Technisch is dat relevant. Azure Local met “disconnected operations”, Microsoft 365 Local (disconnected), en Foundry Local samen voelen als iets wat hyperscalers jarenlang vooral half hebben aangeraakt: niet alleen “hybrid”, maar “air gapped” als first-class scenario. Microsoft positioneert het als een gestandaardiseerde manier om governance, policy en operations consistent te houden over verbonden én losgekoppelde omgevingen. En het benoemt expliciet de “fully disconnected sovereign private cloud” als reële behoefte in gereguleerde contexten.
Disconnected is een capability, geen soevereiniteit
Microsoft Nederland-CEO Joris Schoonis mengde zich met een Engelstalige LinkedIn-post in het Nederlandse soevereiniteitsdebat. De boodschap is strak en praktisch: soevereiniteit is geen theorie, maar de vraag of je kritieke workloads kunt laten draaien op jouw voorwaarden. En Microsoft heeft nu een nieuwe (die er in een iets andere vorm al eerder was , concrete optie: AI en kernworkloads volledig lokaal draaien, desnoods in een compleet losgekoppelde omgeving.
Dus ja: dit is vooruitgang. Maar het legt ook het kernprobleem bloot in het Nederlandse gesprek over soevereiniteit: we blijven soevereiniteit behandelen alsof het een deployment-keuze is.
Een nuttige hefboom voor veerkracht
Laat ik het argument eerst zo sterk mogelijk maken.
Voor nationale diensten, vitale infrastructuur en omgevingen met defensie-achtige eisen is “disconnect” geen romantisch verlangen naar onafhankelijkheid. Het is een operationele randvoorwaarde. Netwerken vallen uit. Leveringsketens breken. Geopolitiek escaleert. Afhankelijkheden worden fragiel. Continuïteit is geen slide, het is een ontwerpconstraint.
Soevereiniteit los je niet op door workloads te verplaatsen.
In dat kader is het een echte toevoeging als je beleid, uitvoering en operationele discipline binnen de door de klant gecontroleerde grens kunt houden, zonder permanente cloudconnectiviteit. Niet als ideologie, maar als instrument.
En Schoonis raakt iets dat het debat wél vooruit helpt: soevereiniteit moet je bewijzen in architectuur en operations. Niet in slogans, maar in ontwerpkeuzes, rollen, processen en controlepunten. Dat is de juiste richting.
De valkuil: soevereiniteit reduceren tot “offline”
Maar precies hier gaat het vaak mis, omdat we het niet hardop durven te zeggen.
Soevereiniteit los je niet op door workloads te verplaatsen. Soevereiniteit los je op door autoriteit te ontwerpen. Ik heb daar eerder over geschreven op iBestuur.
Een losgekoppelde omgeving kan je veerkracht vergroten en lokale controle versterken, maar ze beantwoordt niet automatisch de vragen die in Nederland steeds terugkomen in aanbestedingen, toezicht, beleidsnota’s en Kamerdebatten:
- Welk juridisch kader bindt de leverancier uiteindelijk, en welke verplichtingen kunnen er van buitenaf worden afgedwongen?
- Wie beheert de update-pijplijn, de patchcadans en de dependency chain?
- Wat is auditbaar, door wie, en op basis van welke afdwingbare rechten?
- Wat is de exit-architectuur, niet alleen de exit-clausule?
Als soevereiniteit een keten is, dan is “offline kunnen draaien” één schakel. Een sterke schakel, soms zelfs essentieel. Maar nog steeds één schakel.
En impliciet erkent Microsoft dat zelf: disconnected is niet voor iedereen, en klanten opereren in een mix van connected, hybrid en disconnected, afhankelijk van missie, risico en regulering. Met andere woorden: dit is een placement-optie, geen universele eindstaat.
Sterk als positionering, risicovol als signaal
Schoonis schrijft dat elke klant kan bepalen hoe elke workload draait: in de cloud of disconnected. Als marketingzin is dat krachtig. Als soevereiniteitszin is het ook gevaarlijk.
Het Nederlandse soevereiniteitspubliek bestaat niet alleen uit CIO’s en architecten. Het bestaat óók uit inkopers, auditors, juristen, toezichthouders en bestuurders die inmiddels weten dat “keuze” vaak komt met verborgen voorwaarden: feature-gaps, lifecycle-eisen, vendor-controlled governance-lagen en operationele complexiteit die kosten en risico terugduwen naar de klant.
Hoe absoluter de belofte, hoe sneller het gesprek verschuift van architectuur naar vertrouwen. En vertrouwen is precies het terrein waar soevereiniteit politiek wordt.
