← Terug naar blog

Cloud adoptie in de Nederlandse publieke sector

Cloud Strategie

Strategische keuzes, afhankelijkheden, soevereiniteit en governance.

1. Inleiding: De Spanning tussen Ambitie en Realiteit

De Nederlandse overheid bevindt zich in een fundamentele transformatie. Gedreven door de noodzaak om dienstverlening te moderniseren, de informatiehuishouding op orde te brengen en in te spelen op maatschappelijke uitdagingen, is digitalisering verheven tot een strategische topprioriteit. De Nederlandse Digitalisering Strategie (NDS) fungeert hierbij als het kompas dat de richting wijst naar een overheid die proactief, waarden-gedreven en digitaal soeverein is.1 Echter, de operationele realiteit waarin deze strategie moet landen, wordt gekenmerkt door een massale en soms ondoordachte migratie naar publieke Cloudplatformen. Deze beweging, hoewel technologisch begrijpelijk, creëert een complexe dynamiek waarin de principes van de NDS  zoals openheid, autonomie en publieke controle  frontaal botsen met de realiteit van een geconcentreerde, commerciële en veelal niet-Europese markt.2

1.1 De Context van de Nederlandse Digitalisering Strategie

De NDS schetst een toekomstbeeld waarin de overheid niet slechts een afnemer van technologie is, maar een actieve vormgever van het digitale domein. Kernbegrippen hierin zijn digitale soevereiniteit, het versterken van ‘digital commons’ (publieke digitale goederen) en een federatieve inrichting van data-uitwisseling.1 Het doel is een overheid die “baas in eigen huis” is en blijft. Dit impliceert dat kritieke infrastructuren en data onder democratische controle moeten staan, gevrijwaard van ongewenste buitenlandse inmenging of commerciële lock-in. De strategie erkent expliciet dat digitalisering geen neutraal technisch proces is, maar een politieke en maatschappelijke keuze die raakt aan de fundamenten van de rechtsstaat.

In de praktijk zien we echter dat de uitvoering van deze strategie onder zware druk staat door de operationele realiteit. IT-afdelingen binnen de overheid kampen met verouderde systemen (‘legacy’), een chronisch tekort aan gekwalificeerd personeel en een toenemende dreiging van cyberaanvallen. In dit krachtenveld wordt de publieke Cloud  met zijn belofte van schaalbaarheid, ‘security by design’ en directe toegang tot innovatie zoals AI  gezien als de enige haalbare vluchtroute naar voren. Dit heeft geleid tot een situatie waarin de strategische wens naar autonomie (NDS) op gespannen voet staat met de tactische keuze voor afhankelijkheid (Cloud). De spanning tussen deze publieke waarden enerzijds en de commerciële belangen en marktdynamiek anderzijds vormt de rode draad van dit rapport. Waar de NDS stuurt op open standaarden en federatieve samenwerking, stuurt de markt op gesloten ecosystemen en centrale platformen. Deze discrepantie is geen technisch detail, maar een fundamenteel bestuurlijk risico.

1.2 Probleemstelling: De Ondoordachte Vlucht naar Voren

De kern van het probleem is niet de Cloudtechnologie an sich, maar de wijze waarop de adoptie plaatsvindt. Zoals de Algemene Rekenkamer in haar vernietigende rapport “Het Rijk in de Cloud” (januari 2025) concludeerde, is de Rijksoverheid in veel gevallen “ondoordacht” en zonder adequate strategische risicoafweging de Cloud in gegaan.2 Bijna 70% van de kritieke Cloud-implementaties ontbeerde een voorafgaande fundamentele analyse van de risico’s op het gebied van continuïteit, soevereiniteit en exit-mogelijkheden.2

Dit duidt op een situatie waarin kortetermijn baten  zoals functionaliteit, snelheid en kosten flexibiliteit  prevaleren boven lange-termijn stabiliteit en onafhankelijkheid. Er ontstaat een sluipende vorm van systeem afhankelijkheid waarbij de overheid, door een stapeling van SaaS-diensten, PaaS-componenten en identiteitsbeheer, feitelijk de controle over haar eigen zenuwstelsel uit handen geeft. De vraag is niet langer of de overheid naar de Cloud gaat, maar hoe zij kan voorkomen dat zij verwordt tot een ‘digitale kolonie’ van Amerikaanse techreuzen, waarbij vitale beslissingsmacht en kennis weglekken naar commerciële partijen die opereren onder een andere jurisdictie.

1.3 Doelstelling en Reikwijdte van dit Rapport

Dit beleidsdocument heeft als doel de strategische Cloud keuzes van de Nederlandse publieke sector diepgaand te analyseren in het licht van de NDS-doelstellingen. Het rapport overstijgt de technische discussie en plaatst Cloud adoptie in een bestuurlijk, juridisch en geopolitiek kader. De reikwijdte omvat:

De analyse richt zich op de periode 2018 tot heden, met een strategische doorkijk naar 2035, en is primair geschreven voor bestuurders, toezichthouders en IT-strategie binnen de Nederlandse overheid.

