💼 Management Samenvatting
De EU Data Boundary van Microsoft vertegenwoordigt meer dan alleen een technische configuratie voor data residency. Het vormt een fundamentele bouwsteen voor digitale soevereiniteit: het vermogen van Nederlandse overheidsorganisaties om strategische controle te behouden over kritieke gegevens, onafhankelijk te opereren binnen Europees rechtskader en afhankelijkheden van derde landen te beheersen. Voor organisaties die werken onder de BIO, AVG en NIS2 gaat het niet alleen om compliance, maar om het behoud van soevereiniteit over publieke gegevens en kritieke infrastructuur.
Aanbeveling
VERANKER DIGITALE SOEVEREINITEIT EN DE EU DATA BOUNDARY STRUCTUREEL IN UW AZURE- EN MICROSOFT CLOUD-STRATEGIE
Risico zonder
High
Risk Score
9/10
Implementatie
140u (tech: 80u)
Van toepassing op:
✓ Azure Tenant
✓ Microsoft 365
✓ Publieke Sector
✓ Overheidsorganisaties
✓ Microsoft 365
✓ Publieke Sector
✓ Overheidsorganisaties
Zonder expliciete focus op digitale soevereiniteit en de EU Data Boundary ontstaat er een strategisch risico: Nederlandse overheidsorganisaties verliezen grip op waar en onder welke jurisdicties hun gegevens worden verwerkt. Dit kan leiden tot situaties waarin gevoelige publieke gegevens onderworpen zijn aan buitenlandse wetgeving, zoals de US Cloud Act of andere extraterritoriale bevoegdheden. Bovendien ontstaat er afhankelijkheid van leveranciers die mogelijk onder druk kunnen worden gezet door niet-EU overheden, wat de operationele autonomie en strategische onafhankelijkheid van Nederlandse publieke organisaties bedreigt. Voor kritieke infrastructuur die onder NIS2 valt, kan het ontbreken van soevereiniteitsmaatregelen leiden tot vragen van toezichthouders over de mate waarin de organisatie daadwerkelijk controle heeft over haar gegevens en systemen. Zonder concrete architectuur- en beheersmaatregelen rond de EU Data Boundary blijft digitale soevereiniteit een abstract concept zonder praktische invulling.
PowerShell Modules Vereist
Primary API: Azure API en Microsoft 365 Compliance API
Connection:
Required Modules: Az.Accounts, Az.Resources, ExchangeOnlineManagement
Connection:
Connect-AzAccount, Connect-ExchangeOnlineRequired Modules: Az.Accounts, Az.Resources, ExchangeOnlineManagement
Implementatie
Dit artikel beschrijft hoe Nederlandse publieke organisaties de EU Data Boundary inzetten als fundament voor digitale soevereiniteit binnen Azure en Microsoft 365. We starten met de uitleg van het concept digitale soevereiniteit en de relatie met de EU Data Boundary, gevolgd door strategische principes voor het behoud van controle en onafhankelijkheid. Vervolgens gaan we in op praktische architectuur- en implementatiestappen, zoals het ontwerpen van tenant- en workloadarchitectuur met soevereiniteit als uitgangspunt, het beoordelen van diensten op hun bijdrage aan strategische controle en het documenteren van soevereiniteitsgaranties. In de secties over monitoring en governance laten we zien hoe je met behulp van een PowerShell-script periodiek kunt toetsen of Azure-resources binnen de EU Data Boundary vallen en hoe je bevindingen vertaalt naar strategische beslissingen en risicobeoordelingen. Het doel is een praktisch toepasbaar raamwerk dat bestuurders, CISO's en strategische adviseurs in staat stelt om digitale soevereiniteit niet alleen te claimen, maar ook aantoonbaar te realiseren en te verankeren in de bredere cloudstrategie.
Digitale soevereiniteit en de EU Data Boundary
Digitale soevereiniteit verwijst naar het vermogen van een organisatie of overheid om strategische controle te behouden over haar gegevens, systemen en digitale infrastructuur, onafhankelijk van externe invloeden of jurisdicties. Voor Nederlandse overheidsorganisaties betekent dit dat kritieke publieke gegevens en systemen primair onder Europees en Nederlands rechtskader moeten vallen, met minimale blootstelling aan extraterritoriale bevoegdheden van derde landen. De EU Data Boundary van Microsoft vormt hierin een belangrijke technische voorziening, maar soevereiniteit gaat verder dan alleen data residency: het omvat ook controle over verwerkingsprocessen, toegang tot gegevens door leveranciers en derden, en het vermogen om onafhankelijk te opereren zonder afhankelijkheid van niet-EU jurisdicties.
