Wat het ontwerp werkelijk voorstelt
Op 3 juni 2026 nam de Europese Commissie een voorstel aan voor de Cloud and AI Development Act, bekend als CADA. Het is een voorstel, geen geldende wet. Het moet nog door de onderhandeling tussen het Europees Parlement en de Raad, en de bewoording kan veranderen voordat enig deel ervan bindend wordt. Dit is dus een signaal over de richting, niet een regel waaraan u vandaag moet voldoen. De richting is echter duidelijk genoeg om op te anticiperen.
Het onderdeel dat voor inkopers van belang is, is een enkel EU-breed kader dat cloud- en AI-aanbieders indeelt in vier Unie-zekerheidsniveaus. Het laagste niveau is bedoeld als ondergrens voor het bedienen van de publieke sector, met beperkte uitzonderingen. Hogere niveaus gelden wanneer een aanbieder functies ondersteunt die verband houden met de openbare orde, na een risicobeoordeling door de lidstaten en Unie-organen, in sectoren zoals energie, gezondheidszorg, vervoer, water, rechtshandhaving, grensbeheer, nationale veiligheid en defensie. Kort gezegd: hoe gevoeliger de rol, hoe hoger de lat die een aanbieder moet halen.
Waarom Amerikaanse hyperscalers tegen een plafond aanlopen
Naar verluidt kijken de hogere zekerheidsniveaus voorbij de locatie van het datacentrum en naar wie de aanbieder in eigendom heeft, wie de operatie controleert, en of de dienst kan worden afgeschermd van niet-EU-recht. Die laatste toets is waar de grote Amerikaanse aanbieders tegen een structurele grens aanlopen. Onder de Amerikaanse CLOUD Act kan een bedrijf met hoofdkantoor in de VS worden gedwongen gegevens die het beheert af te staan, ongeacht waar ter wereld die gegevens fysiek staan. Een Europese dataregio neemt dat bereik niet weg.
Dit is geen bewering dat AWS, Microsoft of Google onveilig zijn of dat de meeste workloads worden geraakt. Voor de grote meerderheid van bedrijfsgegevens blijven zij sterke, gangbare keuzes. Het punt is nauwer en gaat over de bovenkant van de schaal. Voor de meest gevoelige categorieen waar het ontwerp op mikt, kan een door de VS gecontroleerde aanbieder juridische afscherming niet volledig garanderen, omdat een buitenlandse rechtsorde nog steeds een claim op de gegevens kan leggen. Dat is een kwestie van jurisdictie, niet van techniek, en het is waarom de precieze criteria per niveau in de ontwerpbijlagen het waard zijn om te volgen naarmate de tekst wordt onderhandeld.
Maak van afhankelijkheid een inkoopcontrole
Jarenlang werd cloudsoevereiniteit behandeld als een abstract afhankelijkheidsrisico, makkelijk te noteren en makkelijk uit te stellen. CADA herformuleert het als iets concreets: een drempel op het moment van ondertekening. Als een contract gereguleerde of werkelijk gevoelige gegevens raakt, wordt de jurisdictie waaronder uw aanbieder valt een voorwaarde van de deal, geen voetnoot. Die verschuiving beloont inkopers die de vraag vroeg stellen en straft degenen die er tijdens een audit of een verlenging achter komen.
De afgewogen reactie is een jurisdictierisicobeoordeling voordat u tekent of verlengt. Breng in kaart welke van uw gegevens in de gevoelige categorieen zouden vallen die het ontwerp beschrijft, stel vast wie elke aanbieder uiteindelijk in eigendom heeft en controleert, en ga na wat uw contracten zeggen over buitenlandse juridische toegang, datalocatie en exit. Waar het risico reeel is, kunt u de dagelijkse workloads laten waar ze zijn en alleen het gevoelige niveau routeren naar een aanbieder die een hoger zekerheidsniveau kan halen. Niets hiervan is juridisch advies, en de tekst kan nog veranderen, maar de beoordeling zelf kost weinig en plaatst u goed, welke kant de uiteindelijke wet ook op valt.
Lees hierna: Uw AI spreekt nu namens u in het recht · Amerikaanse quantumdeadline raakt uw keten