Dutch IT Chanel Logo mobile
Search icon
03 mei 2026

Digitale weerbaarheid begint waar soevereiniteit ophoudt

Cloudsoevereiniteit is een aantrekkelijk idee. Zeker in Europa, waar strategische autonomie het afgelopen jaar bijna een reflex is geworden. Net zoals tien jaar geleden de publieke cloud een commerciële reflex werd. De essentie is dat strategische data — inclusief de verwerking — “onder eigen controle” moet blijven, liefst binnen de eigen grenzen en onder eigen wetgeving. Het klinkt logisch, bijna vanzelfsprekend.

Soevereiniteit Cloud Security
Digitale weerbaarheid begint waar soevereiniteit ophoudt image

Maar het is ook een illusie. Niet omdat controle onbelangrijk is, maar omdat het uitgangspunt niet klopt. Data laat zich niet opsluiten binnen landsgrenzen. Het beweegt, wordt gekopieerd, verwerkt en bekeken — vaak gelijktijdig in meerdere jurisdicties. Wie digitale weerbaarheid wil begrijpen, moet daarom niet beginnen bij de vraag waar data staat, maar bij de vraag wat er gebeurt zodra data zich verplaatst.

Data is enerzijds, net als goud, een waardevol bezit dat je in een kluis wilt leggen; anderzijds is het, net als olie, vloeibaar en moet het naar elke plek kunnen stromen waar het bruikbaar is.

Digitale autonomie

Die verschuiving naar weerbaarheid zie je terug in de benadering van de Rijksinspectie Digitale Infrastructuur. Ook de stukken van het Bundesamt für Sicherheit in der Informationstechnik laten zien dat de discussie aan het kantelen is richting iets fundamentelers: digitale weerbaarheid. Niet cloudsoevereiniteit staat centraal, maar digitale autonomie: de mate waarin een organisatie grip heeft op haar afhankelijkheden, processen en risico’s — zowel wat betreft data als de verwerking.

Een Amerikaanse cloud kan acceptabel zijn, een Nederlandse cloud problematisch — afhankelijk van hoe die regie is ingericht. Soevereiniteit blijkt geen eigenschap van technische infrastructuren, maar van governance.

Toch mist er in die discussie vaak een cruciale laag: wetgeving volgt data, maar niet eenduidig. Data die in Nederland is opgeslagen, valt onder de Algemene verordening gegevensbescherming. Maar dezelfde data kan, via toegang of verwerking, ook onder andere regimes vallen. Denk aan extraterritoriale claims zoals de CLOUD Act, of aan data die tijdens transport en overslag (transit) tijdelijk — of simpelweg te lang — onder een andere jurisdictie valt.

Jurisdictie is daarmee een momentopname.

Van soevereiniteit naar weerbaarheid

Dat maakt het idee van een “master dataset” op eigen bodem aantrekkelijk, maar misleidend. Natuurlijk helpt het om een bron van waarheid te hebben — een archief dat onder eigen regie staat, binnen de kaders van bijvoorbeeld de Cyberbeveiligingswet. Het biedt houvast, auditability en herstelvermogen. Maar het verandert niets aan het feit dat elke kopie, elke verwerking en elke toegang juridisch zelfstandig relevant is.

Een dataset die via een website wordt ontsloten, verliest op dat moment zijn territoriale begrenzing. Een gebruiker aan de andere kant van de wereld maakt een kopie — al is het maar via een browsercache of screenshot — en die kopie valt onder een andere werkelijkheid. De master blijft netjes compliant, maar de verspreiding niet. Met de komst van AI-systemen is data bovendien nog moeilijker te begrenzen.

Die spanning is niet nieuw. Organisaties hebben altijd al keuzes moeten maken over hoe ze met waardevolle informatie omgaan: publiceren, bewijzen of geheimhouden — drie strategieën die elk een ander soort bescherming bieden. Dit is al eeuwen zo. Een Octrooi maakt kennis publiek en beschermt via het recht. Het recept van Coca-Cola blijft juist geheim en vertrouwt op afscherming. Daartussen ontstaat een derde route: formele registratie en daarmee aantonen dat je iets wist of had, zonder het volledig prijs te geven.

Data zonder herkomst?

In die tussenruimte past het idee van de non-fungible data-entry, zoals beschreven in NFD: het geboortebewijs van data. Geen claim op absolute controle, maar een vastlegging van herkomst op een open blockchain. Een moment waarop data ontstaat, voorzien van context, identiteit en tijd — niet om verspreiding te voorkomen, maar om altijd te kunnen bewijzen wat de oorsprong is. En dat die creatie compliant plaatsvond. En precies daar ontstaat een nieuw probleem — misschien wel het grootste van allemaal.

Zodra data zich loszingt van zijn bron en context, ontstaat wat je “weesdata” zou kunnen noemen: data zonder verwekker, zonder tijdstempel, zonder metadata en zonder aantoonbare oorsprong. Net als een vluchteling zonder papieren heeft deze data geen identiteit, geen nationaliteit en geen geschiedenis die eenvoudig te verifiëren is. En net als in de fysieke wereld leidt dat tot onzekerheid. Is de data betrouwbaar? Is ze gemanipuleerd? Valt ze onder regelgeving? Mag je haar gebruiken?

Hoe legaal is zwerfdata?

In veel organisaties zwerft dit soort data al rond: CSV-bestanden zonder bronvermelding, datadumps zonder metadata, AI-modellen getraind op datasets waarvan de herkomst onduidelijk is. Het zijn geen uitzonderingen, maar eerder de norm. Weesdata is daarmee geen randverschijnsel, maar een structureel risico. Zie ook mijn eerdere blog ‘Weesdata’ hierover.

Waar soevereiniteit probeert data te controleren en NFD probeert data bij het ontstaan te identificeren, confronteert weesdata ons met het tegenovergestelde: het volledig ontbreken van grip. Niet omdat de infrastructuur faalt, maar omdat de context ontbreekt. En dat maakt weesdata misschien wel gevaarlijker dan data die zich buiten je jurisdictie bevindt.

Want data zonder herkomst is niet te vertrouwen, niet goed te beschermen en nauwelijks juridisch te plaatsen. De reflex is vaak om zulke data te blijven gebruiken “zolang het werkt”. Maar dat is vergelijkbaar met het accepteren van iemands identiteit zonder verificatie — een potentiële bron voor misbruik. Het kan goed gaan, tot het misgaat.

Digitale weerbaarheid

Digitale weerbaarheid vraagt om een andere houding. Niet alles hoeft gecontroleerd te worden, maar alles moet wel te herleiden zijn. Niet elke kopie hoeft te worden voorkomen, maar elke bron moet aantoonbaar zijn. En waar die herkoDoor: Hans Timmerman (foto)mst ontbreekt, moet je een keuze maken: verrijken (context toevoegen), beperken (gebruik minimaliseren) of elimineren (data vernietigen). Dat zijn geen technische keuzes, maar bestuurlijke. In elke dataspace is de betrouwbaarheid van data de basis voor legaliteit.

Cloudsoevereiniteit probeert data binnen grenzen te houden. Digitale weerbaarheid accepteert dat die grenzen poreus zijn. En concepten zoals NFD voegen daar iets essentieels aan toe: niet controle over data, maar identiteit en context van data. Want uiteindelijk is niet de locatie van data doorslaggevend, maar de vraag of je kunt aantonen wat je in handen hebt. In een wereld vol kopieën en verspreiding is niet de best beveiligde dataset het meest waardevol, maar de dataset waarvan de herkomst onbetwistbaar is.

Misschien is dat wel de scherpste realiteit van dit moment: niet alle data is gelijk. Data met een identiteit kun je verdedigen. Data zonder identiteit moet je wantrouwen.

Door: Hans Timmerman (foto)

Dutch IT Security Day 2026 BW + BN TrendSpark 26 BW BN

Dutch IT events

Event icon

Event

Dutch IT Security Day: praktische inzichten, trends en netwerken

Event icon

Event

Dutch IT Channel Awards 2025

Alle events
Dutch IT Security Day 2026 BW + BN

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!