Elke cloudaanbieder heeft tegenwoordig een goed verhaal over het belang en de mogelijkheden van sovereign cloud. Dat geldt uiteraard zeker voor Michiel Hustinx. Als Senior Vice President Database Platform & Cloud Infrastructure voor de EMEA-regio is hij een van de belangrijkste gezichten van Oracle’s Europese cloud- en soevereiniteitsstrategie. Met nadruk op klantadvies, digitale infrastructuur en het positioneren van cloud als strategische businesslaag.
Van beleidsdiscussie naar strategische noodzaak
Kort gezegd vertaalt Hustinx Oracle’s technologische agenda naar de markt, vooral rond cloud, AI en sovereign cloud, en spreekt hij daarbij zowel private als publieke klanten aan. Daarbij positioneert Hustinx Oracle’s EU Sovereign Cloud expliciet als een aanbod voor gevoelige en gereguleerde workloads, met fysieke en logische isolatie, EU-gebaseerde beheersing en beperkte toegang tot de gevoelige informatie en systemen van Europeanen.
Interessant dus om te horen hoe Hustinx de Europese sovereign cloud-discussie ervaart en wat voor hem de belangrijkste aandachtspunten zijn. Hustinx stelt de kwestie direct op scherp: ,,Sovereign cloud is geen compliance-vinkje, maar een strategische architectuurkeuze die bepaalt of je AI straks op schaal kunt inzetten, of dat je vastloopt in regelgeving, geopolitieke afhankelijkheden en technical debt.’’
Wie hem vraagt naar de staat van het sovereign cloud-debat in Europa, krijgt geen diplomatiek antwoord. „Net als waarschijnlijk veel andere mensen in deze sector heb ik inmiddels een lange serie whitepapers voorbij zien komen en érg vaak deelgenomen aan of gekeken naar paneldiscussies waarin wordt gekibbeld over de ‘juiste’ definitie van sovereign cloud. Genoeg theorie, dit onderwerp verdient serieuzere aandacht dan een plek in nichediscussies over beleid.’’
Dat de urgentie is veranderd, ziet Hustinx dagelijks terug. „De term sovereign cloud duikt op in parlementaire hoorzittingen, in audits, in requests for proposal en in vrijwel elk gesprek over de modernisering van legacysystemen en cloudmigratie”, vertelt hij. „Tegelijk worstelen Europese organisaties met regelgeving uit kaders als de EU Data Act en de EU AI Act. Tel daar de toenemende geopolitieke volatiliteit en de groeiende zorgen over grensoverschrijdende afhankelijkheden bij op, en de urgentie spreekt voor zich.”
De 3 pijlers van een ‘sovereign-by-design’-aanpak
Wat is volgens jou de cruciale concrete stap die organisaties nu moeten zetten?
„Stoppen met de voor de hand liggende vragen, zoals of hun huidige IT-leverancier kan voldoen aan hun sovereign cloud-eisen, en beginnen met de complexe, structurele vragen die een échte sovereign cloud-strategie definiëren. Moderne sovereign clouds rusten op een ‘sovereign-by-design’-filosofie. Dat betekent dat soevereiniteit zit ingebakken in de onderliggende architectuur, en niet achteraf is toegevoegd om aan compliance te voldoen.”
Die benadering steunt voor Hustinx en Oracle op drie pijlers:
- 1.
De eerste pijler is datasoevereiniteit. Die garandeert dat klantdata fysiek binnen een specifiek rechtsgebied blijven en worden beschermd via contractuele en technische maatregelen, zoals encryptiesleutels die volledig onder controle van de klant staan.
- 2.
De tweede pijler is operationele soevereiniteit: het dagelijkse beheer, de ondersteuning en de toegangscontrole van je cloud moeten in handen zijn van personeel dat werkt onder het juiste juridische en jurisdictionele kader.
- 3.
De derde pijler is technologische soevereiniteit, en dat is waar veel aanbieders in de praktijk tekortschieten. Dit komt erop neer dat je dezelfde geavanceerde clouddiensten moet kunnen gebruiken als in de publieke cloud, zonder dat je wordt gedwongen tot versimpelde of geïsoleerde technologiestacks. Veel sovereign oplossingen lopen één of twee generaties achter op wat elders beschikbaar is. Dat is geen soevereiniteit, dat is een gouden kooi. Wie hier niet kritisch naar kijkt, bouwt bewust een concurrentieachterstand in.