2. Het Cloud Landschap in de Publieke Sector: Een Analyse van de Praktijk

De Nederlandse overheid is geen monolithisch blok, maar een complex netwerk van ministeries, zelfstandige bestuursorganen (ZBO’s), uitvoeringsorganisaties en decentrale overheden. Ondanks deze diversiteit is er sprake van een sterke convergente beweging richting een beperkt aantal dominante platformen, gedreven door marktdynamiek en inkoop convenanten.

2.1 De Dominantie van het ‘Microsoft-Tenzij’ Model

Hoewel het formele Rijksbrede Cloud Beleid uit 2022 ruimte laat voor nuancering en het ‘Cloud Tenzij’ principe hanteert voor bepaalde categorieën data, is de de facto standaard in de Nederlandse publieke sector geëvolueerd naar ‘Microsoft Tenzij’.5 Deze dominantie is niet toevallig ontstaan, maar het gevolg van strategische inkoopbundeling (zoals via ODiN en GT Connect) en de diepe integratie van kantoorautomatisering in de bedrijfsvoering.

De adoptie van Microsoft 365 fungeert hierbij als een ‘breekijzer’. Zodra een organisatie kiest voor M365 voor e-mail, Teams en documentbeheer  wat bijna universeel het geval is vanwege het ontbreken van gelijkwaardige geïntegreerde alternatieven  wordt de drempel naar het Azure-platform voor infrastructuur en platform diensten aanzienlijk verlaagd. Dit mechanisme wordt versterkt door technische integraties, met name op het gebied van Identity and Access Management (Entra ID), waardoor een ecosysteem-lock-in ontstaat die veel verder gaat dan alleen de kantoorsoftware.

Recente ontwikkelingen bij de Belastingdienst illustreren dit mechanisme pijnlijk nauwkeurig. In antwoord op Kamervragen bevestigde de staatssecretaris dat er voor de functionaliteit van Microsoft 365 op dit moment “geen Europees alternatief” beschikbaar is dat voldoet aan de eisen van de fiscus.7 Dit heeft geleid tot een situatie waarin de Belastingdienst, ondanks aanzienlijke zorgen over privacy en soevereiniteit vanuit de Tweede Kamer, de implementatie van M365 doorzet. Het argument van ‘productiviteitsverlies’ (geschat op 15-30 minuten per medewerker per dag bij het niet gebruiken van geïntegreerde tools) woog in de besluitvorming zwaarder dan de strategische risico’s van afhankelijkheid.7 Dit toont aan dat in de dagelijkse praktijk de operationele continuïteit en efficiëntie vrijwel altijd prevaleren boven abstracte geopolitieke overwegingen.

2.2 Decentrale Dynamiek: Gemeenten en de VNG

Ook op decentraal niveau is de beweging naar de publieke Cloud onmiskenbaar. Onderzoek van de Vereniging van Nederlandse Gemeenten (VNG) toont aan dat gemeenten in hoog tempo overstappen op Software-as-a-Service (SaaS) oplossingen voor hun primaire processen (zoals burgerzaken, vergunningen en sociaal domein).8 De verwachting is dat in 2025 meer dan 70% van het applicatielandschap bij gemeenten als SaaS wordt afgenomen.

Het risico hierbij is dat gemeenten vaak minder zicht hebben op de onderliggende infrastructuur van deze SaaS-leveranciers. Een gemeente kan denken dat zij een applicatie afneemt van een Nederlandse leverancier (zoals Centric of PinkRoccade), maar als deze leverancier zijn platform volledig op Azure of AWS heeft gebouwd, erft de gemeente indirect alle soevereiniteits- en continuïteit risico’s van de hyperscaler. Deze ‘supply chain dependency’ is vaak onzichtbaar in de risicoregisters van individuele gemeenten, maar vormt op geaggregeerd niveau een systeemrisico voor de lokale overheid.9

2.3 De Uitzondering: Onderwijs en Onderzoek

Een interessante uitzondering op deze trend is te vinden in de sector Onderwijs en Onderzoek. SURF, de coöperatieve vereniging van onderwijs- en onderzoeksinstellingen, heeft een bewustere en meer autonome koers gevaren. Gedreven door de noodzaak om onderzoeksdata soeverein te houden en privacy te borgen, heeft SURF actief ingezet op open source alternatieven. Een prominent voorbeeld is de brede uitrol van NextCloud als alternatief voor commerciële bestandsdiensten zoals OneDrive of Dropbox.10

De casus SURF toont aan dat digitale soevereiniteit technisch mogelijk is, mits er sprake is van schaalvergroting, federatieve samenwerking en de wil om te investeren in eigen beheer en kennis. Waar individuele instellingen wellicht zouden zwichten voor het gemak van Big Tech, heeft het collectief van SURF de slagkracht om een eigen koers te varen. Dit model van ‘collaboratieve autonomie’ wordt in de NDS weliswaar geprezen, maar vindt in de rest van de publieke sector nog te weinig navolging.

