'Cloud-tenzij' is voorbij - het nieuwe Rijksbrede Cloudbeleid 2026 ontleed
Vandaag, 3 juli 2026, heeft staatssecretaris Aerdts (EZK) het herziene Rijksbrede Cloudbeleid 2026 naar de Tweede Kamer gestuurd. Het document telt 13 pagina's. De strekking is helder: het oude "cloud-tenzij"-denken is voorbij.
Dit is geen cosmetische update. Het is een koerswijziging van "cloud mag, mits je de risico's afweegt" naar "cloud mag, maar je moet aantoonbaar onder regie staan." Met soevereiniteit, exit-strategie, registratie, BIV/TBB-classificatie, DPIA/DTIA en bestuurlijke risicoacceptatie als harde randvoorwaarden.

Wat er verandert: de zes pijlers
1. "Cloud-tenzij" wordt expliciet afgeraden
Het oude beleid stuurde organisaties richting cloud. Het nieuwe beleid zegt letterlijk: "een generiek 'cloud-tenzij' beleid wordt afgeraden" (§2.1). De organisatie moet een eigen cloudstrategie formuleren waarin wordt aangegeven wannéér cloud de voorkeur heeft, welke voordelen daarmee worden beoogd, en hoe die worden geborgd. De default is niet langer "de cloud", de default is "een bewuste, gedocumenteerde keuze."
2. Materieel cloudgebruik: het nieuwe kernbegrip
Het beleid introduceert het begrip materieel cloudgebruik: publieke clouddiensten voor de primaire of kerntaak van de organisatie, of grootschalige verwerking van persoonsgegevens. Voor materieel cloudgebruik geldt het volledige regime:
| Vereiste | Basis |
|---|---|
| Integrale risicobeoordeling | BIV-eisen of TBB-classificatie |
| Pre-scan DPIA + DPIA | Bij verwerking persoonsgegevens |
| DTIA | Bij gegevensoverdracht naar derde land zonder adequaatsheidsbesluit |
| Exit-plan | Twee scenario's: gepland + disruptief |
| Meldplicht CISO Rijk | Voorafgaand aan implementatie |
| Bestuurlijke risicoacceptatie | Resterend risico gedocumenteerd en formeel geaccepteerd |
Dit is geen checklistje. Dit is een compliance-traject dat weken tot maanden in beslag neemt.
3. Exit-plan: niet langer optioneel
Het exit-plan is verplicht voor materieel cloudgebruik, en het moet twee scenario's dekken:
- Geplande exit: hoe verplaats je de dienst zonder verstoring naar een andere leverancier of eigen beheer? Wat zijn de kritische randvoorwaarden? Welke minimale termijn is nodig?
- Disruptieve onderbreking: wat doe je als de clouddienst onverwacht wegvalt? Welke back-up heb je buiten de cloud-omgeving? Hoe herstel je de meest kritieke processen?
Beide plannen worden jaarlijks op actualiteit beoordeeld. Voor bestaand cloudgebruik geldt een overgangstermijn van 12 maanden om een exit-plan op te stellen.
4. Meld- en registratieplicht
Elk materieel cloudgebruik moet vooraf gemeld worden aan CISO Rijk, inclusief risicoanalyse en exit-plan. CISO Rijk beoordeelt of het gebruik past binnen het beleid en of risico's voldoende zijn afgewogen. Bij onvoldoende mitigatie kunnen aanwijzingen volgen.
Daarnaast moeten departementen jaarlijks rapporteren over al hun materiële publieke cloudgebruik, inclusief de gekozen leverancier. CIO Rijk monitort de naleving.
5. E-mail en documenten: in principe niet in de publieke cloud
Dit is een van de meest concrete aanscherpingen. Werkplekdiensten worden beschouwd als nationaal belang. E-mail en documenten mogen niet in de publieke cloud worden verwerkt, tenzij aan alle drie deze voorwaarden is voldaan:
- Onafhankelijk vastgesteld dat de continuïteit anders in gevaar komt
- Risicoanalyse en exit-plan conform dit beleid gemaakt en getoetst
- Het besluit is geaccordeerd door de betrokken minister in overeenstemming met de bewindspersoon voor digitalisering
Voor bestaande werkplekdiensten in de publieke cloud geldt een overgangstermijn van 4 jaar.