De juridische en strategische context van digitale soevereiniteit wordt gevormd door meerdere ontwikkelingen. De Algemene Verordening Gegevensbescherming (AVG) versterkt de positie van Europese burgers en organisaties door strikte voorwaarden te stellen aan doorgifte van persoonsgegevens naar derde landen. Het Schrems II-arrest van het Europese Hof van Justitie heeft bovendien duidelijk gemaakt dat organisaties zelf verantwoordelijk zijn voor het verifiëren dat passende waarborgen daadwerkelijk effectief zijn, zelfs wanneer standaardcontractuele clausules worden gebruikt. Voor Nederlandse overheidsorganisaties voegt de Baseline Informatiebeveiliging Overheid (BIO) aanvullende eisen toe rond beheersing van uitbesteding en ketenverantwoordelijkheid, waarbij expliciet aandacht wordt gevraagd voor de locatie van gegevensverwerking en de jurisdicties die van toepassing zijn.
De NIS2-richtlijn versterkt deze focus op soevereiniteit door te eisen dat operators van essentiële diensten en belangrijke entiteiten systematisch risico's in de toeleveringsketen beoordelen en documenteren. Dit omvat niet alleen technische beveiligingsmaatregelen, maar ook strategische overwegingen rond afhankelijkheden, leveranciersrisico's en het vermogen om kritieke diensten te blijven leveren onder verschillende scenario's. De EU Data Boundary kan hierin een belangrijke mitigerende maatregel zijn, omdat het de blootstelling aan niet-EU jurisdicties vermindert en de operationele controle binnen Europese grenzen houdt. Echter, soevereiniteit vereist meer dan alleen technische configuratie: het vraagt om bewuste architectuurkeuzes, heldere governance en continue monitoring om te verifiëren dat de gekozen maatregelen daadwerkelijk bijdragen aan strategische controle en onafhankelijkheid.
Een veelvoorkomend misverstand is dat digitale soevereiniteit automatisch wordt bereikt zodra een organisatie de EU Data Boundary activeert. In werkelijkheid is soevereiniteit een gradueel concept dat afhankelijk is van meerdere factoren: de mate waarin gegevens daadwerkelijk binnen de EU blijven, de controle die de organisatie heeft over verwerkingsprocessen, de afhankelijkheden van leveranciers en derden, en het vermogen om onafhankelijk te opereren zonder externe druk. De EU Data Boundary vormt een belangrijke bouwsteen, maar moet worden aangevuld met andere maatregelen zoals encryptie, toegangsbeveiliging, contractuele garanties en strategische keuzes rond leveranciers en diensten. Dit artikel helpt organisaties om deze vertaalslag gestructureerd te maken en soevereiniteit te verankeren in de bredere cloudstrategie en risicobeheersing.
Strategische principes voor digitale soevereiniteit
Een effectieve aanpak van digitale soevereiniteit begint bij heldere strategische principes die richting geven aan architectuurkeuzes, leveranciersselectie en beheerprocessen. Het eerste principe is 'EU-first by design': nieuwe cloudinitiatieven worden standaard ontworpen met de EU Data Boundary als uitgangspunt, waarbij expliciet wordt vastgelegd welke diensten en datacategorieën binnen de boundary vallen en welke uitzonderingen worden toegestaan. Dit principe voorkomt dat soevereiniteit achteraf moet worden toegevoegd en zorgt ervoor dat architectuurkeuzes vanaf het begin bijdragen aan strategische controle.
Het tweede principe is 'strategische controle behouden': organisaties moeten in staat zijn om onafhankelijk te opereren zonder afhankelijkheid van niet-EU jurisdicties of externe druk. Dit betekent dat kritieke gegevens en systemen primair binnen de EU worden verwerkt, dat toegang tot gegevens door leveranciers en derden wordt beperkt en gecontroleerd, en dat er heldere exit-strategieën zijn voor het geval leveranciers niet meer kunnen voldoen aan soevereiniteitseisen. Het betekent ook dat organisaties bewust kiezen voor diensten en leveranciers die bijdragen aan strategische controle, in plaats van alleen te kijken naar functionaliteit of kosten.
Het derde principe is 'transparantie en verantwoording': organisaties moeten kunnen aantonen waar gegevens worden verwerkt, onder welke jurisdicties deze vallen en welke maatregelen zijn genomen om soevereiniteit te waarborgen. Dit vereist gedetailleerde documentatie, periodieke monitoring en heldere rapportage richting bestuur, toezichthouders en stakeholders. Transparantie is niet alleen belangrijk voor compliance en auditing, maar ook voor het behoud van vertrouwen bij burgers, ketenpartners en andere belanghebbenden. Door soevereiniteitsmaatregelen expliciet te documenteren en te communiceren, kunnen organisaties aantonen dat zij serieus omgaan met strategische controle en onafhankelijkheid.
Binnen Azure vertaalt dit zich naar een architectuur waarin management groups, subscriptions en landing zones zijn ontworpen met soevereiniteit als uitgangspunt. Productie-omgevingen met gevoelige of kritieke gegevens worden geconcentreerd in een beperkt aantal EU-regio's, waarbij expliciet wordt vastgelegd welke regio's worden gebruikt en waarom. Door standaard deployment-templates en Infrastructure as Code te gebruiken, kan de regioselectie worden vastgelegd en geborgd in code, in plaats van overgelaten aan handmatige keuzes. Voor Microsoft 365 betekent dit dat aanvullende diensten zoals Copilot, Purview of Defender pas worden geactiveerd nadat is vastgesteld hoe zij bijdragen aan of afbreuk doen aan soevereiniteit, en of zij onder de EU Data Boundary vallen. In sommige gevallen kan het verstandig zijn om features bewust later in te schakelen, of alleen voor specifieke pilots, totdat helder is welke grensoverschrijdende datastromen daarbij horen en hoe deze kunnen worden beheerst.
Strategische principes moeten bovendien worden verankerd in governance: besluitvormingsstructuren, richtlijnen en standaarddocumentatie. Dat betekent dat elk nieuw cloudproject een expliciete soevereiniteitsparagraaf in zijn architectuurdossier krijgt, waarin wordt beschreven welke regio's worden gebruikt, of de workloads binnen de EU Data Boundary vallen, welke uitzonderingen worden toegestaan en hoe strategische controle wordt gewaarborgd. Deze informatie wordt hergebruikt in DPIA's, NIS2-risicobeoordelingen en strategische besluitvorming. Door de gekozen principes te koppelen aan meetbare criteria – bijvoorbeeld een maximaal percentage resources buiten EU-regio's of een verplichte lijst van toegestane regio's – ontstaat een basis voor geautomatiseerde controles en continue monitoring.
Implementatie van soevereiniteitsmaatregelen
De implementatie van digitale soevereiniteit start met een inventarisatie van de huidige situatie: welke tenants zijn in gebruik, in welke regio's zijn deze aangemaakt en welke belangrijkste workloads worden afgenomen? Voor Microsoft 365 gaat het onder meer om de opslaglocaties van Exchange Online, SharePoint, OneDrive, Teams en aanvullende diensten zoals Copilot of Viva. Voor Azure ligt de focus op de regio's waarin resourcegroepen, virtuele machines, databases, opslagaccounts en PaaS-diensten zijn uitgerold. Op basis van deze inventarisatie kan een 'as-is' soevereiniteitslandschap worden opgesteld dat duidelijk maakt welke delen van de omgeving al grotendeels binnen de EU Data Boundary vallen en waar nog sprake is van wereldwijde of niet-EU verwerkingen. Deze stap vereist nauwe samenwerking tussen beheerders, architecten, privacy officers en strategische adviseurs, omdat documentatie, portal-informatie en praktijktests elkaar moeten aanvullen.
Vervolgens worden de gewenste doelarchitectuur en migratiestrategie bepaald. Dit kan inhouden dat bepaalde workloads worden verplaatst naar EU-regio's, dat nieuwe Azure-subscriptions alleen nog in vooraf goedgekeurde regio's mogen uitrollen, of dat bepaalde diensten pas worden geactiveerd nadat Microsoft heeft bevestigd dat zij binnen de boundary vallen. In Azure kunnen policies worden ingezet om de keuze van regio's technisch te begrenzen en afwijkingen te signaleren, bijvoorbeeld met een policy die alleen een vaste lijst van EU-regio's toestaat. Voor Microsoft 365 kunnen beheerders gebruikmaken van de beschikbare rapportages over datalocaties en roadmap-informatie van Microsoft om te beoordelen wanneer specifieke diensten of datacategorieën binnen de boundary komen te vallen. Waar volledige migratie op korte termijn niet haalbaar is, worden tijdelijke uitzonderingen vastgelegd, inclusief mitigerende maatregelen zoals extra encryptie, strengere toegangsbeveiliging of contractuele afspraken over aanvullende waarborgen.
Een cruciaal onderdeel van de implementatie is de beoordeling van leveranciers en diensten op hun bijdrage aan soevereiniteit. Niet alle diensten dragen evenveel bij aan strategische controle: sommige diensten zijn per definitie wereldwijd en kunnen niet volledig binnen de EU Data Boundary worden gebracht, terwijl andere diensten expliciet zijn ontworpen om soevereiniteit te ondersteunen. Organisaties moeten bewust kiezen welke diensten zij gebruiken, welke risico's zij accepteren en welke mitigerende maatregelen zij treffen. Dit vereist een volwassen dialoog tussen leverancier, inkoop, CISO en strategische adviseurs: welke workloads en datacategorieën vallen binnen de boundary, welke niet, en hoe wordt hierover gerapporteerd? Door de officiële Microsoft-documentatie actief te volgen, architectuur- en privacy-impactanalyses bij te werken en afspraken vast te leggen in verwerkersovereenkomsten en SLA's, ontstaat een transparant kader dat bijdraagt aan strategische controle.
Communicatie en documentatie vormen een essentieel onderdeel van de implementatie. Bestuurders, CISO's en strategische adviseurs moeten helder inzicht krijgen in wat de EU Data Boundary wel en niet afdekt, welke stappen de organisatie zet om daar maximaal gebruik van te maken en welke rest-risico's blijven bestaan. Dit vraagt om begrijpelijke overzichten, bijvoorbeeld in de vorm van managementsamenvattingen per cloudplatform, waarin per workload is aangegeven of deze binnen de boundary valt, welke regio's worden gebruikt en welke acties gepland zijn. Tegelijkertijd moeten technische teams beschikken over gedetailleerde instructies en referentie-implementaties. Het in dit artikel beschreven PowerShell-script sluit daarop aan door beheerders een herhaalbare manier te geven om Azure-resources en hun regio's te inventariseren, zowel in een veilige lokaal-debugmodus als in productieomgevingen. De uitkomsten kunnen worden gebruikt om migratieprioriteiten te bepalen, naleving van architectuurprincipes te toetsen en rapportages richting bestuur en auditors te onderbouwen.
Monitoring van soevereiniteitsnaleving
Gebruik PowerShell-script eu-data-boundary.ps1 (functie Invoke-Monitoring) – Voert een lichte controle uit op Azure-resources en rapporteert of deze binnen vooraf gedefinieerde EU-regio's draaien, met ondersteuning voor een lokale debugmodus zonder cloudverbinding..
Monitoring van digitale soevereiniteit kan niet worden beperkt tot eenmalige configuratiecontroles. Nieuwe projecten, uitbreidingen en wijzigingen in de Azure-omgeving kunnen ertoe leiden dat resources alsnog buiten de beoogde EU-regio's worden uitgerold, wat de strategische controle en onafhankelijkheid bedreigt. Een volwassen monitoringaanpak combineert daarom geautomatiseerde controles met vaste rapportagemomenten en strategische beoordelingen. Voor Azure betekent dit dat er periodiek – bijvoorbeeld maandelijks of per kwartaal – een inventarisatie wordt uitgevoerd van resources per subscription, inclusief hun regio en type. Op basis daarvan kan worden vastgesteld welk percentage van de resources in goedgekeurde EU-regio's draait en waar uitzonderingen of afwijkingen optreden. Deze informatie wordt geaggregeerd naar een overzicht voor CISO en bestuur, waarin bijvoorbeeld staat hoeveel subscriptions volledig boundary-conform zijn en hoeveel resources nog moeten worden gemigreerd.
Het gekoppelde PowerShell-script is ontworpen om deze monitoringstap laagdrempelig te maken. In een standaardproductiescenario maakt het script verbinding met Azure via Az.Accounts en haalt het per subscription een overzicht op van resources en hun regio's. Vervolgens vergelijkt het script deze regio's met een vooraf gedefinieerde lijst van EU-acceptabele datacenters en berekent het eenvoudige kengetallen: het totaal aantal resources, het aantal resources binnen en buiten de EU-lijst, en een indicatieve compliantienstatus. In een lokale debugmodus kan hetzelfde script worden uitgevoerd zonder verbinding met Azure: het genereert dan synthetische testdata waarmee audits, dashboards en rapportagesjablonen kunnen worden getest zonder toegang tot een productie-tenant. Dit sluit aan bij de behoefte van overheidsorganisaties om scripts eerst veilig in een gescheiden omgeving te beoordelen, voordat zij in beheerprocessen of geautomatiseerde pipelines worden opgenomen.
Monitoring van soevereiniteit gaat echter verder dan alleen technische controles. Organisaties moeten ook periodiek beoordelen of leveranciers en diensten nog steeds bijdragen aan strategische controle, of er nieuwe risico's zijn ontstaan en of de gekozen maatregelen nog steeds effectief zijn. Dit vereist een combinatie van technische monitoring, strategische beoordelingen en dialoog met leveranciers. Door soevereiniteitsmonitoring te koppelen aan bredere risicobeoordelingen en strategische planning, kunnen organisaties proactief reageren op veranderingen en hun strategische controle behouden.
Governance en strategische verankering
Gebruik PowerShell-script eu-data-boundary.ps1 (functie Invoke-Remediation) – Ondersteunt beheerders bij het interpreteren van monitoringsresultaten en geeft gerichte aanbevelingen en voorbeeldcmdlets voor remediatie binnen reguliere changeprocessen..
Wanneer monitoring laat zien dat een deel van de Azure-resources buiten de beoogde EU-regio's draait, is een gestructureerde remediatieaanpak noodzakelijk. In plaats van ad-hoc migraties of losse wijzigingen in de portal, wordt eerst een analyse gemaakt van patronen: welke subscriptions of projecten wijken structureel af, welke typen resources worden het vaakst buiten de EU uitgerold en welke bedrijfsonderdelen zijn daarbij betrokken? Op basis hiervan kan de organisatie prioriteiten stellen: kritieke workloads met gevoelige gegevens gaan voor, gevolgd door omgevingen met lagere impact. Voor elke prioritaire afwijking wordt een concreet verbeterplan opgesteld, met maatregelen zoals het aanpassen van deployment-templates, het instellen van Azure Policies die niet-EU-regio's blokkeren of het plannen van geordende resource-migraties. Het is belangrijk dat deze acties worden uitgevoerd binnen formele changeprocessen, inclusief risicoanalyse, testomgevingen en terugvalscenario's, omdat regio-wijzigingen directe gevolgen kunnen hebben voor beschikbaarheid, latency en integraties.
Governance richt zich er vervolgens op om soevereiniteit te verankeren in strategische besluitvorming en werkwijze. Als blijkt dat ontwikkelteams structureel resources in niet-toegestane regio's uitrollen, is dat vaak een symptoom van onduidelijke richtlijnen, onvoldoende standaardisatie in deployment-sjablonen of te ruime selfservice-mogelijkheden. Door strategische principes te vertalen naar harde beleidsregels, goedgekeurde blauwdrukken en technische guardrails (zoals policies en role-based access control), wordt de kans op nieuwe afwijkingen verkleind. Het PowerShell-script speelt hierbij een ondersteunende rol: het voert geen automatische remediatie uit, maar presenteert de monitoringsresultaten in een vorm die eenvoudig in governance-overleggen, rapportages en GRC-systemen kan worden gebruikt. Door bevindingen, beslissingen en uitgevoerde maatregelen systematisch vast te leggen, kunnen organisaties richting auditors en toezichthouders aantonen dat zij niet alleen digitale soevereiniteit claimen, maar ook actief sturen op naleving en continue verbetering.
Strategische verankering betekent ook dat soevereiniteit wordt meegenomen in langetermijnplanning en leveranciersstrategie. Organisaties moeten periodiek beoordelen of hun huidige cloudleveranciers en diensten nog steeds bijdragen aan strategische controle, of er alternatieven zijn die beter aansluiten bij soevereiniteitsdoelen, en hoe zij kunnen reageren op veranderingen in de markt of regelgeving. Dit vereist een volwassen dialoog tussen technische teams, strategische adviseurs en bestuur, waarbij soevereiniteit niet wordt gezien als een eenmalige implementatie, maar als een continue strategische prioriteit die regelmatig wordt geëvalueerd en bijgesteld.
Compliance & Frameworks
- BIO: 08.01.03, 08.03.01, 09.01.02, 15.01.01 - Uitbesteding van clouddiensten, locatie van gegevensverwerking, contractbeheer en continue bewaking van beveiligings- en continuïteitseisen binnen cloudomgevingen, met focus op strategische controle en onafhankelijkheid.
- ISO 27001:2022: A.5.19, A.5.23, A.8.1, A.10.1, A.5.30 - Relaties met leveranciers, informatiebeveiliging in de keten, eigendom van informatie en cryptografische en organisatorische maatregelen rondom dataresidentie, jurisdictie en strategische controle.
- NIS2: Artikel - Risicobeheer, ketentransparantie en documentatieverplichtingen voor essentiële en belangrijke entiteiten, inclusief inzicht in datalocaties, gebruik van cloudleveranciers binnen de EU en strategische beoordeling van afhankelijkheden.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Controle op EU Data Boundary- en soevereiniteitsnaleving voor Azure-resources
.DESCRIPTION
Voert een lichte controle uit op:
- In welke Azure-regio's resources zijn uitgerold
- Het aandeel resources binnen vooraf gedefinieerde EU-regio's
- Een indicatieve soevereiniteitscompliantienstatus per omgeving
Het script ondersteunt twee gebruiksscenario's:
- Productie: verbinding met Azure om daadwerkelijke resourcegegevens op te halen
- Lokale debugmodus: synthetische testdata genereren zonder cloudverbinding
Dit script sluit inhoudelijk aan op het artikel
'EU Data Boundary en Digitale Soevereiniteit voor Azure'.
.NOTES
Filename: eu-data-boundary.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/azure/sovereignty/eu-data-boundary.json
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Resources
[CmdletBinding()]
param(
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$DebugMode
)
$ErrorActionPreference = 'Stop'
$PolicyName = "EU Data Boundary - Soevereiniteitscontrole Azure"
function Get-EuRegions {
<#
.SYNOPSIS
Geeft de lijst met geaccepteerde EU-regio's terug voor soevereiniteitsdoeleinden
#>
[CmdletBinding()]
param()
return @(
"westeurope",
"northeurope",
"germanywestcentral",
"germanynorth",
"norwayeast",
"norwaywest",
"swedencentral",
"swedensouth",
"uksouth",
"ukwest",
"francecentral",
"francesouth",
"switzerlandnorth",
"switzerlandwest",
"italynorth",
"spaincentral",
"polandcentral"
)
}
function Connect-RequiredServices {
[CmdletBinding()]
param(
[switch]$DebugMode
)
if ($DebugMode) {
Write-Verbose "DebugMode is ingeschakeld: er wordt geen verbinding met Azure gemaakt."
return
}
if (-not (Get-AzContext -ErrorAction SilentlyContinue)) {
Connect-AzAccount -ErrorAction Stop | Out-Null
}
}
function Test-EuDataBoundary {
<#
.SYNOPSIS
Haalt kerncijfers op over regio's en EU Data Boundary-naleving voor soevereiniteitsdoeleinden
.OUTPUTS
PSCustomObject met TotalSubscriptions, TotalResources, ResourcesInEu,
ResourcesOutsideEu, EuCompliancePercentage en IsCompliant
#>
[CmdletBinding()]
param(
[switch]$DebugMode
)
$euRegions = Get-EuRegions
if ($DebugMode) {
# Synthetische testdata voor lokale validatie zonder cloudverbinding
return [PSCustomObject]@{
Mode = "Debug"
TotalSubscriptions = 3
TotalResources = 150
ResourcesInEu = 135
ResourcesOutsideEu = 15
EuCompliancePercentage = [math]::Round((135 / 150) * 100, 1)
IsCompliant = $false
DetectedRegions = @("westeurope", "northeurope", "eastus", "southeastasia")
}
}
$subscriptions = Get-AzSubscription -ErrorAction Stop | Where-Object { $_.State -eq 'Enabled' }
$totalResources = 0
$resourcesInEu = 0
$resourcesOutsideEu = 0
$regions = [System.Collections.Generic.HashSet[string]]::new([System.StringComparer]::OrdinalIgnoreCase)
foreach ($sub in $subscriptions) {
Set-AzContext -SubscriptionId $sub.Id -ErrorAction Stop | Out-Null
try {
$resources = Get-AzResource -ErrorAction SilentlyContinue
if ($resources) {
foreach ($r in $resources) {
if (-not $r.Location) {
continue
}
$totalResources++
$null = $regions.Add($r.Location.ToLowerInvariant())
if ($euRegions -contains $r.Location.ToLowerInvariant()) {
$resourcesInEu++
}
else {
$resourcesOutsideEu++
}
}
}
}
catch {
Write-Verbose "Kon resources voor subscription '$($sub.Name)' niet ophalen: $_"
}
}
$euCompliancePercentage = $null
if ($totalResources -gt 0) {
$euCompliancePercentage = [math]::Round(($resourcesInEu / $totalResources) * 100, 1)
}
[PSCustomObject]@{
Mode = "Live"
TotalSubscriptions = $subscriptions.Count
TotalResources = $totalResources
ResourcesInEu = $resourcesInEu
ResourcesOutsideEu = $resourcesOutsideEu
EuCompliancePercentage = $euCompliancePercentage
IsCompliant = ($resourcesOutsideEu -eq 0)
DetectedRegions = @($regions) | Sort-Object
}
}
try {
Connect-RequiredServices -DebugMode:$DebugMode
if ($Monitoring) {
$result = Test-EuDataBoundary -DebugMode:$DebugMode
Write-Host "" -ForegroundColor White
Write-Host "========================================" -ForegroundColor Cyan
Write-Host $PolicyName -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ("Modus : {0}" -f $result.Mode) -ForegroundColor White
Write-Host ("Subscripties : {0}" -f $result.TotalSubscriptions) -ForegroundColor White
Write-Host ("Totaal aantal resources : {0}" -f $result.TotalResources) -ForegroundColor White
Write-Host ("Resources in EU-regio's : {0}" -f $result.ResourcesInEu) -ForegroundColor White
Write-Host ("Resources buiten EU-regio : {0}" -f $result.ResourcesOutsideEu) -ForegroundColor White
if ($null -ne $result.EuCompliancePercentage) {
Write-Host ("EU-compliancepercentage : {0}%" -f $result.EuCompliancePercentage) -ForegroundColor White
}
else {
Write-Host "EU-compliancepercentage : n.v.t. (geen resources gevonden)" -ForegroundColor Yellow
}
if ($result.DetectedRegions -and $result.DetectedRegions.Count -gt 0) {
Write-Host ("Gedetecteerde regio's : {0}" -f ($result.DetectedRegions -join ", ")) -ForegroundColor White
}
if (-not $result.IsCompliant) {
Write-Host "" -ForegroundColor White
Write-Host "[WAARSCHUWING] Er zijn resources buiten de gedefinieerde EU-regio's aangetroffen. Dit kan de digitale soevereiniteit en strategische controle bedreigen. Onderzoek welke subscriptions en deployments hiervan de oorzaak zijn en plan gerichte remediatie." -ForegroundColor Yellow
}
}
else {
$result = Test-EuDataBoundary -DebugMode:$DebugMode
Write-Host ""
Write-Host ("EU Data Boundary-soevereiniteitscontrole: {0} subscripties, {1} resources (EU: {2}, buiten EU: {3}, EU-compliance: {4})" -f `
$result.TotalSubscriptions, `
$result.TotalResources, `
$result.ResourcesInEu, `
$result.ResourcesOutsideEu, `
($(if ($null -ne $result.EuCompliancePercentage) { "$($result.EuCompliancePercentage)%" } else { "n.v.t." })))
}
}
catch {
Write-Error $_
exit 1
}
# ================================================================================
# Standaard Invoke-* Functions (conform Azure script-schema)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert configuratie (delegeert naar remediatie)
#>
[CmdletBinding()]
param(
[switch]$DebugMode
)
Invoke-Remediation -DebugMode:$DebugMode
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert de monitoringcheck uit voor EU Data Boundary- en soevereiniteitsnaleving
#>
[CmdletBinding()]
param(
[switch]$DebugMode
)
try {
Connect-RequiredServices -DebugMode:$DebugMode
$result = Test-EuDataBoundary -DebugMode:$DebugMode
Write-Host "" -ForegroundColor White
Write-Host "========================================" -ForegroundColor Cyan
Write-Host $PolicyName -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ("Modus : {0}" -f $result.Mode) -ForegroundColor White
Write-Host ("Subscripties : {0}" -f $result.TotalSubscriptions) -ForegroundColor White
Write-Host ("Totaal aantal resources : {0}" -f $result.TotalResources) -ForegroundColor White
Write-Host ("Resources in EU-regio's : {0}" -f $result.ResourcesInEu) -ForegroundColor White
Write-Host ("Resources buiten EU-regio : {0}" -f $result.ResourcesOutsideEu) -ForegroundColor White
if ($null -ne $result.EuCompliancePercentage) {
Write-Host ("EU-compliancepercentage : {0}%" -f $result.EuCompliancePercentage) -ForegroundColor White
}
else {
Write-Host "EU-compliancepercentage : n.v.t. (geen resources gevonden)" -ForegroundColor Yellow
}
if ($result.DetectedRegions -and $result.DetectedRegions.Count -gt 0) {
Write-Host ("Gedetecteerde regio's : {0}" -f ($result.DetectedRegions -join ", ")) -ForegroundColor White
}
if (-not $result.IsCompliant) {
Write-Host "" -ForegroundColor White
Write-Host "[WAARSCHUWING] Er zijn resources buiten de gedefinieerde EU-regio's aangetroffen. Dit kan de digitale soevereiniteit en strategische controle bedreigen. Gebruik Azure Policy, deployment-templates en gerichte migraties om deze afwijkingen op te lossen." -ForegroundColor Yellow
}
}
catch {
Write-Error $_
exit 1
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Ondersteunt remediatie door monitoringsresultaten te presenteren
.DESCRIPTION
Dit script voert geen automatische remediatie uit, maar geeft duidelijke
aanwijzingen om Azure-regio's in lijn te brengen met de EU Data Boundary
en soevereiniteitsdoelen.
#>
[CmdletBinding()]
param(
[switch]$DebugMode
)
Write-Host "[INFO] Dit is een monitoringgerichte controle zonder automatische remediatie." -ForegroundColor Yellow
Write-Host "[INFO] Gebruik de resultaten om subscriptions en deployments die resources buiten EU-regio's plaatsen te identificeren en binnen reguliere changeprocessen te corrigeren om digitale soevereiniteit te waarborgen." -ForegroundColor Yellow
Invoke-Monitoring -DebugMode:$DebugMode
}
Risico zonder implementatie
Risico zonder implementatie
High: Wanneer een organisatie digitale soevereiniteit niet expliciet meeneemt in haar cloudstrategie en de EU Data Boundary vooral als papieren afspraak ziet, blijft onduidelijk waar data precies wordt verwerkt en onder welke jurisdicties deze valt. Dit vergroot de kans op verlies van strategische controle, blootstelling aan extraterritoriale bevoegdheden, afhankelijkheid van niet-EU jurisdicties en kritische bevindingen bij audits. Voor kritieke infrastructuur kan dit leiden tot operationele risico's en vragen van toezichthouders over de mate van controle en onafhankelijkheid.
Management Samenvatting
Digitale soevereiniteit en de EU Data Boundary vormen een fundamentele bouwsteen voor strategische controle en onafhankelijkheid van Nederlandse overheidsorganisaties. Door architectuurprincipes vast te leggen, implementatiestappen te plannen en periodieke monitoring van Azure-resourceregio's uit te voeren met een lichtgewicht PowerShell-script, ontstaat aantoonbare controle over datalocaties en soevereiniteitsnaleving. Dit artikel geeft bestuurders, CISO's en strategische adviseurs een concreet raamwerk om digitale soevereiniteit integraal te verankeren in cloudstrategie, risicobeheersing en governance.
- Implementatietijd: 140 uur
- FTE required: 0.4 FTE