2.4 Analyse van het Rekenkamerrapport 2025

Het rapport “Het Rijk in de Cloud” van de Algemene Rekenkamer vormt een cruciaal ijkpunt in de discussie. De conclusies zijn alarmerend en wijzen op een fundamenteel falen in de governance van Cloudtransities. De Rekenkamer constateert niet alleen dat het zicht op Cloudgebruik beperkt is  van een kwart van de diensten is niet eens bekend om welk type Cloud het gaat  maar ook dat de besluitvorming gebrekkig is.2

Het feit dat bij 67% van de belangrijkste public Cloud-diensten geen voorafgaande risicoafweging is gemaakt, duidt erop dat Cloudadoptie vaak wordt behandeld als een facilitaire inkoopkwestie in plaats van een strategische transformatie. Ministeries opereren verkokerd, met elk hun eigen beleid en interpretatie van de regels, wat leidt tot een versnipperd landschap waarin het Rijk als geheel een zwakke onderhandelingspositie heeft tegenover de geconcentreerde macht van de hyperscalers. De Rekenkamer waarschuwt expliciet dat deze ondoordachte aanpak leidt tot risico’s die de maatschappij kunnen ontwrichten, bijvoorbeeld als dienstverlening plotseling stopt door een geopolitiek conflict of een technisch falen bij een leverancier.3

3. Strategische Drijfveren: Waarom de Vlucht naar de Cloud?

Als de risico’s van lock-in en soevereiniteitsverlies zo evident zijn, waarom kiest de Nederlandse overheid dan toch massaal voor de publieke Cloud? De drijfveren zijn complexer dan alleen kostenbesparing en worden gevormd door een combinatie van technische noodzaak, arbeidsmarktproblematiek en innovatiedruk.

3.1 De ‘Feature Gap’ en Innovatiedruk

Een primaire driver is de groeiende kloof in functionaliteit tussen on-premise software en Cloud-native diensten, de zogeheten ‘Feature Gap’. Hyperscalers investeren tientallen miljarden per jaar in R&D, met name op het gebied van Artificial Intelligence (AI), data-analyse en cybersecurity. Voor de overheid, die onder druk staat om efficiënter en klantvriendelijker te werken, is het zelf bouwen van vergelijkbare capaciteiten onhaalbaar.

De ambities uit de NDS, bijvoorbeeld op het gebied van AI-toepassingen voor beleidsanalyse of dienstverlening, zijn in de praktijk nauwelijks te realiseren zonder gebruik te maken van de rekenkracht en modellen die beschikbaar zijn in de publieke Cloud. De keuze wordt daarmee binair gepresenteerd: innoveren mét de Cloud, of stagneren met verouderde lokale systemen. Dit creëert een dwingende ‘innovatie-imperatief’ die bestuurders in de armen van hyperscalers drijft, vaak zonder dat de lange-termijn implicaties volledig worden doorgrond.

3.2 Security by Scale: De Paradox van Veiligheid

Paradoxaal genoeg wordt security vaak aangevoerd als een hoofdreden voor Cloud adoptie. In een tijdperk van geavanceerde cyberdreigingen en state-sponsored attacks (zoals APT-groepen), is het voor individuele overheidsorganisaties  zeker kleinere gemeenten of uitvoeringsorganisaties  steeds moeilijker om hun eigen datacenters adequaat te beveiligen. Hyperscalers beschikken over security operations centers (SOC’s) die wereldwijde dreigingsinformatie analyseren en verwerken op een schaal die voor de overheid onbereikbaar is.

De redenering is dat data veiliger is in een zwaarbewaakt fort van Microsoft of Amazon dan in de “serverruimte in de kelder” van een gemeentehuis. Hoewel dit technisch vaak klopt voor de basisbeveiliging (patch management, fysieke toegang), introduceert het nieuwe risico’s op het gebied van supply chain attacks en systemische kwetsbaarheden. Als één hyperscaler valt of gecompromitteerd wordt, is de impact niet lokaal maar nationaal of zelfs mondiaal. Toch weegt voor veel CISO’s de dagelijkse operationele beveiliging last zwaarder dan het theoretische systeemrisico.

