Nederlandse overheid biedt gids om afhankelijkheid van hyperscalers te toetsen

De Nederlandse overheid publiceert een gids met definities en richtlijnen om clouddiensten te beoordelen op digitale soevereiniteit. Dit toetsingsinstrument belicht juridische, technologische, operationele en menselijke aspecten.

Het gratis beschikbare pdf-bestand is opgesteld door de Dienst ICT Uitvoering (DICTU), die valt onder het ministerie van Economische Zaken en Klimaat. DICTU is de ict-dienstverlener van de Nederlandse Rijksoverheid. "Hoe soeverein is jouw clouddienst?", vraagt DICTU ter introductie van dit praktische hulpmiddel voor overheden en publieke organisaties.

DICTU analyseerde grote cloudaanbieders om hun mate van digitale soevereiniteit te beoordelen. Het gaat om de zogeheten hyperscalers: Microsoft (met Azure), Google (met Google Cloud) en Amazon (AWS). Deze drie techbedrijven domineren een groot deel van de wereldwijde cloudmarkt.

Voordelen en risico's

DICTU stelt dat publieke cloudplatformen grote voordelen bieden voor schaalbaarheid, beveiliging en toegang tot geavanceerde diensten voor data-analyse en AI. "Deze mogelijkheden stellen DICTU, en daarmee het Rijk, in staat te innoveren en de nadruk te leggen op het leveren van maatschappelijke waarde." Tegelijk betekent de dominantie van grote Amerikaanse aanbieders ook dat afnemers afhankelijk zijn van die partijen, zegt DICTU.

"Dit brengt reële juridische, technologische en operationele risico's met zich mee", aldus de ict-dienstverlener van de Nederlandse Rijksoverheid. De risico's betreffen onder meer veiligheid, zelfbeschikking, onafhankelijkheid en onderhandelingspositie. "De digitale soevereiniteit van het Rijk komt hierdoor onder druk te staan."

Vijf aspecten

Het document maakt de afhankelijkheden inzichtelijk en beschrijft hoe organisaties risico's kunnen beperken. Het onderscheidt vijf aspecten. Het juridische aspect gaat over zaken als land van herkomst, wie de uiteindelijke baas is en welk recht van toepassing is. Het aspect van data en AI kijkt naar waar klantdata worden opgeslagen en toegangsbeveiliging op technische en juridische gronden.

Het technologische aspect kijkt naar interoperabiliteit en portabiliteit, gebruik van open source en continuïteit bij een andere aanbieder. Het operationele aspect kijkt naar controle over de infrastructuur, of die zich binnen EU-grenzen bevindt en of er sprake is van exclusief Europees personeel en Europese toeleveranciers. Het menselijke aspect gaat over zaken als training, certificering en screening van personeel, waarbij beschikbare menskracht en vaardigheden van werknemers ook meewegen.

De beoordeling gebeurt volgens DICTU op basis van objectieve, transparante en herhaalbare criteria. Overheden en publieke organisaties kunnen het toetsingsinstrument gebruiken bij aanbestedings- en selectieprocedures.

Cloudwashing?

Naast het reguliere cloudaanbod van de hyperscalers belicht het hulpmiddel ook de nieuwe cloudvarianten die leveranciers presenteren als 'soeverein'. Dit roept vragen op, zoals wat de definitie van digitale soevereiniteit is en wanneer een clouddienst daaraan voldoet. "En in hoeverre kan een Amerikaanse aanbieder daadwerkelijk soevereine diensten leveren binnen Europa?"

