Op 17 april 2026 gunde de Europese Commissie een aanbesteding van 180 miljoen euro aan vier Europese cloudaanbieders: Post Telecom (Luxemburg), StackIT (Duitsland), Scaleway (Frankrijk) en een consortium onder leiding van Proximus (België). Het ging om de eerste aanbesteding waarin digitale soevereiniteit expliciet werd gemeten en als gunningscriterium gebruikt. De Commissie heeft daarvoor een eigen Cloud Sovereignty Framework ontwikkeld, gepubliceerd in oktober 2025, dat soevereiniteit opsplitst in acht domeinen en vijf assurantieniveaus.

Dit artikel kijkt naar drie dingen: hoe het raamwerk in elkaar zit, wat er concreet gebeurde in deze aanbesteding, en wat dat ons leert over de richting van het Europees aanbestedingsbeleid rond digitale autonomie.

Het framework in grote lijnen

Het Cloud Sovereignty Framework v1.2.1 beoordeelt cloudaanbieders op acht soevereiniteitsdomeinen (SOV-1 tot SOV-8):

• SOV-1 Strategic Sovereignty: eigendom, governance, verankering in de EU
• SOV-2 Legal & Jurisdictional Sovereignty: blootstelling aan niet-EU wetgeving zoals de Amerikaanse CLOUD Act of de Chinese Cybersecurity Law
• SOV-3 Data & AI Sovereignty: cryptografische controle, dataresidentie, AI-pijplijnen
• SOV-4 Operational Sovereignty: kunnen EU-actoren de dienst draaien zonder externe leverancier?
• SOV-5 Supply Chain Sovereignty: herkomst van hardware, firmware, softwaredistributie
• SOV-6 Technology Sovereignty: openheid, open source, niet-proprietaire API’s
• SOV-7 Security & Compliance Sovereignty: certificeringen, SOC-locatie, auditrechten
• SOV-8 Environmental Sustainability: energie-efficiëntie, circulariteit

Voor elk domein wordt een Sovereignty Effectiveness Assurance Level (SEAL) toegekend, op een schaal van vijf:

• SEAL-0: geen soevereiniteit; exclusieve controle door niet-EU partijen
• SEAL-1 Jurisdictional Sovereignty: EU-recht is formeel van toepassing maar beperkt afdwingbaar
• SEAL-2 Data Sovereignty: EU-recht toepasbaar en afdwingbaar, met materiële niet-EU afhankelijkheden en indirecte controle door niet-EU partijen
• SEAL-3 Digital Resilience: marginale niet-EU controle
• SEAL-4 Full Digital Sovereignty: geen kritische niet-EU afhankelijkheden

Het raamwerk werkt met twee mechanismen. Ten eerste een minimumdrempel: de aanbestedende dienst bepaalt per domein een minimum SEAL. Wie daar in één domein onder zakt, wordt uitgesloten. Ten tweede een Sovereignty Score die in de gunning meetelt als kwaliteitscriterium. De weging is in het raamwerk vastgelegd:

Domein	Gewicht
SOV-5 Supply Chain	20%
SOV-1 Strategic	15%
SOV-4 Operational	15%
SOV-6 Technology	15%
SOV-2 Legal & Jurisdictional	10%
SOV-3 Data & AI	10%
SOV-7 Security & Compliance	10%
SOV-8 Environmental	5%

De Commissie verantwoordt de lagere weging van SOV-2 en SOV-7 met het argument dat deze domeinen al elders in de aanbestedingsprocedure worden afgedekt. Dat is ergens wel verdedigbaar, maar betekent ook dat de domeinen met de grootste directe impact op datatoegang onder buitenlandse wetgeving (SOV-2, SOV-3, SOV-7) het laagste competitieve gewicht krijgt na milieu. Het zal dan ook belangrijk zijn dat die andere criteria ook benoemd en zichtbaar zijn in de verdere gunning.

De aanbesteding in context

De aanbesteding werd uitgeschreven in oktober 2025 als mini-competition binnen de Cloud III Dynamic Purchasing System (DPS), een raamovereenkomst van de Commissie voor clouddiensten. Het budget bedraagt 180 miljoen euro over zes jaar, ofwel een gemiddelde van 30 miljoen per jaar, verdeeld over vier parallelle contracten. De klantenkring bestaat uit de EU-instellingen, agentschappen en gemeenschappelijke ondernemingen die onder de Cloud III DPS vallen, een kleine honderd entiteiten.

