Microsoft deelde namen en interne e-mails van Nederlandse ambtenaren met het Amerikaanse Huis van Afgevaardigden. De ambtenaren werkten aan de handhaving van de Digital Services Act in Europa. Daarmee kwamen gevoelige overheidscommunicaties in Amerikaanse handen terecht. Het gaat om e-mailadressen, vergadernotulen en uitnodigingen. Microsoft en het Huis weigeren commentaar. Maar het incident onthult een fundamenteel probleem. Europese overheden denken dat ze binnen eigen grenzen opereren. In werkelijkheid kan Washington hun data opvragen.
Veel organisaties verwarren dataopslag met digitale soevereiniteit. Dataopslag bepaalt waar data staat. Soevereiniteit bepaalt wie toegang kan afdwingen en welke wet geldt. De Amerikaanse CLOUD Act verplicht Amerikaanse bedrijven om data te verstrekken aan Amerikaanse autoriteiten. Dat geldt zelfs als die data fysiek in Europa staat. Het helpt niet om te kiezen voor een ‘Europese regio’ bij een Amerikaanse cloudprovider. De provider blijft juridisch blootgesteld aan buitenlandse jurisdictie.
Digitale soevereiniteit gaat over juridische en operationele controle. De kernvragen zijn: wie beheert de sleutels, wie kan toegang weigeren, en wie kan de audittrail inzien? Zolang een cloudleverancier onder Amerikaans recht valt, blijft Europese overheidsinformatie kwetsbaar. Dit incident benadrukt waarom Europa investeert in eigen cloudinfrastructuur. Europese overheden hebben aanbieders nodig die volledig onder Europese jurisdictie opereren. Alleen zo is echte controle over gevoelige data mogelijk.
Voor IT-leiders in de publieke sector is de les duidelijk. Ontwerp systemen met toegangscontrole, auditbaarheid en juridische weerbaarheid als uitgangspunt. Kies cloudproviders die geen buitenlandse juridische verplichtingen hebben. Dit incident toont aan dat digitale soevereiniteit geen luxe is. Het is een operationele noodzaak voor iedere overheid die gevoelige data beheert.