Volgens DICTU krijgt digitale soevereiniteit steeds meer aandacht en komt het onderwerp steeds vaker terug in interne en publieke stukken van de overheid. Digitale soevereiniteit is ook een van de zes prioriteiten in de Nederlandse Digitalisering Strategie.

soevereine clouds, VS vs EU, cloud, clouds

Door Jasper Bakker

Nieuwsredacteur

Feedback • 17-03-2026 14:51
23 • submitter: Chocoball

17-03-2026 • 14:51

23

Submitter: Chocoball

Lees meer

2 jan 2026

De 'soevereine' cloud is vaak een illusie: zo blijven we afhankelijk van de VS

277
ACM gaat akkoord met Amerikaanse overname van Nederlandse DigiD-hoster Solvinity
ACM gaat akkoord met Amerikaanse overname van Nederlandse DigiD-hoster Solvinity Nieuws van 26 februari 2026
Defensie ziet jailbreak van F-35 als uitweg voor techafhankelijkheid van de VS
Defensie ziet jailbreak van F-35 als uitweg voor techafhankelijkheid van de VS Nieuws van 16 februari 2026
Tweede Kamer wil Amerikaanse overname van DigiD‑hoster Solvinity stoppen
Tweede Kamer wil Amerikaanse overname van DigiD‑hoster Solvinity stoppen Nieuws van 12 februari 2026
Rabobank, ING en ABN AMRO zoeken Europese uitweg uit Amerikaanse techgreep
Rabobank, ING en ABN AMRO zoeken Europese uitweg uit Amerikaanse techgreep Nieuws van 10 februari 2026
D66-senator Willemijn Aerdts wordt staatssecretaris voor digitale economie
D66-senator Willemijn Aerdts wordt staatssecretaris voor digitale economie Nieuws van 9 februari 2026
Algemene Rekenkamer Nederland wil weg uit Microsoft-cloud
Algemene Rekenkamer Nederland wil weg uit Microsoft-cloud Nieuws van 5 februari 2026
Meer producten en artikelen
Architectuur Marktontwikkelingen E-commerce Politiek en recht Privacy Cloud Cloud computing Digitale soevereiniteit Nederland Overheid soevereine cloud

Reacties (23)

-Moderatie-faq
23
23
5
2
0
18
Wijzig sortering

Sorteer op:

Weergave:
ApexAlpha 17 maart 2026 15:01
Wow ik had het woord "toetsen" gemist in de titel en ben nu erg teleurgesteld dat er dus (Weer) niks concreets is vanuit de overheid.

We willen niet zelf toetsen. We willen STURING, VISIE en BELEID aub.

Jullie zijn de RIJKSOVERHEID. Je kan niet van 750 deel-overheidjes verwachten dat ze dit allemaal zelf uitzoeken, kom op nou?
"Dit brengt reële juridische, technologische en operationele risico's met zich mee", aldus de ict-dienstverlener van de Nederlandse Rijksoverheid. De risico's betreffen onder meer veiligheid, zelfbeschikking, onafhankelijkheid en onderhandelingspositie. "De digitale soevereiniteit van het Rijk komt hierdoor onder druk te staan."
Prachtige samenvatting van wat iedereen al wist.

Wat is het OORDEEL over de Cloud Act dan? VS Cloud oke of niet? En voor wat voor een soort systemen dan wel of niet?

Bestuurders bij lagere overheden snappen vaak de ballen van IT.

GEEF ZE RICHTING EN STURING!!! NIET EEN SAMENVATTING.
Volgens DICTU krijgt digitale soevereiniteit steeds meer aandacht en komt het onderwerp steeds vaker terug in interne en publieke stukken van de overheid.
Wat een inzicht! Zucht.

[Reactie gewijzigd door ApexAlpha op 17 maart 2026 15:05]

Reageer
michelr @ApexAlpha17 maart 2026 15:44
DICTU is niet de instantie die over beleid gaat. Dus prima dat ze een toetsingsmiddel aanreiken voor wie het nodig heeft. Als de Rijksoverheid dwingend zaken gaat opleggen aan lagere overheden, kunnen die getoetst worden obv dit document. Neemt niet weg dat overheden de inventarisatie nu al kunnen uitvoeren, dat bespoedigd als er ooit een directieve richtlijn komt.
Reageer
ApexAlpha @michelr17 maart 2026 16:16
Ja dat is nogal het probleem: er is geen enkele instantie die erover gaat.

Niemand durft er wat van te zeggen tenzij in 8-voud op schrift staat dat het hun verantwoordelijkheid is.