Dat klinkt als een groot bedrag, maar het verdient perspectief. De Cloud III DPS zelf heeft een plafond van 550 miljoen euro. De soevereine aanbesteding beslaat dus ongeveer een derde van die capaciteit. Vier maanden eerder, in december 2024, gunde dezelfde Commissie aan Amazon Web Services een contract onder dezelfde DPS met een plafond van eveneens 550 miljoen over zes jaar. Met andere woorden: één enkele hyperscaler kreeg in dezelfde DPS een plafond dat drie keer groter is dan de soevereine aanbesteding voor vier aanbieders samen.

In een antwoord aan het Europees Parlement van mei 2025 bevestigt de Commissie dat 85% van haar workloads draait op private cloud en de resterende 15% ongeveer gelijk verdeeld is tussen AWS, Microsoft Azure en OVHcloud. Voor Microsoft zelf bestaat geen publiek totaalbedrag: de Commissie contracteert via zogenaamde Inter-Institutional Licensing Agreements (ILA’s) die in de aanbestedingsregisters met “geen bijhorende financiële waarde” worden gepubliceerd. Schattingen op basis van het Bechtle-raamcontract (52 miljoen per jaar, Microsoft-gedomineerd) en typische licentiekosten zetten het Microsoft-volume voor de EU-instellingen op grofweg 60 tot 150 miljoen per jaar. De soevereine aanbesteding is dus budgettair kleiner dan één jaar Microsoft-licenties voor de EU-instellingen.

Dit zegt op zich niets over de betekenis van de aanbesteding. Het zegt wél iets over hoeveel ruimte de Commissie heeft gelaten om de eigen soevereiniteitslat ook op haar bestaande hyperscaler-contracten te leggen. Die ruimte blijft grotendeels ongebruikt.

Wat publiek niet duidelijk is

Een paar methodologische vragen blijven na de aankondiging openstaan:

• de verhouding van de Sovereignty Score binnen de totale gunningscriteria (prijs, technische kwaliteit, soevereiniteit) is niet publiek gemaakt;
• er is mogelijk overlap tussen SOV-8 (Environmental Sustainability) en de aparte EMAS-verplichting in bijlage VI van de Cloud III DPS (artikel 15 van de Main Conditions). Of hetzelfde milieusignaal op twee plekken meetelt, is uit de publieke documentatie niet af te leiden;
• de exacte per-domein minimum SEAL-niveaus voor déze competitie staan in het Mercell-tenderdossier, dat niet publiek toegankelijk is.

Met die context drie observaties.

The good: soevereiniteit wordt meetbaar

Voor het eerst vertaalt de Commissie “soevereine cloud” van een politieke slogan naar een procurement-instrument. Dat is op zichzelf een verschuiving, en ze verdient erkenning.

Het raamwerk plaatst de discussie op architectonisch terrein in plaats van ideologisch terrein. De acht domeinen gaan over waar eigendom zit, onder welk rechtsstelsel een dienst valt, waar de hardware vandaan komt, hoe open de technologie is. Geen van die vragen vereist een politieke voorkeur voor de ene leverancier boven de andere. Ze vragen om aantoonbare eigenschappen van de dienst. Dat past bij een benadering waarin soevereiniteit een kwestie is van jurisdictionele en architectonische samenhang, niet van een keuze tussen “Europees” en “Amerikaans” om hun eigen bestaan.

De directe gevolgen voor de markt zijn ook reëel. Vier Europese aanbieders werden geselecteerd. Alle vier ontwikkelen in belangrijke mate hun eigen technologie. Dat is een marktsignaal: vraag van de grootste publieke cloudklant van Europa kan Europees aanbod voeden. Door te werken met vier parallelle contracten bouwt de Commissie bovendien diversificatie in, wat een reëel verschil maakt met het eenleverancier-model waar veel overheden nu in zitten.

Ten slotte is het raamwerk openbaar, in versie 1.2.1, en heeft de Commissie aangekondigd een nieuwe versie te publiceren op basis van lessen uit deze aanbesteding. Andere Europese overheden, ook op regionaal en lokaal niveau, kunnen het methodologisch overnemen. Dat is een bouwsteen die niet alleen voor de EU-instellingen waarde heeft.

The bad: SEAL-2 als drempel

Op één punt werkt het raamwerk echter tegen zichzelf in. De drempel die de Commissie hanteerde voor deze aanbesteding was SEAL-2. Om geldig te zijn moest een aanbieder minstens dat niveau halen op elk van de acht domeinen.

Wat SEAL-2 betekent, staat letterlijk in het raamwerk: “EU law applicable and enforceable, with material non-EU dependencies remaining; service, technology or operations under indirect control of non-EU third parties.” EU-recht is van toepassing, maar materiële niet-EU afhankelijkheden zijn toegestaan, en indirecte controle door niet-EU partijen ook.

Het illustratiefste gevolg daarvan zit in de samenstelling van het consortium onder leiding van Proximus. Dat consortium haalde SEAL-2 en werd daarmee één van de vier gegunde aanbieders. Een deel van het technische aanbod steunt op S3NS, een joint venture tussen Thales en Google Cloud waarbij de onderliggende technologie door Google Cloud wordt geleverd. Met andere woorden: één van de vier aanbieders van een als “soeverein” gelabelde Europese cloudaanbesteding bouwt voort op een Amerikaanse hyperscaler-stack.

De vraag die daarbij aan de orde komt is niet of Google of Proximus iets verkeerd deden. Beide partijen speelden binnen de regels van de aanbesteding. De vraag is hoe het raamwerk het mogelijk maakt dat Amerikaanse hyperscaler-technologie überhaupt als onderliggende laag kan dienen in een als soeverein gekwalificeerde aanbieding. Drie ontwerpkeuzes maken dat samen mogelijk.

Ten eerste de drempelkeuze. SEAL-2 laat expliciet “material non-EU dependencies” en “indirect control by non-EU third parties” toe. Had de Commissie SEAL-3 of SEAL-4 gekozen als minimum, dan was een op Google Cloud gebouwde stack niet meer in aanmerking gekomen. De lat werd in het raamwerk zelf zo gezet dat een Europees operationeel kader boven niet-Europese technologie kan kwalificeren.

Ten tweede de weging. Binnen de Sovereignty Score telt SOV-2 (legal & jurisdictional) voor tien procent mee. Dat is het domein dat zich het scherpst verhoudt tot extraterritoriale wetgeving zoals de CLOUD Act. Technology (SOV-6) telt voor vijftien procent, supply chain (SOV-5) voor twintig procent. Een aanbieder kan dus een lager niveau op SOV-2 compenseren met hoge scores elders. Het raamwerk laat toe dat jurisdictie boekhoudkundig opweegt tegen andere domeinen.

Ten derde het principieel aangenomen onderscheid tussen operatie en technologie. De Commissie stelt in haar aankondiging expliciet: niet-Europese technologieën kunnen, wanneer ze binnen een strikt en passend kader worden uitgebaat, het minimumniveau van soevereiniteit halen. Dat is een beleidskeuze. Ze zegt dat soevereine uitbating kan volstaan, ook als de onderliggende technologie onder een andere jurisdictie wordt geproduceerd en eigendomsrechtelijk wordt gecontroleerd.

Of die drie keuzes samen verdedigbaar zijn, hangt af van welk dreigingsmodel men wil afdekken. Voor dreigingen die via de contractlaag werken biedt dit model wel degelijk bescherming. Voor dreigingen die via de stack of via extraterritoriale wetgeving werken minder. Microsoft moest in 2024 voor een Franse rechtbank toegeven dat het de datasoevereiniteit van Europese klanten niet kan garanderen wanneer een Amerikaanse CLOUD Act-injunction wordt uitgevaardigd. Een zorgvuldig onderhandeld contract verandert dat niet. De jurisdictionele blootstelling zit in de technische keten, niet in het papier.

De kritiek van CISPE verwoordt dit bondig: er bestaat niet zoiets als “75% biologisch” en er bestaat niet zoiets als “75% soeverein”. Een gewogen gemiddelde over acht domeinen kan materiële afhankelijkheden verhullen wanneer hoge scores op andere domeinen compenseren voor een zwakke SOV-2. De EuroStack-analyse maakt hetzelfde punt technischer. Het alternatief dat EuroStack voorstelt is een harde, niet-onderhandelbare pass/fail-drempel op jurisdictionele controle, vóór elke verdere scoring plaatsvindt.

De inhoudelijke vraag die daaruit volgt is simpel. Als SEAL-2 de drempel is voor een aanbesteding die expliciet het label soeverein draagt, waar ligt de drempel dan voor aanbestedingen zonder dat label? De drempel bepaalt wat soevereiniteit in de praktijk betekent.

The ugly: wat de Commissie niet publiceerde

Het raamwerk is bedoeld om meetbaar te zijn. Per domein, per dienst, met publieke methodiek. De officiële aankondiging van de gunning doet dat niet.

Drie zaken blijven onzichtbaar.

Ten eerste worden geen per-domein SEAL-scores gepubliceerd. De Commissie meldt één geaggregeerd SEAL-niveau per winnaar. Een aanbieder kan echter SEAL-3 halen met een SEAL-2 op SOV-5 (supply chain) of een laag niveau op SOV-4 (operational). Dat weet de lezer niet. Voor een raamwerk dat gemaakt is om risicoprofielen per domein zichtbaar te maken, is dat een verlies van informatie.

Ten tweede is de Sovereignty Score per aanbieder niet openbaar. De wegingstabel is wel publiek (SOV-5 telt voor 20%, SOV-8 voor 5%), maar de resulterende scores zijn het niet. Het Zweedse Safespring publiceerde vrijwillig haar eigen score (86,25%) met een onderbouwing per domein. De Commissie doet dat niet voor haar eigen vier geselecteerde leveranciers.

Ten derde worden verschillende oplossingen samen gerapporteerd. Het Proximus-bod is een consortium met S3NS (Google Cloud-technologie via Thales), Clarence en Mistral. Die drie hebben verschillende soevereiniteitsprofielen. Een afnemer van Mistral via Proximus krijgt geen zicht op hoe die specifieke component scoort. Het consortium-niveau van SEAL-2 zegt niets over Mistral als onafhankelijke aanbieder.

Het gevolg is dat het raamwerk op dit moment niet doet wat het belooft. Het is ontworpen om afnemers te helpen kiezen op basis van risicoprofielen die per domein verschillen. Zonder publicatie van scores per domein en per component is die keuze niet te maken. Het raamwerk werkt alleen als de scores werken.

Er zit ook een institutionele dimensie aan. Het Europees Parlement heeft eind 2025 al vragen gesteld over de weging, specifiek of het gewicht van SOV-2 omhoog zou moeten. Als de Commissie haar eigen methodiek niet volledig transparant toepast in eigen aanbestedingen, ondermijnt dat het framework als referentiepunt voor andere Europese overheden die overwegen het over te nemen.

BeLibre stelt op dit punt een concrete open vraag aan de Commissie: publiceer voor elke gegunde aanbieder de behaalde SEAL-niveaus per SOV-domein, alsook de onderliggende Sovereignty Score. Dat is een billijke vraag. Ze vraagt geen herziening van de gunningsbeslissing, geen openbaarmaking van commercieel gevoelige prijsinformatie, geen herdefiniëring van het raamwerk. Ze vraagt enkel dat het instrument dat de Commissie zelf heeft ontworpen om soevereiniteit meetbaar te maken, ook werkelijk wordt toegepast in zijn meetbare vorm. Zonder die publicatie is het onmogelijk voor een afnemer, voor een journalist, voor een parlementslid of voor een andere overheid om vast te stellen of de methodiek consistent is toegepast.

Conclusie

Het Cloud Sovereignty Framework is een reële stap. Meetbaarheid, openbare methodiek en verankering in een daadwerkelijke aanbesteding zijn geen kleine verdiensten. Binnen een markt waarin “sovereign cloud” al jaren een marketinglabel is, levert de Commissie een technisch bruikbaar instrument.