De Europese discussie neigt soms naar oversimplificatie. Waar zit dat in?
„Er wordt te vaak generiek over sovereign cloud gesproken, alsof organisaties achterover kunnen leunen zodra de juiste controles zijn ingericht. Die mindset creëert blinde vlekken. Een sovereign cloud-strategie vraagt om nuance en precisie in de manier waarop je verschillende workloads behandelt. Een kern-ERP-systeem vol gevoelige financiële data is niet te vergelijken met een gemeentelijke website waarop lokale vergaderagenda’s staan.“
Hij gaat verder: „Beiden met dezelfde mate van gevoeligheid behandelen is risicovol: doe je dat te streng, dan schieten de engineeringkosten omhoog en kelderen snelheid en innovatie. Doet je dat te licht, dan lopen regelgeving- en reputatierisico’s op. Wat je dus zoekt is aanpasbaarheid en duurzaamheid. De kunst is een strategie te ontwikkelen die realistisch omgaat met de eisen die vandaag aan uiteenlopende workloads worden gesteld, én met de veranderende eisen van morgen. Het gaat niet om ‘de perfecte fit’ voor nu, maar om een strategie met ingebouwde flexibiliteit die lang meegaat.”
Je pleit voor een distributed cloud-architectuur als oplossing. Hoe werkt dat in de praktijk?
„Met een distributed cloud-architectuur draait een organisatie clouddiensten op een consistente, functionele manier over publieke cloudregio’s, sovereign cloud-locaties, door partners beheerde omgevingen of het eigen datacenter. De kernboodschap: soevereiniteit en snelheid sluiten elkaar niet langer uit. Dat is een belangrijke mentale verschuiving. In het oude denken was sovereign cloud synoniem met beperking, trager, duurder. Dat hoeft niet meer.”
„Dus evalueer een aanbieder die zegt dat hij zo’n architectuur kan leveren kritisch op drie punten: functionaliteit, regelgeving en security. En leun stevig op het woord ‘architectuur’. De fysieke locaties doen ertoe, maar het ontwerp, de organisatieprincipes en de workflows wegen nog zwaarder. Nogmaals: je bouwt iets voor de lange termijn. Zorg daarom dat je leverancier niet alleen een productcatalogus heeft, maar ook een complete visie.”
Security is een van de drie evaluatiecriteria. Hoe pakken jullie dat aan?
„Security is bij ons vanaf dag één het uitgangspunt geweest. Ik begrijp dat dit klinkt als een marketingverhaal, maar het is echt veel meer dan dat. Het is een ontwerpprincipe dat bepaalt hoe wij omgaan met data. Alle data is versleuteld, en wij hebben zelf nooit de sleutels. Nooit. Klanten kunnen bovendien nog een extra laag aanbrengen via onze samenwerking met Thales.”
Hij gaat verder: „De veelgehoorde vraag is natuurlijk: maar wat als Amerikaanse autoriteiten toegang eisen? Het antwoord is technisch simpel. Zonder sleutels is versleutelde data onleesbaar. Je hoort soms ook het tegenargument dat quantum computing alles anders maakt. Maar natuurlijk schaalt de encryptiesterkte dan gewoon mee: waar we nu 256 AES gebruiken, gaan we naar iets als 500K. Het is een fascinerende technologische discussie, maar het is niet iets waar wij wakker van liggen.”
Net nu dataprivacy op orde is komt AI erbij. Waarin verschilt sovereign AI van sovereign cloud?
„Sovereign AI gaat verder dan de vraag wáár data zijn opgeslagen. Het raakt ook aan wie de onderliggende compute-infrastructuur voor AI-workloads beheert. Wie bezit en bestuurt de modellen waarmee de AI wordt getraind? En AI betekent vrijwel altijd dat enorme datastromen worden verplaatst. Hoe doe je dat op een manier die sovereign compliant is?”
„Heeft jouw organisatie datasoevereiniteit op orde, dan heb je een voorsprong. Maar het strategische belang van sovereign AI vraagt dat je het vanaf het begin goed inricht. Kun je belangrijke AI-workloads niet op schaal draaien in een sovereign compliant omgeving, dan verlies je snel terrein op de concurrentie. Draai je ze zonder de juiste controles, dan liggen serieuze regelgevende en reputatierisico’s op de loer. Je sovereign cloud- en sovereign AI-strategie moeten zich daarom parallel ontwikkelen. Ze zijn immers onlosmakelijk met elkaar verbonden.”
