Niet alle overheidssystemen zijn even gevoelig. Een systeem voor facilitair beheer vraagt om een andere soevereiniteitsborging dan DigiD of de basisregistraties. Het drielagenmodel en DICTU-toetsingsinstrument biedt een ordeningsprincipe.
Een ordeningsprincipe, geen technisch toetsingsinstrument
Het drielagenmodel is een bestuurlijk ordeningsprincipe. Het maakt zichtbaar dat volledige migratie naar soevereine infrastructuur niet nodig is, maar dat voor laag-1-systemen geen compromis mag bestaan.
De politieke discussie rond bijvoorbeeld de SVB gaat in essentie over dit onderscheid. Kritische uitbetalingsprocessen horen thuis in laag 1, kantoorautomatisering in laag 3. Wie dat onderscheid scherp maakt, kan veel sneller een onderbouwd verhaal vertellen richting Tweede Kamer, gemeenteraad of toezichthouder. En precies dat ontbreekt nu vaak: de Algemene Rekenkamer constateerde dat bij 84 van de 126 belangrijkste public cloud-diensten van het Rijk geen risicoafweging was gemaakt. Het drielagenmodel geeft je de taal en structuur om die afweging alsnog te maken.
De drie lagen, scherp gedefinieerd
De drie lagen markeren drie fundamenteel verschillende posities op het soevereiniteitsspectrum. Laag 1: geen externe partij mag ooit de data kunnen lezen of het proces onderbreken. Niet op technische gronden, niet op juridische gronden, niet op politieke gronden. Laag 2: een externe partij mag hosten, maar niet lezen, mits de juiste technische en contractuele waarborgen gelden. Laag 3: een externe partij mag ook verwerken, mits dit binnen Europese juridische kaders plaatsvindt.
Voor laag-1-systemen is public cloud daarom ook met customer-managed encryptiesleutels niet toegestaan. Customer-managed keys beperken het privacyrisico van een provider die technische toegang heeft, maar bieden geen bescherming tegen het continuïteitsrisico: een leverancier die onder juridische of politieke druk de dienst staakt, kan dat ongeacht de encryptieconfiguratie.
Directe winst bij aanbestedingen
De toepassing van dit model bij aanbestedingen is directe winst: wie een softwarecontract verlengt kan per systeem bepalen in welke laag het thuishoort, en op basis daarvan de inkoopeisen formuleren.
Strikte autonomie-eisen bij aanbesteding kunnen het aanbod van geschikte leveranciers verkleinen en de kosten verhogen. Een gedifferentieerde aanpak is verstandig: zwaarste eisen voor laag-1-systemen, meer flexibele criteria voor laag-3-systemen.
Het DICTU-toetsingsinstrument als technische verdieping
Het drielagenmodel bepaalt de urgentie en prioriteit, maar niet de precieze eisen waarop een dienst moet worden getoetst. Daarvoor biedt het DICTU Toetsingsinstrument Soevereiniteit Clouddiensten (januari 2026) een gedetailleerder kader. Het werkt met vijf dimensies: juridisch, data & AI, operationeel, technologisch en mens. Per dienst wordt zo een nauwkeurigere soevereiniteitsscore bepaald. De criteria zijn objectief, transparant en herhaalbaar, en daarmee direct bruikbaar bij aanbestedingsprocedures.
Concreet beantwoordt het instrument vragen als: onder welke jurisdictie vallen data en diensten? Wie heeft operationeel de mogelijkheid om de dienst te beïnvloeden of uit te schakelen? Hoe portabel is de technologie bij een leverancierswissel? DICTU heeft op basis van het instrument ook een analyse gemaakt van de soevereiniteitsscore van een aantal hyperscalers.
Niet alleen DICTU: ook Europese kaders
Het DICTU-instrument staat niet alleen. In oktober 2025 publiceerde de Europese Commissie haar Cloud Sovereignty Framework (v1.2.1), met acht Sovereignty Objectives en SEAL-niveaus van 0 tot 4. De EC gebruikt het kader inmiddels zelf bij eigen aanbestedingen, waaronder een sovereign cloud-tender van €180 miljoen in april 2026 waarin drie aanbieders SEAL-3 haalden en geen enkele SEAL-4.
Het EuroStack-initiatief gaat een stap verder en hanteert een pass-fail op jurisdictie en eigendom, een bewuste keuze om sovereignty-washing structureel te voorkomen.
De drie kaders, DICTU, EC-Framework en EuroStack, verschillen in strengheid, maar wijzen in dezelfde richting: soevereiniteit is meetbaar, en zonder drempelwaarde op de juridische dimensie kan een hoge score op techniek of operatie een fundamenteel jurisdictieprobleem maskeren.
Een gezaghebbend vertrekpunt
Voor organisaties die hun cloudstrategie willen onderbouwen richting gemeenteraad, ministerie of toezichthouder, biedt het DICTU-framework een gezaghebbend vertrekpunt. Niet als vervanging van het drielagenmodel, maar als aanvulling die de beoordeling per dienst verder concretiseert.
Wat je morgen al kunt doen
Loop je huidige dienstenlandschap langs met het drielagenmodel en bepaal per systeem waar het thuishoort. Het overzicht dat eruit komt rollen, vormt vervolgens de basis voor zowel je cloudstrategie als je inkoopvoorwaarden.
Voor de drie risicocategorieën die digitale autonomie raakt, privacy, continuïteit en systeemrisico, geldt namelijk dat je blootstelling geen vast gegeven is, maar het resultaat van je eigen inrichtings- en inkoopkeuzes. Het drielagenmodel maakt die keuzes hanteerbaar.
Dit blog is onderdeel van de Intermax-whitepaper Digitale autonomie voor de overheid (2026). Het volledige whitepaper is hier te downloaden.