6. Data-soevereiniteit: EER + Zwitserland, encryptie, eigen sleutelbeheer
Opslag en verwerking van alle informatie vindt plaats binnen de EER en Zwitserland. Data worden versleuteld bij opslag, verzending en verwerking. Het sleutelbeheer wordt bij voorkeur niet bij de cloudleverancier ondergebracht maar in eigen beheer of bij een gecertificeerde derde partij.
Bijzondere persoonsgegevens: bij voorkeur niet in de publieke cloud. Als het toch moet: aanvullende maatregelen zoals Privacy Enhancing Technologies.
De BIO2- en NIS2-implicaties
Dit beleid raakt direct aan bestaande compliance-verplichtingen:
| Kader | Impact |
|---|---|
| BIO2 | De eisen voor risicoanalyse, exit-plan en registratie zijn een concrete invulling van BIO2-maatregelen B07 (clouddiensten), B11 (leveranciersmanagement) en B10 (logging). Het beleid maakt BIO2-cloudcompliance toetsbaar. |
| NIS2 / Cbw | Het beleid stelt expliciet dat de Cyberbeveiligingswet van toepassing is. Voor vitale aanbieders en essentiële entiteiten wordt publieke cloud van niet-EU leveranciers afgeraden voor primaire processen. |
| AVG | Pre-scan DPIA, DPIA en DTIA zijn verplicht. Bijzondere persoonsgegevens horen niet in de publieke cloud. |
| Woo | Risicoanalyse en exit-plan zijn in principe openbaar, tenzij veiligheidsrisico's een rubricering rechtvaardigen. |
De tijdlijn
| Deadline | Verplichting |
|---|---|
| 3 juli 2026 | Beleid vastgesteld, direct van kracht |
| 3 juli 2027 | Exit-plan voor bestaand materieel cloudgebruik gereed (12 maanden) |
| 3 juli 2030 | Bestaande werkplekdiensten uit publieke cloud gemigreerd (4 jaar) |
| Eind 2026 | Resultaten Proof of Concept soevereine overheidscloud |
| 2029 | Minstens 30% cloudopslag van Nederlands-Europese bodem (Kamerwens) |
Wat CISO's en CIO's nu moeten doen
-
Inventariseer materieel cloudgebruik. Welke publieke clouddiensten ondersteunen uw primaire proces? Welke verwerken grootschalig persoonsgegevens? Dit is uw scope.
-
Start de risicobeoordelingen. BIV/TBB-classificatie, pre-scan DPIA, DPIA, DTIA, dit traject kost tijd. Begin vandaag, niet als de deadline nadert.
-
Bouw exit-plannen. Twee scenario's per materiële clouddienst. Test ze. Documenteer de minimale termijn voor een geplande exit.
-
Registreer en meld. Zorg dat uw cloudregister op orde is. De eerste melding aan CISO Rijk moet vóór implementatie van nieuw cloudgebruik plaatsvinden.
-
Herzie uw cloudstrategie. "Cloud-tenzij" is dood. Formuleer een eigen cloudstrategie die aangeeft wanneer cloud wél de voorkeur heeft, en hoe u de voordelen borgt.
-
Bereid u voor op de soevereine cloud. Het beleid kondigt aan dat na realisatie van de soevereine overheidscloud het beleid opnieuw wordt aangepast. Wie nu al architectuur loskoppelt van het onderliggende platform, migreert straks zonder lift-en-shift.
De fundamentele verschuiving
Het oude cloudbeleid uit 2022 was geschreven in een tijd waarin cloud primair een efficiëntievraagstuk was. De onderliggende aanname: de risico's zijn beheersbaar, dus cloud mag, mits je ze afweegt.
Het nieuwe beleid is geschreven in een tijd waarin cloud een soevereiniteitsvraagstuk is. De onderliggende aanname: de risico's zijn reëel, geopolitieke inmenging, marktconcentratie, leveranciersafhankelijkheid, jurisdictieconflicten, en de overheid moet aantoonbaar onder eigen regie staan.
Dat is geen aanscherping. Dat is een paradigmawisseling.
Bron: Herziening rijksbreed cloudbeleid 2026, staatssecretaris W.J.M. Aerdts (EZK), 3 juli 2026. Kamerstuk 2026Z15738 / 2026D35294. tweedekamer.nl
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.