Kun je daar een concreet voorbeeld bij geven?
„Neem de Postcode Loterij, een organisatie die wij goed kennen. Zij vertelden tijdens Oracle AI World in Las Vegas iets opvallends: om AI écht waarde te laten leveren, moesten ze stoppen met individualized code (unieke, persoonsgebonden identificatiecodes, AG) en standaardiseren op onze applicaties en databases.“
„Niet omdat dat goedkoper was, maar omdat het ervoor zorgde dat alle teams naar dezelfde data keken. Elke negentig dagen moeten nieuwe AI-capabilities automatisch in hun omgeving landen, zonder dat zij daarvoor ontwikkelwerk hoeven te doen. Dat illustreert precies waar sovereign cloud en sovereign AI samenkomen: een gestandaardiseerd, veilig fundament waarop innovatie organisch kan doorgroeien.”
Wat betekent dit alles voor de procurement-praktijk van grote organisaties?
„Sovereign cloud voegt fundamentele dimensies toe aan leverancierselectie: jurisdictie, controle en operationele verantwoording. Dat zijn geen regels op een budgetspreadsheet. Jouw checklist moet voortaan antwoord geven op vragen als: wie beheert mijn cloudomgeving? Waar worden de encryptiesleutels opgeslagen en beheerd? Wie mag systeemupdates uitvoeren, en vanuit welke locaties?”
Hij licht toe: „Kijk daarom ook kritisch naar je procurementpraktijk. Kun je die aanpassen aan de eisen van sovereign cloud, zónder een grootschalige verbouwing die operationele ontwrichting oplevert? Plan regelmatig een review in om mee te bewegen met de voortschrijdende regelgeving. Koppel deze procurementdiscipline aan een distributed cloud-architectuur, dan wordt sovereign cloud geen beperking, maar een veerkrachtig operationeel model.”
Wat is jouw advies voor C-level beslissers die hier direct mee aan de slag willen?
„Vier stappen. Bepaal eerst welke workloads in welke omgeving thuishoren; niet elke dataset heeft immers dezelfde soevereiniteitseisen. Beoordeel dan leveranciers op hun sovereign readiness, verder dan alleen productfuncties en prijs. Maak AI-strategie een centraal onderdeel van elk sovereign cloud-gesprek, want deze twee sporen lopen niet meer gescheiden. En overweeg serieus een distributed cloud-architectuur, vanwege de combinatie van flexibele controle en innovatiekracht.”
„Mijn conclusie is eigenlijk heel simpel: laat de werkelijkheid waarin jouw organisatie opereert niet dicteren door theorie. Sovereign cloud is geen onderwerp meer voor ivoren-torendiscussies. Het is een strategische vereiste die bepaalt of je de komende jaren wendbaar blijft, of terrein verliest aan partijen die deze keuzes wel op tijd hebben gemaakt.”
Wie is Michiel Hustinx?
Michiel Hustinx is Senior Vice President Database Platform & Cloud Infrastructure EMEA bij Oracle. In deze rol leidt hij de verkoop- en groeistrategie voor Oracle Cloud Infrastructure (OCI), inclusief databaseplatformen, cloudinfrastructuur en AI-oplossingen in West-Europa.
Hustinx speelt dus ook een centrale rol in de uitvoering van Oracle’s Nederlandse investeringsstrategie. In juli 2025 kondigde Oracle een investering van 1 miljard dollar aan over vijf jaar om de AI-infrastructuurcapaciteit in de Oracle Cloud-regio Amsterdam aanzienlijk uit te breiden. Deze investering richt zich op sectoren zoals financiële dienstverlening, logistiek, life sciences en energie.
Uit Oracle’s Q3 2025-resultaten blijkt dat Oracle Cloud Infrastructure een omzetgroei van 51% realiseerde, met een totale cloudomzet van 6,2 miljard dollar. De GPU-consumptie voor AI-training steeg met 244%, terwijl Oracle $48 miljard aan cloudcontracten tekende met klanten zoals OpenAI, xAI, Meta, NVIDIA en AMD. Hustinx benadrukt Oracle’s positie als platform voor veeleisende AI-workloads, van het trainen van grote modellen tot real-time inferencing.
Ontvang elke week het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in:
