---
title: "EU Cloud and AI Development Act (CADA): wat het betekent voor jouw software en clouddiensten | Coding Agency"
description: "De Europese Commissie publiceerde op 3 juni 2026 de Cloud and AI Development Act — een nieuwe wet die cloudsoevereiniteit regelt via vier verzekeringsniveaus en de EU minder afhankelijk moet maken van niet-Europese cloudproviders. Wat betekent dit voor jouw SaaS, hosting en cloudkeuzes?"
url: https://coding.agency/kennisbank/eu-cloud-ai-development-act-cada
source: Coding Agency (https://coding.agency)
language: nl
---

Juridisch  9 min leestijd  

#  EU Cloud and AI Development Act (CADA): wat het betekent voor jouw software en clouddiensten. 

De Europese Commissie publiceerde op 3 juni 2026 de Cloud and AI Development Act — een nieuwe wet die cloudsoevereiniteit regelt via vier verzekeringsniveaus en de EU minder afhankelijk moet maken van niet-Europese cloudproviders. Wat betekent dit voor jouw SaaS, hosting en cloudkeuzes?

 [ Jasper Koers ](https://coding.agency/over/jasper-koers) · 14 jul. 2026 

 ##  In het kort 

- De EU Cloud and AI Development Act (CADA) is op 3 juni 2026 voorgesteld als onderdeel van het Europese Tech Sovereignty Package en wordt op 15 juli 2026 in het Publicatieblad gepubliceerd
- De wet introduceert vier soevereiniteitsniveaus voor cloudproviders: van EU-datalocatie (niveau 1) tot volledig Europees eigendom en controle (niveau 4)
- Overheden en kritieke infrastructuur moeten cloudleveranciers beoordelen op basis van deze niveaus — niveau 1 geldt vanaf februari 2028
- De Europese Commissie kan via gedelegeerde handelingen vergelijkbare eisen opleggen aan private bedrijven in NIS2-sectoren
- Europese cloudproviders als STACKIT, OVHcloud en Scaleway worden aantrekkelijker — Amerikaanse hyperscalers voldoen standaard aan niveau 1, maar niet aan niveau 3 of 4

## Waarom de CADA er komt

Europa is voor meer dan 70% van zijn cloudinfrastructuur afhankelijk van drie Amerikaanse bedrijven: Amazon Web Services, Microsoft Azure en Google Cloud. Die afhankelijkheid is niet alleen technisch — het is ook juridisch: via de [Amerikaanse CLOUD Act](https://coding.agency/kennisbank/soevereine-cloud-open-cloud-alliantie) kan de VS toegang vorderen tot data die op Europese servers staat, zolang de provider een Amerikaans bedrijf is.

De [Cloud and AI Development Act (CADA)](https://digital-strategy.ec.europa.eu/en/policies/cloud-and-ai-development-act) is het Europese antwoord. Op 3 juni 2026 presenteerde de Europese Commissie het voorstel als onderdeel van het bredere [Tech Sovereignty Package](https://commission.europa.eu/news-and-media/news/strengthening-europes-tech-sovereignty-2026-06-03_en). De wet moet drie dingen realiseren: cloudsoevereiniteit verankeren in wetgeving, de Europese datacenter-capaciteit verdrievoudigen, en de afhankelijkheid van niet-Europese AI-infrastructuur verminderen.

## De vier soevereiniteitsniveaus uitgelegd

Het hart van de CADA is een [raamwerk met vier verzekeringsniveaus](https://www.jonesday.com/en/insights/2026/06/european-commissions-proposed-cloud-sovereignty-framework-creates-new-compliance-tiers-for-software-providers) (Union assurance levels) waaraan cloudproviders moeten voldoen om diensten te mogen leveren aan de publieke sector:

### Niveau 1 — EU-datalocatie

De basiseis: alle dataverwerking en -opslag moet plaatsvinden binnen EU-infrastructuur. Dit is de drempel voor elke cloudprovider die aan overheden wil leveren. AWS met servers in Frankfurt of Azure West Europe voldoen hier al aan. De [Europese Commissie schat dat het overgrote deel van de overheidscontracten](https://regulations.ai/news/eu-cloud-ai-act-prepare-july-2026-publication) op dit niveau zal vallen.