Prima PDFje dit hoor.
Reageer
dwizzy @michelr17 maart 2026 16:30
Pluspunt als je het geen "lagere overheden" noemt: Nederland is een decentrale eenheidsstaat. Dat betekent dat lokalere overheden niet "lager" zijn. Behalve staatsrechtelijk onjuist, maak je geen vrienden bij ambtenaren en bestuurders van gemeenten, provincies, waterschappen en gemeenschappelijke regelingen.
Reageer
ApexAlpha @dwizzy17 maart 2026 16:35
Een EENHEIDSSTAAT wil juist wel zeggen dat die overheden lager zijn ze zijn namelijk allemaal gecreerd door de centrale overheid.

Alle macht ligt bij den Haag en die kiezen ervoor om macht te verdelen onder gemeenten, provincies, veiligheidsregio's en nog tientallen andere overheden.

Wikipedia: Gedecentraliseerde eenheidsstaat
Reageer
dwizzy @ApexAlpha17 maart 2026 17:02
Dank voor de bron! Ik zie daar niet helemaal terug wat jij beweert, maar ook in het Wikipedia lemma zie ik dingen die ik mij anders herinner van mijn lessen. Ik ga als ik tijd vind mijn boeken er eens bijpakken en mijn woorden inslikken of Wikipedia van bronvermelding voorzien ;)
Reageer
engessa @michelr17 maart 2026 16:40
Zit letterlijk in de naam: Dienst ICT Uitvoering. Die laatste U is heel belangrijk, ze maken geen beleid maar voeren het, zoals je zegt, alleen uit.

Beleid kan bv komen vanuit de politiek maar dat gaat niet zo hard. Er zijn vorig jaar wel moties aangenomen: https://ibestuur.nl/overh...le-digitale-dienst-en-ons Maar het nieuwe kabinet zit er nog maar net dus voordat dat resultaat heeft zijn we wel even verder.

Helemaal aangezien het beleid rondom digitale zaken nu bij Ecnomische Zaken ligt. Dus de focus zal vooral op kosten liggen en op het beperken of voorkomen van sancties vanuit de USA ipv doorpakken en radicaal de banden verbreken met een bedrijf als Microsoft.
Reageer
Vaevictis_ @michelr17 maart 2026 16:48
Dictu is een ict uitvoeringsorganisatie en levert aan ministries. Dus je kunt geen visie of beleid verwacht wel een hulpmiddel om te toetsen. Dus goed te gebruiken door overheden die hun eigen beleid maken.
Reageer
Paddy99 @ApexAlpha17 maart 2026 15:47
Beetje schreeuwend verwoord, maar helemaal mee eens.

Nu ik er iets langer over nadenk, denk ik dat de sturing/richting vanuit de politiek wordt verwacht, niet van binnen een ministerie. Aangezien we een minderheidskabinet hebben moet alles in overleg met de kamer. Hopelijk binnenkort een debat en een breed gesteunde visie...
Reageer
ApexAlpha @Paddy9917 maart 2026 16:40
Ja sorry. Ik las het woord "toetsen" in de titel als iets anders en had even hoop op iets dat daadwerkelijk een gidsdocument was om onze afhankelijkheid af te bouwen.

Was daardoor nogal teleurgesteld dat het weer een PDFje is dat voor 90% uit ChatGPT zou rollen.

Zat nog beetje hoog in de emotie daardoor, puur mijn eigen schuld want er stond gewoon 'toetsen'.
Reageer
mphilipp @ApexAlpha17 maart 2026 15:51
Nouja...ons lukt het prima hoor. We wachten niet op beleid, maar zijn al lang zelf aan de gang. Overheid en ICT is niet overal en altijd een drama hoor.
Reageer
R_Zwart @ApexAlpha17 maart 2026 16:11
Waarom moet de overheid voorkauwen wat je moet doen? Ze geven wat handvatten zodat iedereen voor zijn eigen situatie kan bepalen wat het beste is. En los daarvan: als de overheid zegt "gij zult dit en dat gebruiken, en die en die niet" dan wordt er minstens zoveel geklaagd.
Reageer
Tao @ApexAlpha17 maart 2026 16:36
/quote: Jullie zijn de RIJKSOVERHEID. Je kan niet van 750 deel-overheidjes verwachten dat ze dit allemaal zelf uitzoeken, kom op nou? /unquote

Er zijn per 1/1/2024 324 gemeenten in NL. Tel daar wat ZBO's (zelfstandige bestuursorganen) bij op en provincies en je krijgt een getal ruim onder de 400.

