Nieuws

Publicatie: 6 juli 2026

Door:


Europa zet met de presentatie van de Cloud and AI Development Act (CADA) een belangrijke stap richting digitale soevereiniteit. Met dit voorstel, dat onderdeel is van het bredere Tech Soevereiniteitspakket, met onder meer de Chips Act 2.0, zet de Unie in op meer controle over haar cloud- en AI-infrastructuur. Open standaarden, meer datacenters, en veiligere diensten zullen moeten zorgen voor meer grip op de digitale infrastructuur van morgen. Ook voor decentrale overheden is dit relevant: zij moeten kunnen vertrouwen op een stabiele publieke dienstverlening, zonder afhankelijk te zijn van externe partijen die de continuïteit kunnen beïnvloeden. Tegelijk biedt CADA hen meer ruimte om een actieve rol te spelen in regionale digitale innovatie. 

Waarom dit wetsvoorstel  

De aanleiding voor CADA is duidelijk: op dit moment beheersen drie niet-Europese partijen ruim 70% van de Europese cloudmarkt, terwijl het marktaandeel van Europese aanbieders is teruggelopen tot ongeveer 15%. Met CADA wil de Commissie die afhankelijkheid verkleinen door te investeren in Europese cloud- en AI-capaciteit, investeringen aantrekkelijker te maken en de bescherming van gegevens en digitale soevereiniteit te versterken.  

Om deze doelen te bereiken omvat het voorstel een breed pakket aan maatregelen. Hieronder worden vier belangrijke instrumenten uitgelicht en toegelicht wat deze in de praktijk kunnen betekenen voor lokale overheden. 

Het ontwikkelen van datacenters 

Een belangrijke ambitie van CADA is om de Europese datacentercapaciteit tegen 2030 te verdrievoudigen en zo minder afhankelijk te worden van buitenlandse technologie. Daarom moet elke lidstaat uiterlijk zes maanden na de inwerkingtreding van de wet minimaal één versnellingszone voor datacenters aanwijzen. Dit zijn gebieden waar de bouw en uitbreiding van datacenters voorrang krijgt, zodat de Europese digitale capaciteit sneller kan groeien.  

Binnen deze zones worden procedures gestroomlijnd. Een belangrijk instrument daarbij is de introductie van een gebundelde basisvergunning. Deze overkoepelende vergunning dekt in één keer de meest voorkomende administratieve toestemmingen en vergunningen voor de hele zone. Hierdoor mag de vergunningsprocedure binnen deze zones maximaal 12 maanden duren. Hoewel de focus ligt op deze versnellingsgebieden, blijft het mogelijk om datacenters buiten de zones te bouwen. Deze volgen dan de reguliere vergunningsprocedures, tenzij ze door de Commissie specifiek als ‘strategisch project’ worden aangemerkt op basis van hun bijdrage aan de digitale of energiesector. 

Voor gemeenten en provincies is dit van groot belang, omdat zij een centrale rol spelen bij de aanwijzing en inrichting van deze versnellingszones. De CADA verplicht lidstaten daarbij tot nauwe coördinatie tussen nationale, regionale en lokale overheden. Decentrale overheden moeten de aangewezen versnellingsgebieden opnemen in regionale en lokale omgevingsplannen, afstemmen met netbeheerders over de benodigde stroomcapaciteit en toezien op de naleving van duurzaamheidseisen, zoals het hergebruik van restwarmte en het beperken van de impact op de leefomgeving. 

Veilige inkoop 

Daarnaast staat in de CADA de introductie van het Union cloud computing sovereignty framework centraal. Dit raamwerk introduceert striktere eisen voor de inkoop van digitale diensten door medeoverheden via vier Europese waarborgniveaus (Union Assurance Levels). Voor alle clouddiensten geldt Level 1 als ondergrens: data en infrastructuur moeten binnen de EU worden beheerd. Voor gevoelige publieke taken, zoals burgerzaken, vitale infrastructuur en zorgdata, zijn gemeenten en provincies verplicht om te kiezen voor de strengere Levels 2 tot en met 4. 

De niveaus lopen op in mate van zekerheid. Zo vereist Level 2 specifiek dat niet alleen de data, maar ook al het personeel en de infrastructuur die betrokken zijn bij de clouddienst, zich fysiek binnen de EU bevinden. Daarnaast moet de aanbieder beschikken over een onafhankelijke cybersecuritycertificering (EUCS) en een positieve beoordeling van een externe auditor. Levels 3 en 4 gaan nog verder door elke vorm van buitenlandse invloed en zeggenschap over de organisatie uit te sluiten. Hierbij is het belangrijkste verschil dat Level 3 nog beperkte uitzonderingen toestaat voor specifiek door de Commissie erkende partnerlanden buiten de EU. Level 4 daarentegen is het allerhoogste soevereiniteitsniveau: hier zijn geen uitzonderingen voor derde landen mogelijk en moet de aanbieder bovendien de volledige technische controle behouden over het ontwerp en onderhoud van alle gebruikte softwarecomponenten. 

Dit raamwerk sluit naadloos aan bij andere Europese digitale wetgeving. Waar de AI-verordening de ethische en veiligheidsregels voor AI-toepassingen zelf vastlegt en de NIS2-richtlijn zich richt op technische cybersecurity, gaat het CADA een stap verder door ook de juridische en politieke controle over clouddiensten te borgen.  