3.3 De Arbeidsmarkt als Kritieke Flessehals

Een onderbelichte maar cruciale factor is de ‘War on Talent’. De overheid heeft grote moeite om gekwalificeerd IT-personeel aan te trekken en te behouden. Jonge IT-professionals worden opgeleid in moderne stacks (Kubernetes, Serverless, DevOps) en willen werken met de nieuwste tools, die standaard beschikbaar zijn in de Cloud. Een werkomgeving die gedomineerd wordt door legacy-systemen en verouderde beheerprocessen is onaantrekkelijk.5

Daarnaast speelt de cognitieve belasting een rol. Cloudplatformen abstraheren veel complexiteit weg via ‘managed services’. Dit stelt organisaties in staat om met minder mensen complexere systemen te beheren. In een krappe arbeidsmarkt is dit een aantrekkelijk vooruitzicht. Echter, zoals expert Bert Hubert waarschuwt, leidt dit tot ‘de-skilling’: de overheid verliest de diepgaande kennis van hoe haar systemen werken, omdat dit ‘onder de motorkap’ van de Cloudprovider gebeurt.12 De overheid verandert hierdoor van een technologie-organisatie in een regie-organisatie, wat haar vermogen om onafhankelijk te sturen en te controleren ondermijnt.

3.4 De Financiële Illusie: Capex vs. Opex

Tot slot spelen financiële prikkels een rol. Cloudmodellen verschuiven IT-uitgaven van grote investeringen vooraf (Capex) naar doorlopende operationele kosten (Opex). Dit past vaak beter bij de begrotingscycli van overheden en verlaagt de drempel om projecten te starten. De belofte van ‘pay-per-use’ suggereert efficiëntie: je betaalt niet voor stilstaande servers.

In de praktijk blijkt deze financiële beheersbaarheid vaak een illusie. Zonder strikte FinOps-sturing leiden variabele kostenmodellen tot onvoorspelbare en vaak hogere uitgaven. Bovendien ontstaat er een risico op ‘vendor pricing power’: zodra de overheid afhankelijk is, kan de leverancier de prijzen verhogen. De recente prijsverhogingen van Microsoft-licenties (tot 33%) zijn hier een concreet voorbeeld van.13 Omdat de kosten versnipperd zijn over vele projecten en budgetten, blijft de totale kostenstijging vaak lang onzichtbaar voor de centrale besluitvormers.

4. De Anatomie van Afhankelijkheid: De ‘Cloud Trap’ Analyse

De term ‘Vendor Lock-in’ wordt in beleidsstukken vaak te simplistisch gehanteerd, alsof het enkel gaat om een contract dat moeilijk opzegbaar is. In de realiteit van moderne Cloudarchitectuur is afhankelijkheid een gelaagd en systemisch fenomeen. We spreken hier van een ‘Cloud Trap’: een situatie waarin een organisatie technisch gezien kan vertrekken, maar de organisatorische, financiële en operationele kosten van een exit zo prohibitief hoog zijn dat het feitelijk onmogelijk wordt.

4.1 Het Dependency Stack Model

Om de diepte van de lock-in te begrijpen, moeten we de afhankelijkheden ontleden in een hiërarchisch model. Elke laag voegt een nieuwe dimensie van ‘stickiness’ toe.

Tabel 4.1: The Dependency Stack – Risico en Impact Analyse

LaagType AfhankelijkheidMechanisme van Lock-inRisico & ImpactVoorbeeld in NL Publieke Sector****1. Identity (IAM)****Kritiek (Keystone)Identity is het nieuwe netwerk. Rechten, groepen en toegang zijn verweven met de IDP van de provider.Migratie vereist herinrichting van toegang tot alle applicaties. Hoogste risico op operationele disruptie.Microsoft Entra ID (Azure AD). Wordt gebruikt voor toegang tot Cloud, SaaS én lokale systemen. 142. PaaS & ServicesZeer Hoog (Technisch)Applicaties zijn gebouwd op propriëtaire API’s (Serverless, AI, Databases) die geen open standaard hebben.Applicaties moeten herschreven worden (‘Refactoring’) om te migreren. Kostbaar en tijdrovend.Azure Functions, Logic Apps. Veel overheidsportalen leunen hierop.3. Data & StorageHoog (Financieel/Fysiek)Data Gravity: applicaties moeten bij de data staan. Egress fees (kosten voor dataverkeer naar buiten) straffen vertrek.Migratie van Petabytes is fysiek traag en financieel kostbaar door ‘boetes’ op data-export.Azure Blob Storage. Opslag van documenten en archieven.4. SaaS & ProcessHoog (Organisatorisch)Werkprocessen zijn aangepast aan de software (‘Standard Software’).Vertrek vereist niet alleen nieuwe software, maar herontwerp van de organisatie en processen.Microsoft 365, Dynamics. De ambtelijke organisatie werkt ’the Microsoft way’.5. Kennis & CultuurHoog (Cognitief)Teams zijn getraind en gecertificeerd in één ecosysteem. Mentale modellen zijn gevormd door de vendor.Omscholen van personeel kost jaren. Weerstand tegen verandering is groot (‘Cultuur lock-in’).Azure Certifications. IT-afdelingen worden ‘Microsoft shops’.

4.2 Identiteit als de Ultieme Lock-in (Keystone Dependency)

Uit de analyse blijkt dat Identity and Access Management (IAM) de krachtigste en meest onderschatte lock-in factor is. In de moderne architectuur (“Identity is the new perimeter”) hangt alles aan de identiteitsprovider (IDP). Voor de Nederlandse overheid is dit vrijwel exclusief Microsoft Entra ID (voorheen Azure AD).

Het mechanisme werkt als volgt: organisaties adopteren Entra ID omdat het de standaard is voor Microsoft 365. Vervolgens is het aantrekkelijk en veilig om Entra ID ook te gebruiken voor Single Sign-On (SSO) naar andere SaaS-applicaties (zoals HR-systemen, EPD’s) en voor het beheer van laptops en telefoons (via Intune). Hierdoor raakt de hele toegangsstructuur van de organisatie verknoopt met het Microsoft-platform.

Een overstap naar een andere Cloudprovider (bijv. een Europese soevereine Cloud) wordt hierdoor extreem bemoeilijkt. Niet alleen moet data worden verplaatst, maar de hele rechtenstructuur, groepen en toegangsregels moeten worden gerepliceerd of gemigreerd.14 Dit is technisch complex en risicovol: fouten leiden direct tot uitval van toegang of datalekken. Cross-Cloud identity management is weliswaar mogelijk, maar in de praktijk weerbarstig.15 Hierdoor fungeert Entra ID als het anker dat de organisatie vasthoudt in het Azure-ecosysteem, zelfs als men voor specifieke workloads (zoals compute) zou willen uitwijken.

4.3 De Illusie van Portabiliteit en Containers

Een veelgehoord tegenargument is dat het gebruik van containers (zoals Docker en Kubernetes) lock-in voorkomt. “Als we alles in containers stoppen, kunnen we het zo oppakken en ergens anders neerzetten,” is de gedachte. Dit is echter slechts ten dele waar en leidt tot een vals gevoel van vrijheid.16

Hoewel de container zelf (de ‘compute’ workload) portabel is, geldt dit niet voor de omliggende diensten die nodig zijn om de applicatie in productie te draaien. De ‘Managed Kubernetes’ diensten van providers (zoals Azure AKS, AWS EKS) zijn diep geïntegreerd met hun eigen load balancers, storage classes, monitoring tools en identity systemen. Het verplaatsen van een applicatie vereist dat al deze ‘lijm’ opnieuw wordt geconfigureerd voor de nieuwe omgeving. Bovendien blijft het probleem van ‘Data Gravity’ bestaan: je kunt de rekenkracht wel verplaatsen, maar als de bijbehorende database (bijv. petabytes aan geodata of documenten) in de Cloud van Provider A staat, is het praktisch onmogelijk om de applicatie efficiënt te draaien in de Cloud van Provider B vanwege latentie en egress-kosten.

5. Digitale Soevereiniteit: Tussen Ideaal en Realiteit

Digitale soevereiniteit is een kernbegrip in de NDS en het Europese debat. Het streven is autonomie: de mogelijkheid om zelfstandig beslissingen te nemen over digitale middelen. De realiteit van de Cloudmarkt maakt dit streven echter uiterst complex.

5.1 De ‘Sovereign Cloud’ Proposities van Hyperscalers

Als reactie op de Europese zorgen hebben Amerikaanse hyperscalers, met Microsoft voorop, specifieke ‘Sovereign Cloud’ proposities gelanceerd, zoals Microsoft Cloud for Sovereignty.17 Deze oplossingen beloven meer controle en bestaan uit een mix van technische en juridische constructies:

5.2 De Juridische Realiteit: Cloud Act vs. AVG

Ondanks deze technische innovaties blijft de juridische fundering broos. De Amerikaanse Cloud Act (Clarifying Lawful Overseas Use of Data Act) verplicht Amerikaanse serviceproviders om data af te staan aan Amerikaanse autoriteiten (law enforcement), ongeacht waar deze data fysiek is opgeslagen.22 Het criterium is niet locatie, maar controle (‘possession, custody, or control’). Zolang een Amerikaanse entiteit (Microsoft Corp) de ultieme controle heeft over de infrastructuur (Microsoft BV in Nederland), valt de data onder de reikwijdte van de Cloud Act.

Dit conflict kwam pijnlijk aan het licht tijdens een hoorzitting in de Franse senaat in juli 2024. Een topman van Microsoft moest daar onder ede toegeven dat zij niet kunnen garanderen dat data in de EU soeverein is en dat zij gehoor moeten geven aan Amerikaanse bevelen, tenzij er sprake is van een specifiek verdrag dat dit regelt.24 Dit bevestigt dat de ‘Sovereign Cloud’ van Amerikaanse providers vooral een set governance-features is (‘Sovereign Washing’) en geen juridisch waterdicht schild.

Voor de Nederlandse overheid betekent dit een cruciale bestuurlijke afruil. Het gebruik van Amerikaanse Cloud is een risicomitigatie, geen garantie. De maatregelen beschermen wellicht tegen industriële spionage of willekeurige inkijk, maar bieden geen absolute bescherming tegen gerichte vorderingen van de Amerikaanse staat in het kader van nationale veiligheid of strafrechtelijk onderzoek.

5.3 Kennis-Soevereiniteit: Het Verlies van Uitvoerende Macht

Naast juridische soevereiniteit is er het vraagstuk van kennis-soevereiniteit, scherp gearticuleerd door expert Bert Hubert. Zijn hypothese is dat soevereiniteit niet alleen gaat over “waar staat de data”, maar ook over “kunnen we het nog zelf?”.12

Door het massaal uitbesteden van IT-beheer en infrastructuur (‘ontspullen’), verliest de overheid de interne competentie om technologie te begrijpen. IT-afdelingen transformeren in regie-organisaties die contracten en SLA’s managen, maar geen inzicht meer hebben in de onderliggende techniek. Dit leidt tot een situatie waarin de overheid niet meer in staat is om zelfstandig beleid te maken, aanbestedingen kritisch te beoordelen of toezicht te houden. Men wordt afhankelijk van de expertise van de leverancier die men geacht wordt te controleren (“Vendor Capture”). Als de kennis verdwijnt, wordt de overheid een “blind passagier” in zijn eigen digitale transformatie, overgeleverd aan de route die de chauffeur (de markt) kiest.

6. Governance en Compliance: Van Vertrouwen naar Verificatie

In een omgeving vol afhankelijkheden verschuift de rol van IT-management van bouwen naar beheersen. Governance en compliance frameworks moeten de brug slaan tussen de interne verantwoordelijkheid en de externe uitvoering.

6.1 BIO 2.0 en de Assurance Gap

De introductie van de Baseline Informatiebeveiliging Overheid (BIO) 2.0, die nauw aansluit bij de internationale ISO 27001/2:2022 standaarden, markeert een professionaliseringsslag.27 BIO 2.0 legt meer nadruk op risicomanagement en supply chain security. Echter, de toepassing op Public Cloud creëert een ‘Assurance Gap’.

Traditioneel controleert een overheids-CISO of auditor de eigen systemen direct (bijv. door configuraties te inspecteren). In de Public Cloud is dit onmogelijk; de systemen zijn ‘black boxes’. De overheid moet vertrouwen op ‘Third Party Assurance’ rapportages (zoals SOC2 Type II) van de leverancier. Dit betekent een fundamentele verschuiving: men controleert niet meer de beveiliging, maar de papieren over de beveiliging. Dit vereist nieuwe vaardigheden bij auditors en toezichthouders, die in staat moeten zijn om de reikwijdte en kwaliteit van deze rapportages kritisch te beoordelen. Vaak blijkt dat specifieke overheidseisen (zoals die uit de BIO) niet 1-op-1 worden afgedekt door de generieke rapportages van hyperscalers.

6.2 NIS2: Directe Bestuurdersaansprakelijkheid

De implementatie van de Europese NIS2-richtlijn, die naar verwachting in Q2 2026 wordt omgezet in de Nederlandse Cyberbeveiligingswet, verhoogt de inzet aanzienlijk.29 NIS2 introduceert een zorgplicht voor bestuurders (C-level) en maakt hen persoonlijk verantwoordelijk voor het nemen van maatregelen om de digitale weerbaarheid te borgen.

Cruciaal in NIS2 is de ketenverantwoordelijkheid (‘Supply Chain Security’). Overheidsorganisaties worden verantwoordelijk gehouden voor de veiligheid van hun hele keten, inclusief hun Cloudleveranciers. Dit creëert een ongemakkelijke frictie: de wet eist dat een Nederlandse gemeente of waterschap toezicht houdt op de beveiliging van een gigant als Microsoft. In de praktijk is deze machtsverhouding scheef; een individuele overheidsorganisatie kan geen eisen opleggen aan een hyperscaler. Dit dwingt tot een gezamenlijke aanpak (bijv. via Strategisch Leveranciersmanagement Rijk) om compliance af te dwingen.

6.3 Het Governance Operating Model

Om in deze realiteit effectief te sturen, is een nieuw Governance Operating Model nodig. Dit model moet de silo’s tussen Inkoop, Juridisch, Security en IT doorbreken.

Het model in Figuur 2 illustreert de verschuiving. De CISO kijkt niet meer in de serverruimte, maar richt zich op ‘Continuous Compliance’ monitoring (via tools die real-time Cloud-instellingen controleren tegen beleidsregels) en het beoordelen van leveranciers rapportages.

7. Financiële Beheersing: De FinOps Uitdaging

Naast veiligheid en soevereiniteit is financiële beheersbaarheid een groeiend zorgpunt. De belofte van Cloud was kostenbesparing en flexibiliteit, maar de praktijk is vaak weerbarstiger.

7.1 De Kosten van de Cloud: Capex naar Opex

Cloud Modellen veranderen de kostenstructuur fundamenteel. Waar on-premise IT werd gekenmerkt door grote, voorspelbare investeringen (Capex), kenmerkt Cloud zich door variabele, doorlopende kosten (Opex). Dit biedt flexibiliteit, maar brengt ook risico’s met zich mee. Zonder strikte beheersing (‘FinOps’) kunnen kosten snel escaleren door onnodig gebruik (‘waste’), vergeten resources (‘zombies’) en overdimensionering.

Bovendien zijn er de ‘Hidden Costs’. Kosten voor data-egress (het downloaden van data uit de Cloud), premium support contracten en geavanceerde security-features (zoals log ingestion in SIEM-systemen zoals Microsoft Sentinel) worden in initiële business cases vaak systematisch onderschat.

7.2 Vendor Pricing Power

Een strategisch financieel risico is de prijs macht van de leverancier. Zodra de lock-in een feit is, heeft de leverancier de vrijheid om prijzen te verhogen. De recente verhogingen van Microsoft-licenties en Cloudtarieven tonen dit aan.13 Omdat er geen reëel alternatief is (de exit-kosten zijn te hoog), moet de overheid deze verhogingen slikken. Dit ondermijnt de budgettaire voorspelbaarheid en legt een onbeheersbare claim op toekomstige overheidsfinanciën.

7.3 Aanbeveling: FinOps als Governance Functie

FinOps moet in de publieke sector niet gezien worden als een boekhoudkundige exercitie, maar als een kernonderdeel van governance.30 Dit vereist:

8. Casestudies: Lessen uit de Praktijk

De theorie van beleid wordt getoetst in de praktijk. Drie casussen illustreren de dilemma’s waar de overheid voor staat.

8.1 Belastingdienst: De Onvermijdelijke Keuze voor M365

De casus van de Belastingdienst is exemplarisch voor de ‘Lock-in via Functionaliteit’. Ondanks grote druk vanuit de Tweede Kamer om alternatieven te onderzoeken vanwege privacy-risico’s, concludeerde de dienst dat migratie naar Microsoft 365 onvermijdelijk was.7

8.2 Defensie (GrIT): Hybride Soevereiniteit

Het programma Grensverleggende IT (GrIT) van Defensie poogt een tussenvorm te vinden. In samenwerking met IBM (en later Kyndryl) bouwt Defensie aan een hybride omgeving waarin hoog-gerubriceerde data in een eigen ‘Datacenter Plus’ blijft, terwijl voor kantoorautomatisering en niet-geclassificeerde data gebruik wordt gemaakt van commerciële technologie.32

8.3 SURF: De Open Source Route

SURF laat zien dat er een andere weg mogelijk is. Door als sector collectief te kiezen voor NextCloud en open standaarden, heeft het onderwijs een alternatief voor commerciële opslag gerealiseerd.10

9. Risicoanalyse en Mitigatie Strategie

Samenvattend identificeren we de volgende toprisico’s in het ‘Risk Register’ voor de Nederlandse overheid.

Tabel 9.1: Strategisch Risico Register (Top 5)

Risico IDOmschrijvingImpactKansMitigatie Strategie****R1. Vendor Lock-inOnmogelijkheid om redelijkerwijs van leverancier te wisselen door technische en identiteitsverknoping.5 (Zeer Hoog)5 (Zeker)Implementeer multi-Cloud exit strategieën (data portability), gebruik open standaarden waar mogelijk, vermijd propriëtaire PaaS voor kernsystemen.R2. Extraterritoriale ToegangToegang tot data door buitenlandse mogendheden (VS) via wetgeving (Cloud Act).4 (Hoog)3 (Mogelijk)Data-classificatie (geen staatsgeheimen in public Cloud), Bring Your Own Key (BYOK), Europese encryptie-oplossingen.R3. ConcentratierisicoSysteemfalen of compromittering van één dominante provider (Azure) legt grote delen overheid plat.5 (Zeer Hoog)2 (Onwaarschijnlijk)Diversificatie van leveranciers (echte multi-Cloud), behoud van noodvoorzieningen on-premise of in private Cloud (ODC).**R4. Kostenexplosie (FinOps)**Onbeheersbare stijging van opex-kosten door ‘pay-per-use’, vendor pricing power en gebrek aan inzicht.3 (Gemiddeld)5 (Zeker)Strikte FinOps governance, budgetplafonds, centrale inkoopcoördinatie, regelmatige ‘re-architecting’.R5. KennisdrainVerlies van essentiële IT-kennis bij de overheid, leidend tot onvermogen om leveranciers te sturen.4 (Hoog)4 (Waarschijnlijk)Investeren in eigen technische staf, ‘in-sourcing’ van architectuur en regiefuncties, roulatie van personeel.

