SAP: Soevereiniteit reduceren tot infrastructuurkeuze biedt schijnzekerheid

Merz baseert zijn visie op twintig jaar praktijkervaring met soevereine cloud-implementaties bij overheden en veiligheidsdiensten wereldwijd. SAP werkt al sinds de vroege jaren 2000 met de Amerikaanse federale overheid aan zogenoemde trusted deployments. Dit werk is later uitgebreid naar landen als Australië, Canada, Duitsland, Nederland en Frankrijk. Elk land voegde nieuwe eisen toe aan het raamwerk, wat resulteerde in een geharde set vereisten die SAP inmiddels wereldwijd als standaard gebruikt voor soevereine cloud-implementaties.

Merz kijkt met scepsis naar het Europese soevereiniteitsdebat, dat volgens hem te vaak vastloopt op de vraag naar de infrastructuur: welke hyperscaler, welk datacenter of welk land. Hoewel dit geen verkeerde vragen zijn, innemen ze te veel ruimte ten koste van wat er werkelijk toe doet. De centrale vraag zou moeten zijn: wat moet precies geregeld zijn voordat een organisatie haar meest gevoelige data en processen veilig naar de cloud kan brengen?

Vier dimensies voor digitale soevereiniteit

Merz benadrukt dat soevereiniteit verder gaat dan alleen de locatie van een datacenter. Hij definieert vier dimensies die samen een raamwerk vormen.

De eerste dimensie is datasoevereiniteit: data en metadata moeten binnen het land of de regio blijven, zonder uitzondering. Dit voorkomt dat gevoelige informatie ongemerkt onder buitenlandse jurisdicties of replicatieprocessen valt.

De tweede dimensie is operationele soevereiniteit. Organisaties mogen alleen medewerkers toegang geven tot systemen en data als deze voldoen aan nationale eisen rond nationaliteit en screening. Voor sommige functies is een veiligheidsonderzoek verplicht, met name voor defensie- en inlichtingendiensten. Zij moeten precies weten wie systemen beheert, support verleent of toegang heeft tot gevoelige informatie.

De derde dimensie is technische soevereiniteit. Merz wijst op een element dat SAP onderscheidt van andere aanbieders: het control plane van de cloudomgeving staat in het land zelf en niet in een centraal systeem elders. Dit control plane regelt onder meer beheer, updates en toegangsrechten. Hierdoor houdt een organisatie meer controle over de manier waarop de cloudomgeving wordt beheerd en wie ertoe toegang heeft.

De vierde dimensie is juridische soevereiniteit. Hierbij draait het om de vraag onder welke wetgeving de cloudomgeving valt. Een organisatie moet erop kunnen vertrouwen dat gevoelige data en processen binnen het nationale rechtskader blijven en niet onder buitenlandse regelgeving of juridische claims vallen.

Officiële erkenning als voorwaarde

Het voldoen aan deze vier dimensies is volgens Merz niet voldoende. Een cloudomgeving geldt pas als soeverein wanneer de nationale cybersecurity-autoriteit deze status officieel bevestigt. Welke infrastructuur daaronder draait, is minder belangrijk. Dat kan de eigen cloudinfrastructuur van SAP zijn, maar ook een Amerikaanse hyperscaler of de datacenters van de klant zelf.

Merz wijst erop dat ook militaire organisaties in Europa soms bewust kiezen voor een Amerikaanse hyperscaler. Zolang de nationale cybersecurity-autoriteit vaststelt dat de omgeving voldoet aan alle eisen voor soevereiniteit, biedt SAP die oplossing aan als soevereine cloud.

Weerbaarheid als strategie

De infrastructuuronafhankelijkheid die SAP voorstaat, is volgens Merz geen marketingboodschap, maar een principiële keuze. Deze keuze roept regelmatig weerstand op in het Europese debat over digitale soevereiniteit, waar een deel draait om het principieel weren van Amerikaanse technologie. Merz zegt deze reflex te begrijpen, maar noemt haar uiteindelijk onproductief. Volgens hem kon Europa decennialang vertrouwen op een relatief stabiele geopolitieke omgeving, maar die periode is voorbij. Organisaties die hun cloudstrategie niet voorbereiden op alternatieve scenario’s, maken zichzelf kwetsbaar.

Een multi-cloudstrategie is volgens Merz geen concessie aan soevereiniteitsambities, maar juist een manier om die ambities in de praktijk te brengen. Organisaties kunnen kiezen voor een Amerikaanse hyperscaler vanwege technologische voordelen, terwijl ze tegelijkertijd een Europees of eigen alternatief opbouwen. Deze keuzes sluiten elkaar niet uit.

SAP adviseert klanten daarom om niet volledig afhankelijk te worden van één provider, ook niet van de eigen SAP-infrastructuur. Merz benadrukt dat digitale weerbaarheid altijd vraagt om alternatieven die achter de hand moeten worden gehouden. Organisaties moeten deze scenario’s nu al voorbereiden, en niet pas op het moment dat geopolitieke of technologische ontwikkelingen hen daartoe dwingen.

Merz sluit af met de opmerking dat soevereiniteit niet als een eenmalig compliance-vinkje behandeld mag worden. De echte vragen zijn praktischer van aard: wie heeft toegang tot de data, onder welk rechtsstelsel valt de infrastructuur, en wat gebeurt er als een leverancier wegvalt of de geopolitieke situatie verandert? Wie deze vragen niet beantwoordt, heeft volgens Merz een certificaat, maar geen strategie.

Data benutten, niet bewaken

Die verschuiving van compliance naar weerbaarheid krijgt extra urgentie nu AI dieper doordringt in bedrijfsprocessen en organisaties steeds afhankelijker worden van de data die zij beheren. “Europa produceerde vorig jaar dertig zettabyte aan data. Om dat getal tastbaar te maken: als je één bit vergelijkt met één zandkorrel, dan praten we over dertig Sahara-woestijnen vol zand. Van al die data benutten we tien tot vijftien procent”, zegt Merz.  

“Europa discussieert over de aanleg van nieuwe digitale infrastructuur, terwijl het overgrote deel van de data die al beschikbaar zijn onbenut blijven”, zegt Merz. “De werkelijke opgave is niet waar data worden opgeslagen, maar hoe Europa die data omzet in innovatie en concurrentiekracht."

Voor Merz is soevereiniteit daarin geen rem maar een randvoorwaarde. Zonder controle over data en infrastructuur is het risico te groot om AI op schaal in te zetten in kritieke processen. Dat geldt niet alleen voor defensiebedrijven of inlichtingendiensten, maar voor elke organisatie die afhankelijk is van haar data voor haar kernprocessen. Wie zich niet kan veroorloven dat die data onbereikbaar, onbetrouwbaar of juridisch kwetsbaar worden, kan soevereiniteit niet langer als luxe beschouwen.