Want wat is “jouw voorwaarden” als:
- je afhankelijk blijft van een vendor-identiteitssysteem of licentiemodel dat je niet zelfstandig kunt voortzetten
- security-updates niet reproduceerbaar of onafhankelijk te valideren zijn
- je operationele runbook uiteindelijk een afgeleide is van vendor tooling, vendor logs en vendor policy engines?
Dan heb je mogelijk lokale uitvoering, maar nog geen lokale autoriteit.
Taal is nooit alleen taal
Er zit nog een kleiner signaal in de post dat in Nederland zwaarder weegt dan men in corporate communicatie soms beseft: de boodschap is in het Engels, terwijl hij expliciet op “Nederland” mikt en de Nederlandse context als podium gebruikt.
Soevereiniteit is een institutioneel ontwerpvraagstuk dat zich uit in architectuur, contracten, auditability en afdwingbare exitpaden.
Op LinkedIn is Engels normaal. Maar in het soevereiniteitsdebat is taal niet neutraal. Taal is ook positionering. Engels duwt het verhaal richting het globale corporate narratief: schaal, keuzevrijheid, modernisering. Nederlands trekt het richting het institutionele gesprek: publieke waarden, aanbestedingsrealiteit, parlementaire controle, bestuurlijke aansprakelijkheid.
Dat maakt de inhoud niet onjuist. Het bepaalt wel hoe ze landt. En in Nederland is “hoe het landt” vaak de helft van het beleid.
Mijn stelling
Disconnected operations zijn een welkome capability. Voor specifieke omgevingen zijn ze niet alleen nuttig, maar noodzakelijk. Maar Nederland moet “offline” behandelen als veerkracht-instrument, niet als bewijs van soevereiniteit.
Soevereiniteit is geen checkbox. Soevereiniteit is geen modeswitch. Soevereiniteit is een institutioneel ontwerpvraagstuk dat zich uit in architectuur, contracten, auditability en afdwingbare exitpaden.
Als we te snel applaudisseren voor lokaal draaien, herhalen we dezelfde cyclus: afhankelijkheid wordt herverpakt als keuze, totdat het volgende incident ons dwingt terug te keren naar governance en recht.
De echte toets is eenvoudig, en tegelijk oncomfortabel: kan Nederland controle aantonen die overeind blijft bij stress, bij eigenaarswissel, en bij geopolitieke druk niet alleen bij het wegvallen van connectiviteit?
Als het antwoord ja is, dan is disconnected een krachtige bouwsteen.
Als het antwoord nee is, dan wordt disconnected de nieuwe façade van vertrouwen.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Eens, maar laten we het soevereiniteitsgeneuzel nog een slag strakker aandraaien.
Uiteindelijk gaat het om Business Continuiteit. Dus waarom niet de complete architectuur even tegen het licht houden en gewoon accepteren dat het best snel te realiseren is om te gaan denken en werken in termen van Node-Node Architectuur met Gedistribueerd, Gefedereerd Business Continuity Management? De soevereiniteitsdiscussie gaat de facto over de vraag hoe je een veerkrachtige, controleerbare en geopolitiek robuuste digitale architectuur realiseert. Je kunt er een lans voor breken dat 'de cloud' hierbij nog altijd een hub-spoke architectuur is: de harde schijf in de sky, waar je je data aan toevertrouwt (jouW data, dus je blijft end2end zèlf verantwoordelijk!) Zo'n centrakle hub, (bijvoorbeeld een hyperscaler-cloud) is dan de (ingehuurde) primaire autoriteit en orkestreert over omgevingen heen. Dus je zit met wat inherente kwetsbaarheden: die centrale hub is een Single Point of Failure (SPOF), een systeemkritisch knooppunt. Bij uitval – door cyberaanvallen, systeemstoringen of geopolitieke druk – komt de gehele keten dus in gevaar. Al je afhankelijkheden heb je bij keuze voor een cloudprovider geconcentreerd: governance, data-uitwisseling en operationele controle blijven afhankelijk van één centrale partij, wat "soevereiniteit" reduceert tot een volstrekt theoretische claim, want uiteindelijk beperk je je flexibiliteit bij crises. Je mogelijkheden van escalatie of disconnectiviteit zijn bij een hub-spoke model maar zeer beperkt. Probeer maar eens in te loggen, zonder centrale online Identity Access Management dienst. (ok, ok, Microsoft heeft Entra, maar het gaat om het voorbeeld).
Een node-node architectuur is daarentegen juist gedistribueerd by design. Elke node (bijvoorbeeld een lokale instantie van een organisatie, een regio, of een datacenter) kan onafhankelijk opereren én tegelijk samenwerken met andere nodes, wanneer connectiviteit dat toestaat. Zeg maar, een Data Space (en daar zijn ook varianten van).