Vanuit BeLibre willen we vooral het eerste onderstrepen: het gebruik van SEAL-niveaus en de acht SOV-domeinen is een grote stap voorwaarts. Voor het eerst heeft Europa een gedeelde taal om over digitale soevereiniteit te praten in termen die in een aanbestedingsprocedure kunnen worden toegepast. Dat is een echte verdienste van de Commissie, en de v1.2.1 van het raamwerk is een document waarop voortgebouwd kan worden.

Juist daarom is het resultaat van deze eerste toepassing een gemiste kans. Het raamwerk brengt nuance aan waar vroeger alleen marketinglabels waren. Het scheidt acht dimensies van soevereiniteit en laat zien dat ze niet altijd samenvallen. En vervolgens wordt het eindresultaat teruggebracht tot een publicatie die niet veel meer bevat dan een lijst met winnaars en één geaggregeerd SEAL-niveau per aanbieder. De nuance die het raamwerk heeft opgebouwd, wordt aan de eindstreep weer ingepakt.

Dat is niet alleen jammer voor de transparantie. Het ondergraaft de bruikbaarheid van het instrument zelf. De weging van soevereiniteit over de acht domeinen is namelijk geen vaste grootheid. Ze is een beslissing die de afnemer moet maken, per dienst, per departement, per gebruiksdoel. Een ziekenhuis dat medische beelden opslaat weegt SOV-3 (data) anders dan een agentschap dat interne productiviteitstools draait. Een entiteit die gevoelig zit op extraterritoriale wetgeving weegt SOV-2 (jurisdictie) anders dan een entiteit die vooral om supply chain-continuïteit geeft. Het raamwerk erkent dat impliciet door onderscheid te maken tussen acht domeinen en vijf niveaus. Zonder de per-domein resultaten per gegunde aanbieder kan een afnemer die weging niet maken. De vier winnaars worden dan inwisselbaar voorgesteld, terwijl ze in werkelijkheid verschillende risicoprofielen hebben.

Publicatie van de volledige SEAL-matrix per aanbieder — idealiter met opsplitsing per consortiumcomponent — zou toekomstige afnemers binnen het contract in staat stellen om de voor hen beste kandidaat te kiezen. Of, waar dat aangewezen is, tot de conclusie te komen dat geen van de vier voor hun specifieke use case toereikend is en dat een bredere oplossing nodig is. Dat is niet vragen om meer dan het raamwerk belooft. Het is vragen om wat het raamwerk belooft.

BeLibre stelt daarom één concrete, haalbare vraag aan de Commissie: maak voor elk van de vier gegunde aanbieders de behaalde SEAL-niveaus per SOV-domein bekend, samen met de onderliggende Sovereignty Score. Dit vergt geen herziening van het raamwerk, geen heropening van de gunning en geen openbaarmaking van commercieel gevoelige informatie. Het is enkel het publiceren van wat al gemeten is, in de vorm waarin het is gemeten.

De eerste soevereine aanbesteding is geen mislukking. Ze is een prototype. Prototypes krijgen versies. Voor versie 2 van het raamwerk zijn er ook structurelere verbeterslagen denkbaar: een harde pass/fail-drempel op SOV-2, of een hogere weging van SOV-2 binnen de Sovereignty Score in lijn met de vraag van het Europees Parlement. Maar wat nu vooral ontbreekt is niet meer raamwerk. Wat ontbreekt is de publicatie van de uitkomsten van het raamwerk dat er al is. Meetbaarheid is het halve werk. De andere helft is dat de meting ook openbaar wordt.

---

Bronnen

Primair

• Cloud Sovereignty Framework v1.2.1 (oktober 2025)
• Aankondiging lancering aanbesteding (10 oktober 2025)
• Aankondiging gunning (17 april 2026)
• Cloud III DPS kadercontract (DIGIT/2023/DPS/0031), TED-notificatie

Budgetcontext

• AWS Cloud III gunning, december 2024, TED-notificatie 22001-2025
• Antwoord Commissie op EP-vraag E-001866/2025 over cloudgebruik
• Bechtle-raamcontract voor EU-softwarereselling

Kritische analyse

• CISPE: “No Such Thing as 75% Sovereign” (24 oktober 2025)
• EuroStack: vergelijking EC Framework vs. EuroStack voorstel (20 oktober 2025)
• EP-vraag E-004293/2025 over weging SOV-2
• Safespring zelf-assessment (november 2025)