### Niveau 2 — onafhankelijkheid en transparantie

Naast EU-datalocatie moet de provider aantoonbaar onafhankelijk zijn van derde landen en transparantie bieden over de volledige softwaretoeleveringsketen. Dit niveau raakt naar verwachting [circa 20% van de overheidscontracten](https://www.hlc.com/en/publications/the-eus-cloud-and-ai-development-act-cada-towards-a-sovereigntyfocused-framework-for-cloud). Voor Amerikaanse hyperscalers wordt dit lastiger: ze moeten aantonen dat hun Europese operaties niet onderhevig zijn aan buitenlandse jurisdictie.

### Niveau 3 — Europees eigendom en controle

De provider moet in eigendom en onder operationele controle zijn van Europese entiteiten. Ook aan het personeel worden eisen gesteld, zoals EU-burgerschap voor sleutelposities. Minder dan 10% van de overheidscontracten zal hier naar verwachting onder vallen, maar het is precies het segment waar gevoelige overheidstoepassingen en NIS2-kritieke sectoren terechtkomen.

### Niveau 4 — volledige soevereiniteit

Het hoogste niveau eist volledige transparantie en controle over de gehele softwaretoeleveringsketen, plus de garantie dat er geen interferentie van een derde land mogelijk is. Dit geldt naar verwachting voor [ongeveer 1% van de contracten](https://iapp.org/news/a/europe-s-cloud-and-ai-development-act-grand-ambition-fragile-foundations), voornamelijk in defensie en inlichtingendiensten.

> De CADA zegt niet dat je geen AWS of Azure mag gebruiken. De wet zegt: als je werkt met gevoelige overheidsdata, moet je weten op welk soevereiniteitsniveau je provider opereert — en daar bewust voor kiezen.

## Tijdlijn: wanneer geldt wat?

De CADA volgt een gefaseerd schema:

- **3 juni 2026** — [Europese Commissie publiceert het voorstel](https://digital-strategy.ec.europa.eu/en/library/proposal-cloud-and-ai-development-act-cada)
- **15 juli 2026** — publicatie in het Publicatieblad van de EU
- **4 augustus 2026** — formele inwerkingtreding
- **Q3 2026** — verwachte start triloogonderhandelingen tussen Commissie, Parlement en Raad
- **Q4 2027** — streeftermijn voor [definitieve wetgevende overeenstemming](https://www.europarl.europa.eu/legislative-train/theme-a-new-plan-for-europe-s-sustainable-prosperity-and-competitiveness/file-cloud-and-ai-development-act)
- **Februari 2028** — eerste soevereiniteitseisen (niveau 1) van toepassing
- **Augustus 2029** — hoogste soevereiniteitsniveau (niveau 4) verplicht waar van toepassing

Het wetgevingsproces voor complexe digitale wetgeving duurt historisch gezien 12 tot 36 maanden. De definitieve tekst kan dus nog wijzigen tijdens de triloogonderhandelingen. Maar de richting is duidelijk — en wachten tot het af is, is niet slim.

## Niet alleen de overheid: doorwerking naar de private sector

Een cruciaal detail dat in de eerste berichtgeving vaak wordt gemist: de CADA geeft de Europese Commissie de bevoegdheid om via [gedelegeerde handelingen (delegated acts)](https://www.insideglobaltech.com/2026/06/11/the-eu-cloud-and-ai-development-act-in-depth/) vergelijkbare soevereiniteitsrisicobeoordelingen op te leggen aan private bedrijven in sectoren die onder de [NIS2-richtlijn](https://coding.agency/kennisbank/nis2-en-softwareontwikkeling) vallen.

Concreet betekent dit dat als jij SaaS levert aan een zorginstelling, energiebedrijf, waterschap of transportbedrijf, je klant straks mogelijk verplicht is om een soevereiniteitsrisicobeoordeling uit te voeren van zijn cloudafhankelijkheden — inclusief jouw dienst. [Brancheorganisaties waarschuwen](https://ccianet.org/news/2026/06/discriminatory-eu-cloud-and-ai-development-act-risks-severe-market-fragmentation/) dat dit de Europese markt kan fragmenteren, maar de wet is er niet minder om.

> De CADA is geen wet die alleen de hyperscalers raakt. Als je software levert aan organisaties in NIS2-sectoren, word je indirect onderdeel van de soevereiniteitsketen.

## Wat verandert er voor SaaS-aanbieders?

Als je een SaaS-product bouwt of beheert, zijn er vier gebieden waar de CADA impact heeft:

### 1. Cloudarchitectuur wordt een compliance-vraagstuk

Waar je data staat en wie er toegang toe heeft, is niet langer alleen een technische keuze. De CADA maakt het een juridisch vraagstuk. Als je SaaS draait op [AWS in Frankfurt](https://coding.agency/kennisbank/aws-hosting-binnen-de-eu), voldoe je aan niveau 1. Maar als je klant een overheidsinstelling is die niveau 2 of 3 eist, moet je kunnen aantonen dat je infrastructuur onafhankelijk is van niet-Europese jurisdictie.

### 2. Leveranciersbeoordeling in de supply chain

Organisaties moeten hun [volledige cloudafhankelijkheidsketen in kaart brengen](https://labs.cloudsecurityalliance.org/research/csa-research-note-eu-cloud-ai-development-act-cada-complianc/): niet alleen de primaire cloudprovider, maar ook managed service providers, compliance-tooling en AI-systemen die op die infrastructuur draaien. Als jouw SaaS een schakel in die keten is, word je onderdeel van de beoordeling.

### 3. Europese cloudproviders worden aantrekkelijker

De CADA maakt het voor Europese cloudproviders als [KPN/STACKIT](https://coding.agency/kennisbank/kpn-stackit-soevereine-cloud-nederland), OVHcloud, Scaleway en Hetzner eenvoudiger om aan de hogere niveaus te voldoen. Zij hebben van nature Europees eigendom en operationele controle. Voor een SaaS-aanbieder die levert aan de publieke sector kan het aantrekkelijk worden om (deels) naar een Europese provider te migreren — niet omdat AWS slecht is, maar omdat het de compliance-last verlaagt.

### 4. Contractuele implicaties

Verwacht dat overheidsinkopers en NIS2-organisaties de CADA-niveaus gaan opnemen in hun inkoopvoorwaarden en leveranciersvragenlijsten. Als je software levert aan de publieke sector, moet je straks kunnen onderbouwen op welk niveau jouw cloudinfrastructuur opereert.

## CADA in de context van het Europese regellandschap

De CADA staat niet op zichzelf. Het is onderdeel van een breder web van Europese digitale wetgeving dat steeds meer impact heeft op software en clouddiensten:

- **[NIS2 / Cyberbeveiligingswet](https://coding.agency/kennisbank/nis2-en-softwareontwikkeling)** — regelt cybersecurity-eisen voor organisaties in essentiële en belangrijke sectoren. De CADA bouwt voort op NIS2 door cloudsoevereiniteit toe te voegen als beoordelingscriterium.
- **[EU Data Act](https://coding.agency/kennisbank/eu-data-act-software)** — regelt dataportabiliteit en het recht om van cloudprovider te wisselen. De Data Act zorgt dat je weg kunt; de CADA bepaalt bij wie je terecht kunt.
- **[EU AI Act](https://coding.agency/kennisbank/eu-ai-act-software)** — regelt de veiligheid en transparantie van AI-systemen. De CADA adresseert de infrastructuurlaag waarop die AI-systemen draaien.
- **[Cyber Resilience Act](https://coding.agency/kennisbank/cyber-resilience-act-software)** — stelt security-eisen aan digitale producten. Samen met de CADA ontstaat een keten van eisen van product tot infrastructuur.

Op 7 juli 2026 presenteerde de Europese Commissie bovendien een [EU Action Plan on Cybersecurity and AI](https://commission.europa.eu/news-and-media/news/new-eu-plan-address-risks-and-opportunities-advanced-ai-cybersecurity-2026-07-07_en) dat €200 miljoen investeert in de kruising van cybersecurity en AI. De boodschap is helder: Europa wil niet alleen regels stellen, maar ook de infrastructuur en capaciteit opbouwen om die regels waar te maken.

## Wat kun je nu al doen?

De CADA treedt gefaseerd in werking, maar dat betekent niet dat je moet wachten. Vier stappen die je nu al kunt zetten:

### 1. Breng je cloudafhankelijkheden in kaart

Maak een overzicht van alle cloudproviders, subverwerkers en SaaS-diensten waar je organisatie op draait. Noteer bij elke dienst: waar staat de data, wie is de provider, onder welke jurisdictie valt die provider? Dit is dezelfde inventarisatie die je nodig hebt voor [NIS2-leveranciersbeoordelingen](https://coding.agency/kennisbank/nis2-eisen-softwareleverancier).

### 2. Beoordeel je positie in de soevereiniteitsketen

Als je software levert aan overheden of aan organisaties in NIS2-sectoren, bepaal dan op welk CADA-niveau je cloudinfrastructuur opereert. De meeste Nederlandse softwarebedrijven die op AWS EU-regio's draaien zitten op niveau 1. Dat is voor het gros van de use cases voldoende — maar weet het, zodat je het kunt onderbouwen.

### 3. Evalueer Europese alternatieven

Je hoeft niet morgen te migreren, maar het is slim om Europese cloudproviders als optie te evalueren — vooral als je merkt dat overheidsklanten vaker naar soevereiniteit vragen. [KPN/STACKIT](https://coding.agency/kennisbank/kpn-stackit-soevereine-cloud-nederland) in Nederland, OVHcloud en Scaleway in Frankrijk, en Hetzner in Duitsland zijn volwassen alternatieven die van nature aan hogere CADA-niveaus voldoen.

### 4. Houd je architectuur provider-agnostisch

De beste voorbereiding is een architectuur die niet vastzit aan één cloudprovider. Gebruik abstractielagen, vermijd proprietaire diensten waar standaardalternatieven bestaan, en zorg dat migratie naar een andere provider technisch haalbaar is. Dat is niet alleen CADA-verstandig — het is ook goed [Data Act-compliant](https://coding.agency/kennisbank/eu-data-act-software) en verstandige engineering.

## Kritiek en kanttekeningen

De CADA is niet zonder controverse. De [Computer &amp; Communications Industry Association (CCIA)](https://ccianet.org/news/2026/06/discriminatory-eu-cloud-and-ai-development-act-risks-severe-market-fragmentation/) waarschuwt dat de hogere niveaus de facto discrimineren tegen niet-Europese providers en de Europese markt kunnen fragmenteren. Het [International Center for Law &amp; Economics](https://laweconcenter.org/resources/europes-sovereignty-stack-cada-compute-and-the-limits-of-autarky/) noemt de wet een ambitieus maar fragiel project dat riskeert autarkie boven innovatie te plaatsen.

Die kritiek is niet ongegrond. De Europese cloudindustrie heeft op dit moment niet de capaciteit om alle overheidswerklasten op te vangen — de CADA spreekt niet voor niets over het verdrievoudigen van de EU-datacentercapaciteit. En de hogere niveaus stellen eisen waaraan zelfs sommige Europese providers niet zonder meer voldoen.

Tegelijkertijd is de realiteit dat de geopolitieke context — exportcontrole op AI-modellen, de [Amerikaanse overheid die Europese AI-diensten kan uitschakelen](https://coding.agency/kennisbank/europese-ai-soevereiniteit-mistral-alternatief), en de CLOUD Act — het soevereiniteitsvraagstuk niet langer theoretisch maakt. De CADA is het Europese antwoord op dat risico.

## Wat Coding Agency adviseert

Wij bouwen software die draait op [AWS via Laravel Vapor](https://coding.agency/kennisbank/serverless-hosting-aws-vapor), bewust in [EU-regio's](https://coding.agency/kennisbank/aws-hosting-binnen-de-eu). Dat voldoet aan CADA-niveau 1 en is voor de overgrote meerderheid van onze klanten meer dan voldoende.

Voor klanten die leveren aan de publieke sector of in NIS2-kritieke sectoren adviseren we een gesprek over cloudstrategie: welk niveau past bij jouw situatie, en hoe richt je je architectuur zo in dat je flexibel blijft als de eisen verscherpen? Dat gesprek begint niet bij technologie, maar bij de vraag: met welke data werk je, en voor wie?

##  Veelgestelde vragen 

 De CADA richt zich in eerste instantie op cloudinkoop door overheden en kritieke infrastructuur. Maar de wet geeft de Europese Commissie de bevoegdheid om via gedelegeerde handelingen vergelijkbare eisen op te leggen aan bedrijven in NIS2-sectoren. Bovendien zullen de soevereiniteitsniveaus naar verwachting ook in private aanbestedingen als referentiekader worden gebruikt. Kortom: ook als MKB-bedrijf doe je er goed aan om je cloudafhankelijkheden in kaart te brengen. 

 De EU Data Act regelt dataportabiliteit en het delen van data tussen partijen — denk aan het recht om je data mee te nemen als je van cloudprovider wisselt. De CADA gaat over wie je cloudprovider mag zijn en aan welke soevereiniteitseisen die moet voldoen. De Data Act zegt: je mag weg. De CADA zegt: bij wie mag je terecht als je met gevoelige overheidsdata werkt. 

 De wet treedt formeel in werking op 4 augustus 2026, maar de eerste soevereiniteitseisen gelden pas vanaf februari 2028. Je hoeft niet morgen te schakelen, maar het is wel slim om nu je cloudarchitectuur en leveranciersafhankelijkheden in kaart te brengen — vooral als je software levert aan overheidsorganisaties of in NIS2-sectoren opereert. 

 Ja, voor de meeste workloads wel. Niveau 1 vereist alleen dat data in EU-infrastructuur wordt verwerkt — AWS Frankfurt of Azure West Europe voldoen daar al aan. Pas bij niveau 3 en 4 worden eisen gesteld aan Europees eigendom en controle, en die gelden naar verwachting voor minder dan 10% van de overheidscontracten. 

 Gerelateerde expertise — Maatwerk Software **Maatwerk software laten maken?** Bekijk onze aanpak, werkwijze en referentieprojecten. Vanaf € 3.000, 16+ jaar ervaring, 150+ projecten opgeleverd.

 [ Bekijk onze aanpak ](https://coding.agency/expertises/maatwerk-software-laten-maken) [ Gratis prijsindicatie ](https://coding.agency/prijsindicatie) 

 Onderwerpen CADA Cloud EU Soevereiniteit AI SaaS NIS2 Compliance CLOUD Act 

  ##  Gerelateerde artikelen 

 [ 4 mei 2026 

 Hosting 

###  Soevereine cloud: waarom steeds meer bedrijven kiezen voor Europese hosting 

 Zeven Nederlandse IT-bedrijven presenteerden in april 2026 de Open Cloud Alliantie — een soeverein alternatief voor AWS, Azure en Google Clo...

 ](https://coding.agency/kennisbank/soevereine-cloud-open-cloud-alliantie) [ 1 jun. 2026 

 Hosting 

###  KPN en STACKIT lanceren soevereine cloud in Nederland: wat het betekent voor je software 

 KPN en Schwarz Digits bouwen een Europese cloud vanuit Nederlandse datacenters. De Rijksoverheid en De Nederlandsche Bank tekenden al. Wat m...

 ](https://coding.agency/kennisbank/kpn-stackit-soevereine-cloud-nederland) [ 13 apr. 2026 

 Juridisch 

###  EU Data Act: wat het betekent voor jouw software en SaaS 

 De EU Data Act is sinds september 2025 van kracht en verplicht bedrijven om data te delen, vendor lock-in te verminderen en cloudmigratie ee...

 ](https://coding.agency/kennisbank/eu-data-act-software) 

##  Hulp nodig? 

Vragen over dit onderwerp? Laten we het erover hebben.

 [ Neem contact op ](https://coding.agency/contact)

---
*Bron: [Coding Agency](https://coding.agency/kennisbank/eu-cloud-ai-development-act-cada)*