleen EU-personeel heeft toegang tot uw data." Ze tuigen indrukwekkend klinkende juridische structuren, onafhankelijke beheerders en lege vennootschappen op.

Maar als u in de Service Level Agreements (SLA's) en de kleine lettertjes van de technische documentatie duikt, vindt u bijna altijd een 'Break Glass'-bepaling. Dit is een clausule die het wereldwijde (Amerikaanse) supportteam toestaat toegang te krijgen tot de lokale infrastructuur in geval van een "kritiek incident", "technische noodsituatie" of "beveiligingsdreiging" die het lokale team niet aankan.

Vanuit het perspectief van security engineering is een 'Break Glass'-mechanisme een achterdeur. Het is een bevoorrecht toegangspad dat de standaardcontroles omzeilt. En wie beslist wanneer het glas gebroken wordt? De provider. Wie definieert wat een "kritiek incident" is? De provider.

In een geopolitieke crisis (een handelsoorlog bijvoorbeeld, of een conflict over sancties) wordt dat 'Break Glass'-mechanisme een strategische kwetsbaarheid. Een buitenlandse overheid zou de provider in theorie kunnen dwingen het glas te breken, niet om een server te repareren, maar om data te exfiltreren, sancties af te dwingen of operaties te verstoren.

Zelfs zonder kwade opzet vormt het 'Follow the Sun'-supportmodel een risico. Wanneer een complex database-corruptieprobleem optreedt om 3 uur 's nachts in Frankfurt, heeft het lokale supportteam wellicht niet de diepgaande expertise om het op te lossen. Ze escaleren het naar het kern-engineeringteam. Waar bevindt dat team zich? Meestal in Seattle of Silicon Valley. Om het probleem op te lossen, heeft de engineer in Seattle logs, geheugendumps en misschien toegang tot het datavolume nodig. Op het moment dat die toegang wordt verleend, is de soevereiniteit geschonden.

Ware soevereiniteit: De Dweve definitie

Bij Dweve geloven we dat de term "soevereiniteit" zo verwaterd is dat hij betekenisloos is geworden. We moeten hem terugclaimen. We hebben een rigoureuze definitie van soevereiniteit nodig, gebaseerd op engineering, niet op juridische haarkloverij.

Voor ons is een systeem pas soeverein als het voldoet aan drie harde criteria. Dit zijn geen "nice to haves"; het zijn binaire testen waar je wel of niet voor slaagt.

1. Technische Autonomie (De Losgekoppelde Staat)

Het systeem moet in staat zijn volledig te functioneren zonder enige verbinding met een centrale, buitenlandse control plane. Dit betekent dat het "brein" van het systeem (de scheduler, de identity provider, de sleutelbeheerder) lokaal in de implementatie aanwezig moet zijn.

De meeste publieke cloud-stacks falen direct voor deze test. Ze vereisen constante connectiviteit met de wereldwijde Control Plane voor facturatie, identiteit en beheer. Dweve is anders ontworpen. Onze architectuur is 'edge-first' en gedecentraliseerd. Elk Dweve-cluster is een op zichzelf staand universum. Het heeft zijn eigen lokale consensusmechanisme, zijn eigen lokale identiteitsopslag en zijn eigen lokale besturingslogica.

U kunt een Dweve-cluster draaien in een onderzeeër, een beveiligde bunker of een fabriekshal die is afgesloten van het internet, en het zal onbeperkt blijven functioneren. Het zal het gebrek aan internet in wezen behandelen als een netwerkpartitie en gewoon blijven werken. U kunt lokaal nieuwe resources provisioneren, modellen updaten en gebruikers beheren. Wanneer de verbinding wordt hersteld, kan het synchroniseren (als u dat wilt), maar het hoeft nooit.

2. Juridische Immuniteit

De entiteit die de infrastructuur exploiteert, moet immuun zijn voor extraterritoriale dataverzoeken. Dit betekent dat het geen dochteronderneming mag zijn van een bedrijf dat onder de CLOUD Act of FISA 702 valt. Het moet een Europese entiteit zijn, uitsluitend onderworpen aan Europese wetgeving.