De financiële impact van een lock-in situatie is significant. Uit benchmarks blijkt dat de kosten van een gedwongen exit vaak 2 tot 3 keer de jaarlijkse contractwaarde kunnen bedragen. Dit financiële risico moet expliciet worden meegewogen in de business case van elke Cloudmigratie.

10. Toekomstperspectieven en Scenario’s (2026-2035)

Kijkend naar de toekomst (horizon 2035), schetsen we drie scenario’s voor de Nederlandse overheids-IT.

Scenario A: De Digitale Kolonie (Baseline Scenario)

De trend van consolidatie zet onverminderd door. De overheid draait voor 90% op platforms van Microsoft en AWS. Soevereiniteit is gereduceerd tot een set contractuele afspraken die in een geopolitieke crisis weinig waard blijken. De overheid functioneert efficiënt, maar is kwetsbaar voor chantage, eenzijdige prijsverhogingen of afsluiting bij een conflict met de VS.

Scenario B: De Federatieve Opleving (Gewenst Scenario)

Gedreven door EU-wetgeving (Data Act, AI Act) en investeringen in ‘Digital Commons’, ontstaat een levensvatbaar ecosysteem van Europese Clouddiensten. De overheid dwingt interoperabiliteit af en migreert kritieke workloads naar een ‘Sovereign Private Cloud’ beheerd door een consortium van overheden (analoog aan SURF). Identity management wordt losgekoppeld van de hyperscalers.

Scenario C: De Fragmentatie (Crisis Scenario)

Een groot security-incident of juridische uitspraak (bijv. ‘Schrems III’) maakt het gebruik van Amerikaanse Clouds plotseling onmogelijk of illegaal. De overheid moet halsoverkop terug migreren, wat leidt tot chaos en langdurige uitval van diensten omdat de on-premise kennis en infrastructuur verdwenen zijn.

11. Beleidsaanbevelingen en Roadmap

Om Scenario B (Federatieve Opleving) dichterbij te brengen en de risico’s van Scenario A te beheersen, doen we de volgende concrete aanbevelingen.

11.1 Strategisch en Bestuurlijk

11.2 Operationeel & Technisch

11.3 Roadmap naar Digitale Soevereiniteit

De roadmap in Figuur 3 schetst een pad van onmiddellijke beheersing (2025-2026) naar structurele hervorming (2026-2028) en uiteindelijke volwassenheid (2028+). De eerste stap is eerlijkheid: een rijksbrede audit van alle Cloudafhankelijkheden. Pas als het probleem in kaart is gebracht, kan de architectuur worden aangepast.

12. Conclusie

De Nederlandse overheid staat op een historisch kruispunt. De huidige route van onkritische adoptie van Amerikaanse hyperscalers levert weliswaar snelle winst op in functionaliteit en innovatiesnelheid, maar creëert een zware hypotheek op de toekomst in de vorm van diepe afhankelijkheid en verlies van soevereiniteit. Digitale soevereiniteit is geen technische feature die je kunt aanvinken in een contract; het is een zware bestuurlijke verantwoordelijkheid die vraagt om kennis, regie en de politieke moed om soms niet voor de makkelijkste weg te kiezen.

De NDS biedt de juiste visie, maar de uitvoering vereist een radicale koerswijziging: van ‘passief afnemen’ naar ‘actief sturen’. Door Cloud niet te zien als een ‘eindbestemming’ maar als een krachtige ‘nutsvoorziening’ die streng gemanaged moet worden, kan Nederland profiteren van digitale innovatie zonder zijn democratische autonomie te verkwanselen. De tijd van naïviteit is voorbij; het tijdperk van digitaal realisme moet beginnen.

Geciteerd werk

DjimIT Nieuwsbrief

AI updates, praktijkcases en tool reviews — tweewekelijks, direct in uw inbox.

Gerelateerde artikelen

Cloud Strategie

Amerikaanse sovereine cloud oplossingen.

Cloud Strategie

Generatieve AI voor de Publieke Sector. 

Cloud Strategie

Van Cloud naar Controle een technisch overzicht van lokale large language Models (LLM’s).