Lidstaten zijn hiervoor verplicht om uiterlijk één jaar na inwerkingtreding (en daarna tweejaarlijks) risicobeoordelingen uit te voeren om voor verschillende publieke taken het passende veiligheidsniveau te bepalen. Voor decentrale overheden is dit belangrijk. Hoewel de regie van deze beoordelingen bij de lidstaat ligt, zijn medeoverheden als aanbestedende diensten vervolgens wettelijk verplicht om alleen nog clouddiensten in te kopen en te gebruiken die aan het voor hun taken vastgestelde niveau voldoen. Voldoet een bestaande clouddienst niet aan de gestelde soevereiniteitseisen, dan moet deze binnen maximaal twaalf maanden worden vervangen. 

Open source en gezamenlijke cloud 

Ook zet de CADA in op samenwerking om de afhankelijkheid van grote commerciële techpartijen te verkleinen. Een belangrijk onderdeel is de oprichting van de EuroCloud Federation: een vrijwillig netwerk waarin overheden hun cloudcapaciteit kunnen delen en gezamenlijk digitale diensten kunnen inkopen. Dit moet de inkoopkracht van gemeenten vergroten en zorgen voor een efficiënter gebruik van bestaande digitale infrastructuur. 

Daarnaast introduceert de wet onder Hoofdstuk V het Open Source First-principe, waarbij publieke organisaties bij nieuwe digitale toepassingen eerst moeten kijken naar open standaarden in plaats van gesloten systemen. Overheidssoftware wordt bovendien centraal ontsloten via een EU Open Source Solutions Catalogue, zodat toepassingen eenvoudiger herbruikbaar worden. Zo kunnen gemeenten bijvoorbeeld elkaars oplossingen voor burgerzaken, zoals systemen voor huwelijks- of geboorteaangifte, kosteloos overnemen en aanpassen, wat licentie- en ontwikkelkosten verlaagt.  

In de praktijk sluit dit aan bij bestaande initiatieven. Zo is het overheidsbrede initiatief code.overheid.nl het Nederlandse platform voor het publiceren en ontwikkelen van open-source software. Ook publiceert de gemeente Amsterdam al haar open-source projecten op GitHub, waarmee zij als grootste Nederlandse gemeente actief bijdraagt aan herbruikbare digitale oplossingen. Daarnaast worden binnen het VNG-programma Common Ground al open modules gedeeld voor gemeentelijke processen, zoals huwelijksplanningen en geboorteaangiftes. 

Regionale AI-versnelling 

Tot slot introduceert de CADA een Europees netwerk van Experience and Acceleration Centres for AI. Deze centra bouwen voort op de bestaande European Digital Innovation Hubs (EDIHs) en fungeren als regionale aanjagers voor de adoptie van AI en cloudtechnologie. 

Voor gemeenten en provincies vormen deze centra een laagdrempelig aanspreekpunt bij hun digitale transformatie. Zo ondersteunen zij bij het toepassen van AI in lokale dienstverlening, het vinden van betrouwbare Europese leveranciers van cloud- en AI-oplossingen en het opleiden en omscholen van medewerkers om met nieuwe systemen te werken. Een gemeente die bijvoorbeeld AI wil inzetten voor snellere afhandeling van vergunningen of burgerzaken kan via zo’n centrum gericht advies en partners vinden. 

Door kennis en expertise actief tussen regio’s te delen, wil de CADA voorkomen dat iedere gemeente zelf het wiel moet uitvinden en blijft innovatie ook toegankelijk voor kleinere overheden. 

Implementatie 

Met de presentatie van het voorstel in juni 2026 is de koers richting een soeverein digitaal Europa uitgezet. Hoewel de wet naar verwachting pas halverwege 2027 volledig van kracht wordt, vraagt dit nu al de benodigde voorbereiding. 

De eerste mijlpaal volgt, zoals eerder benoemd, zes maanden na inwerkingtreding: lidstaten moeten dan minimaal één versnellingszone voor datacenters aanwijzen en integreren in lokale ruimtelijke plannen. Halverwege 2028 volgt een grotere stap, wanneer de eerste verplichte risicobeoordeling voor alle digitale publieke taken moet zijn afgerond. Decentrale overheden moeten hun bestaande en nieuwe cloudcontracten hierbij kritisch toetsen. Voldoet een dienst niet aan de Europese waarborgniveaus? Dan zijn overheden verplicht om binnen maximaal 12 maanden over te stappen naar een aanbieder die wel aan de soevereiniteitseisen voldoet. 

Door nu al te sturen op Open Source First en Europese standaarden, kunnen medeoverheden voorkomen dat zij later worden geconfronteerd met een verplichte en tijdsgevoelige inhaalslag richting 2029. 

Conclusie 

Al met al markeert de CADA de verschuiving van decentrale overheden van passieve technologie-consumenten naar actieve vormgevers van een soeverein digitaal Europa. Door de gebundelde kracht van open standaarden en nieuwe Europese samenwerkingsnetwerken voor inkoop en innovatie krijgen gemeenten en provincies de middelen om hun digitale fundament sterker en zelfstandiger vorm te geven. 

Bronnen

Proposal for the Cloud and AI Development Act (CADA) | Shaping Europe’s digital future, Europese Commissie 

Meer informatie

Common Ground, VNG 
EU wil grip op technologie terugpakken. Wat betekent dat voor decentrale overheden?, Europa Decentraal  
In de praktijk Opensourcewerken, Digitale Overheid