Daarom is Dweve gevestigd in de EU, zonder Amerikaans moederbedrijf en zonder Amerikaanse investeerders met een controlerend belang. We zijn niet anti-Amerikaans; we houden van Amerikaanse innovatie. We zijn pro-soevereiniteit. We kunnen niet door een buitenlandse rechtbank worden gedwongen om onze klanten te verraden, simpelweg omdat we niet onder hun jurisdictie vallen.

3. Cryptografische Controle (HYOK > BYOK)

Encryptie is slechts zo goed als het sleutelbeheer. De industriestandaard "Bring Your Own Key" (BYOK) is een misleidende term. In een BYOK-model genereert u een sleutel en uploadt u deze naar de Key Management Service (KMS) van de cloudprovider. De software van de provider gebruikt die sleutel vervolgens om uw data te versleutelen en te ontsleutelen.

Dit betekent dat de provider de sleutel heeft. Hij bevindt zich misschien maar een milliseconde in het geheugen, maar hij is er. Als de software van de provider gecompromitteerd is, of als ze gedwongen worden hun software aan te passen om de sleutel te onderscheppen, is uw data zichtbaar. U vertrouwt erop dat de provider niet spiekt.

Ware soevereiniteit vereist "Hold Your Own Key" (HYOK). In dit model verlaten de sleutels nooit uw Hardware Security Module (HSM), die op uw eigen locatie blijft. De cloudprovider ziet de sleutel nooit. Cryptografische operaties vinden plaats binnen een Trusted Execution Environment (TEE) of lokaal.

De opslaglaag van Dweve is op dit principe gebouwd. Wij bezitten uw sleutels niet. We willen uw sleutels niet. Als we een gerechtelijk bevel ontvangen, willen we eerlijk kunnen zeggen: "We kunnen u niet helpen. De data is wiskundig ontoegankelijk voor ons."

Het strategische imperatief

Deze discussie wordt vaak geframed als een compliance-kwestie: hoe GDPR-boetes te vermijden. Maar dat is een kortzichtige blik. Dit gaat over strategisch overleven in de 21e eeuw.

We betreden een tijdperk van "technologisch mercantilisme". Naties gebruiken technologie-stacks als hefbomen voor geopolitieke macht. Toeleveringsketens worden als wapen ingezet. Halfgeleiders, AI-modellen en cloudinfrastructuur zijn de nieuwe olie, staal en scheepvaartroutes.

Europa heeft een pijnlijke les geleerd over afhankelijkheid met energie na de Russische invasie van Oekraïne. We realiseerden ons te laat dat het bouwen van onze hele industriële economie op goedkoop gas van één enkele, potentieel vijandige leverancier een catastrofale strategische fout was. We hebben miljarden uitgegeven en een enorme economische schok doorstaan om ons los te koppelen.

We lopen nu het gevaar diezelfde fout te herhalen met onze digitale infrastructuur. We bouwen onze digitale economie (onze AI, onze datameren, onze slimme steden) op de propriëtaire infrastructuur van één enkele buitenlandse mogendheid. Vertrouwen op een buitenlandse Control Plane voor uw kritieke infrastructuur is strategische nalatigheid.

De 'Local Zone' is een comfortabele illusie. Het stelt ons in staat te doen alsof we het probleem hebben opgelost zonder het harde werk te doen om echte onafhankelijkheid te bouwen. Maar illusies, hoe troostrijk ook, spatten uiteindelijk uiteen.

Het is tijd om infrastructuur te bouwen die echt is. Infrastructuur die op eigen benen staat. Infrastructuur die werkelijk, technisch en juridisch soeverein is. Dat is de missie van Dweve.

Dweve bouwt werkelijk soevereine AI-infrastructuur voor Europese ondernemingen. Onze architectuur slaagt voor alle drie de soevereiniteitstesten: technische autonomie (losgekoppelde werking), juridische immuniteit (uitsluitend EU-jurisdictie) en cryptografische controle (HYOK-sleutelbeheer). Geen 'Break Glass'-achterdeurtjes. Geen buitenlandse Control Planes. Geen illusies. Echte soevereiniteit, vanaf de basis ontwikkeld.