Neem contact op
Cryptography PKI

De stekker en de sleutel: een nuchtere kijk op digitale souvereiniteit

Richard Landman
Placeholder for Richard landman 1024x1024Richard landman 1024x1024

Richard Landman , Marketing & Portfolio Director , Nomios Nederland

5 min. leestijd
Placeholder for Firefly replace the key by a more common key 763710Firefly replace the key by a more common key 763710
Thales

Share

Digitale souvereiniteit is in Europa in korte tijd verschoven van een abstract beleidsconcept naar een concreet boardroom-thema. Dat heeft weinig met modewoorden te maken en alles met geopolitiek: afhankelijkheden die jarenlang geen probleem waren, staan opeen in een ander daglicht. Opiniemakers zoals Cristina Caffarra agenderen die afhankelijkheden scherp en duwen het debat richting een ongemakkelijke, maar noodzakelijke vraag: als de fundamenten van je digitale keten buiten Europa liggen, wat betekent autonomie dan nog?

Toch helpt het om de discussie te ontrafelen. Digitale souvereiniteit is geen ideologisch project en ook geen eenmalige migratie-oefening. In essentie gaat het over business continuity: kun je blijven leveren als de spelregels veranderen?

Twee ongewenste scenario’s: meelezen en de stekker

Als je alle varianten van “digitale souvereiniteit” terugbrengt tot de kern, blijven er voor veel organisaties twee risico’s over.

Het eerste risico is meelezen: ongewenste toegang tot data. Dat kan direct (misbruik, supply chain, kwetsbaarheden), maar ook indirect via juridische of contractuele druk op dienstverleners die onder niet-Europese wetgeving vallen. Voor de business maakt de route vaak niet uit; de uitkomst is hetzelfde: verlies van vertrouwelijkheid en controle.

Het tweede risico is de stekker eruit: een (tijdelijke) opschorting of beëindiging van dienstverlening, bijvoorbeeld door geopolitieke escalatie, sancties, beleidswijzigingen, exportrestricties, of simpelweg een commerciële keuze die jouw organisatie hard raakt. Hoe waarschijnlijk je dit ook acht, de impact kan groot zijn—en dus hoort het thuis in elk serieus continuïteitsplan.

Realisme: volledig loskoppelen van hyperscalers is zelden haalbaar

De reflex “dan moeten we weg bij hyperscalers” klinkt daadkrachtig, maar is voor de meeste organisaties niet realistisch. De publieke cloud is diep verweven met moderne IT: van collaboration en identity tot data platforms, CI/CD, observability en securitydiensten. Bovendien is “weggaan” niet alleen techniek, maar ook mensen, processen, contracten, ecosysteem en tijd. Het resultaat is dat veel organisaties óf niets doen, óf verstrikt raken in een onhaalbare ‘alles-moet-soeverein’-doelstelling.

Een nuchtere aanpak begint daarom niet bij leverancierskeuze, maar bij triage: wat is voor jouw organisatie écht kritiek? Welke processen móéten door? Welke data is kroonjuweel-data? Welke capabilities zijn essentieel om veilig te blijven opereren?

Wie dat goed in kaart brengt, komt meestal uit op een tweedeling: een groot deel van de workloads kan prima in public cloud blijven, mits goed ontworpen, terwijl een kleiner deel extra waarborgen vraagt. Digitale souvereiniteit wordt dan geen dogma, maar een gedifferentieerde strategie.

Tegen de stekker kun je mitigeren, tegen meelezen kun je ontwerpen

Het “stekkerrisico” kun je beperken, maar zelden volledig elimineren. Je kunt werken met exit-plannen, portability, multi-region architecturen, redundantie, contractuele afspraken, alternatieve leveranciers voor kritieke control planes en periodieke scenario-oefeningen. Dat is allemaal verstandig, maar geen zilveren kogel.

Voor “meelezen” ligt dat anders. Daar kun je wél een fundamentele ontwerpkeuze maken: neem de cryptografische controle terug. Met andere woorden: zorg dat vertrouwelijkheid niet afhankelijk is van de welwillendheid, het beleid of de juridische context van je cloudprovider, maar van jouw eigen sleutels, jouw eigen trust model en jouw eigen governance.

En precies daar komt PKI in beeld.

Managed PKI als hefboom voor souvereiniteit

Een (Managed) PKI-oplossing maakt het mogelijk om zelf het “trust-anker” te beheren: certificaten, sleutelmaterialen, policies, lifecycle, uitgifte en intrekking. Het woord “managed” wordt soms verkeerd begrepen als “uitbesteden en vergeten”. In een volwassen opzet betekent het vooral: professioneel beheer en continuïteit, terwijl eigenaarschap en beleidscontrole bij de organisatie blijven.

In praktische termen stelt een eigen PKI je in staat om:

  • end-to-end encryptie en mutual TLS af te dwingen tussen applicaties en services;
  • onder eigen beleid certificaten uit te geven en te roteren;
  • cryptografische identiteit te koppelen aan workloads en apparaten (Zero Trust op schaal);
  • sleutelgebruik te auditen en te scheiden volgens “separation of duties”.

Het kernprincipe is eenvoudig: wie de sleutel beheert, beheert de data. Als je provider jouw sleutels (direct of indirect) kan bijmaken, bewaren of vrijgeven, dan bestaat er altijd een scenario waarin data ontsleuteld kan worden zonder jouw toestemming.