Als we een beetje soeverein willen zijn, zijn de cruciale voordelen nu dus veerkracht (resilience) door decentralisatie. Er IS geen centrale SPOF en iedere node kan autonoom functioneren en dus bijdragen aan de continuïteit van het grotere systeem. Jas daar peer2peer over heen, wordt-ie nog stabieler. Nodes kunnen nu flexibel en dynamisch samenwerken via gefedereerde protocollen, waardoor redundantie en interoperabiliteit worden vergroot. Het maakt nu dus ineens niets meer uit of die data bij Microsoft of bij Pietje Puk staat ... the show can go on. Federatieve data soevereiniteit onder centrale Data Governance en ook dat kun je uitstekend gedistribueerd regelen onder allang operationele en breed beschikbare Trust & Governance frameworks. Nou hebben we en model dat intrinsiek rekening houdt met "systempunkt"-scenario's, waarbij een aanval op een zwakke plek in een systeem niet meteen leidt tot instorting van het geheel. Klinkt al heel wat soevereiner. Om zo'n node-node architectuur effectief te maken, moet Business Continuity Management voortaan niet meer centraal worden beheerd, maar juist gedistribueerd en gefedereerd worden ingericht.
Hoe? Autonome controle per node, met gedeelde standaarden dus elke node beheert zijn eigen BCM-procedures, maar gebruikt gestandaardiseerde frameworks voor samenwerking. Denk hierbij aan ISO 22301 (Business Continuity Management Systems) en NIST SP 800-34 Rev.1 (Contingency Planning Guide for Federal Information Systems) en natuurlijk ENSIA (European Network and Information Security Agency) richtlijnen voor kritieke infrastructuren. We moeten stoppen met dat geneuzel over soevereiniteit, maar het gewoon regelen. Niet omdat de politiek dat 'wil', maar omdat het een keiharde maatschappelijke realiteit is dat het noodzakelijk is. Hybride oorlogsvoering en geopolitieke spanningen richten zich steeds meer op het verstoren van supply chains of op kritieke systemen. BCM moet daarom sowieso redundantie en failover-mechanismes bevatten op lokaal niveau en cyber resilience "by design" implementeren, met standaarden zoals NIST CSF (Cybersecurity Framework) en Zero Trust Architectures (NIST SP 800-207), zodat de kritieke bedrijfscapabilities interoperabel blijven tussen nodes, zelfs bij gedeeltelijke uitval van de keten. (dus je kunt prima de stekker er even uittrekken en lokaal doordraaien, als je maar kunt synchroniseren (dankzij context brokers) als je de boel weer aanhaakt op het netwerk). Kan OOK met oude spullen. Kortom, soevereiniteit is uiteindelijk een functie van federatieve governance: governance is NIET gecentraliseerd, maar gedeeld via federatieve modellen. Dit betekent dat iedere node prima zijn eigen autoriteit houdt, maar afspraken maakt overdata-uitwisseling via Gaia-X en IDS (International Data Spaces) standaarden, onder Trust & Governance framework afspraken met interoperabiliteit en policy alignment via NORA (Nederlandse Overheid Referentie Architectuur) met gedeelde updates en audits voor compliance via gestandaardiseerde "dependency management"-protocollen.
De door Microsoft gepresenteerde disconnected operations zijn super nuttig voor specifieke scenario's, maar hier mist een cruciale dimensie: soevereiniteit gaat niet om het kunnen draaien VAN workloads in isolatie, maar om het behouden van autoriteit OVER die workloads – ongeacht de omstandigheden.
Disconnected operations vormen slechts één schakel in de keten van veerkracht en soevereiniteit. Zonder een gedistribueerd en gefedereerd ontwerp blijven gewoon dezelfde risico's bestaan: patch- en updatecontrole gaat niet werken zonder een onafhankelijke en reproduceerbare supply chain voor updates, anders blijft de klant afhankelijk van de leverancier. Disconnectiviteit biedt geen antwoord op lange-termijn exit-scenario's, waarbij workloads van de leverancier naar een volledig onafhankelijke omgeving moeten worden gemigreerd en zonder een architectuur die auditability by default faciliteert, is disconnected operation slechts schijn-soevereiniteit.
Een node-node architectuur, gecombineerd met gedistribueerd en gefedereerd BCM, biedt WEL een duurzaam en robuust fundament voor echte soevereiniteit, want zo'n ontwerp (kan met terugwerkende kracht) elimineert juist alle single points of failure, faciliteert autonome en toch samenwerkende operaties en bereidt organisaties WEL voor op systempunkt-scenario's en supply chain attacks.
Soevereiniteit is een architectuurkeuze die begint met node-node denken.