Placeholder for Adobe Stock 43574830Adobe Stock 43574830

Het meest kritische onderdeel: key custody en HSM—en dat kan Europees

Wie cryptografische controle serieus neemt, komt al snel uit bij key custody en Hardware Security Modules (HSM’s). Niet omdat het “mooi” is, maar omdat daar de harde grens ligt: sleutels moeten veilig gegenereerd, opgeslagen en gebruikt worden—idealiter zó dat private keys de beschermde omgeving nooit verlaten.

En hier zit een belangrijk, vaak onderschat punt in het Europese souvereiniteitsdebat: het meest kritische element van deze aanpak is wél degelijk Europees te verankeren. Een leverancier als Thales speelt al jaren een centrale rol in HSM-technologie en key management. Dat maakt het mogelijk om een trustlaag te bouwen die niet automatisch meebeweegt met niet-Europese juridische of geopolitieke druk.

De strategische consequentie is groot: je kunt voor veel toepassingen blijven profiteren van public cloud—schaal, snelheid, innovatie—terwijl je de vertrouwelijkheid borgt via een eigen cryptografische laag. Je verplaatst het zwaartepunt van “vertrouwen in de provider” naar “vertrouwen in je eigen sleutels en policies”.

De metafoor: de sleutel van je huis

Stel je voor dat je je huis beveiligt, maar je laat een derde partij de sleutels maken én bewaren “voor het gemak”. Misschien gaat het jarenlang goed. Maar op het moment dat er druk ontstaat—juridisch, commercieel of operationeel—heb jij niet langer de enige controle over wie naar binnen kan.

Digitale soevereiniteit werkt vergelijkbaar. Als jij je sleutels zelf genereert en bewaart in je eigen “sleutelkastje” (je eigen PKI, je eigen key custody, je eigen HSM-beleid), dan blijft de toegang tot jouw data uiteindelijk van jou. Laat je een andere partij jouw sleutels beheren, dan creëer je een structurele afhankelijkheid die je later nauwelijks nog kunt repareren, zeker niet onder tijdsdruk.

Een pragmatische route vooruit

De meest werkbare benadering voor organisaties is daarom geen “cloud-ja of cloud-nee”, maar een set ontwerpkeuzes rond kritikaliteit:

  1. Classificeer je processen en data: wat is mission critical, wat is kroonjuweel, wat is vervangbaar?
  2. Bepaal je crypto-grens: waar moeten sleutels en trust definitief onder jouw governance vallen?
  3. Implementeer (Managed) PKI met strak lifecycle management: rotatie, revocation, audit, policy enforcement.
  4. Veranker sleutelbeheer in HSM met aantoonbare scheiding van rollen en heldere logging.
  5. Operationaliseer het geheel: incident response rond key compromise, periodieke tests, en ontwerpprincipes die teams kunnen herhalen.

Zo ontstaat een situatie waarin je, zelfs als je niet volledig loskomt van hyperscalers, wél een soevereine kern bouwt rondom het meest gevoelige deel: de cryptografische controle.

Tot slot

Digitale souvereiniteit wordt in Europa vaak gevoerd als een debat over leveranciers, labels en datalocatie. Maar voor organisaties is het vooral een continuïteitsvraagstuk. De stekker is complex en vraagt scenario’s, mitigaties en realistische exit-plannen. De sleutel is concreter: die kun je vandaag al terugnemen door PKI, key custody en HSM’s onder eigen governance te brengen.

De vraag die we moeten stellen is niet: “Kun je zonder hyperscalers?”
Maar: “Welke deuren in jouw digitale huis wil je zélf kunnen blijven afsluiten—ongeacht wat er buiten gebeurt?”

Kom in contact met onze experts

Ons team staat voor je klaar

Wil je meer weten over dit onderwerp? Laat een bericht of je nummer achter en we bellen je terug. We helpen je graag verder.

Artikelen

Meer updates

Placeholder for Hetportretbureau HR T1 A0032 1Hetportretbureau HR T1 A0032 1

NGFW Firewall

Top 5 NGFW-oplossingen voor 2026

Krijg inzicht in de rol van NGFW’s in 2026 en ontdek hoe toonaangevende firewallplatformen zero trust, hybride cloud security en het beperken van risico’s ondersteunen binnen moderne organisaties.

Enrico Bottos
Placeholder for Enrico BottosEnrico Bottos

Enrico Bottos

7 min. leestijd
Placeholder for Secure enterprise browserSecure enterprise browser
Palo Alto Networks

Browser

De browser als strategisch onderdeel van het security-ecosysteem

Sinds ongeveer een jaar zien we duidelijke versnelling in de markt: toonaangevende SASE‑ en cybersecurityspelers positioneren de browser expliciet als onderdeel van hun platformstrategie.

Richard Landman
Placeholder for Richard landman 1024x1024Richard landman 1024x1024

Richard Landman

3 min. leestijd
Placeholder for Back Box and Nomios network automationBack Box and Nomios network automation

Persbericht

BackBox en Nomios bundelen krachten voor snellere network automation en krachtige cyberweerbaarheid

BackBox ondersteunt Nomios bij soepele integratie met diverse tools en multi-vendor devices voor volledige zichtbaarheid in hybride netwerkomgevingen.

2 min. leestijd
Alle artikelen