Verder geheel eens met je verzuchting. (Concrete) Visie ontbreekt vaak bij de overheid.
Reageer
FrostyPeet 17 maart 2026 15:05
Tja, leuke gids.

Maar de grootsten staan onder bevel van een regering met een president die zo onvoorspelbaar is als het weer. Dus als die een oprisping krijgt, zitten wij zonder. Mag er nog ergens een typemachine gevonden worden. Bekend feit.

De groten bieden een prijs/kwaliteit aan die niet zo gauw is te vervangen. Daarom gebruikt "iedereen" het. Weggaan kost geld. Bekend feit.

Dat er nu nog meer risico's en voordelen in kaart gebracht worden bevestigd alleen maar de bekende feiten.

De enige uitweg lijkt mij het centraal overstappen van de gehele overheid naar een nog te bouwen dienst. Wat ik verwacht is dat dit prietpraat gemopper over de grote tech duurt tot de volgende president van Amerika, die dan sussende woorden spreekt dat alles weer in orde is. Iedereen in de NL regering is dan weer opgelucht en we blijven bij de grote tech. Wat zo efficiënt, grote blauwe ogen dat ze echt niets stouts doen.
Reageer
Darth_Roel 17 maart 2026 15:02
Goed initiatief, alleen werkt de schaal in de hand dat bepaalde diensten "een beetje soeverein" overkomen, terwijl er voor sommige categorieen een wat digitalere ranking meer duidelijkheid zou verschaffen. Valt de dienst wel/niet onder de Cloud Act, Fisa 702 of EO 12333. Dat is een ja/nee vraag. Enige onderscheid daarna zou nog kunnen zijn EU of volledig NL based.
Reageer
Scriptkid @Darth_Roel17 maart 2026 15:24
Volgensmij is Azure local en M365 local momenteel de enige vorm van 100% sovereign opereren,

alle andere die ik heb gezien zijn/staan onder de cloud act links om of rechts om.
Reageer
seisi_NL 17 maart 2026 15:22
Misschien moet ook niet alles en iedereen in de cloud zijn. Sommige services/applicaties/.... kunnen misschien beter in een lokaal beheerde serverpark gehost worden.
Reageer
vlaaing peerd @seisi_NL17 maart 2026 16:09
Er is tot op heden sinds Cloud een buzzword is geworden, nog niemand die mij het wezenlijke verschil tussen een server een de 'Cloud' kan geven, afgezien van dat servers soms lokaal kunnen draaien.
Reageer
R_Zwart @seisi_NL17 maart 2026 16:14
Je moet het sowieso case by case bekijken of public cloud, private cloud, of iets anders de beste optie is. Maar dat beleid is meer is voor de CTO, CIO en CISO om te bepalen. De overheid zal daar slechts een beperkte rol in moeten spelen.
Reageer
netman 17 maart 2026 15:28
Goede eerste stap. Jammer dat ( enigzins) afgeweken is van de structuur van de EU cloudact.
Reageer
dwizzy 17 maart 2026 16:39
Ik weet niet waar deze wijsheid vandaan komt:
DICTU is de ict-dienstverlener van de Nederlandse Rijksoverheid.
DICTU is zeker belangrijk, maar de eerste zin op hun website is: "DICTU is een van de grootste ICT-dienstverleners binnen de Rijksoverheid".

Alleen al binnen Justitie zijn er twee (Justid en JIO). SSC-ICT doet b.v. werkplekken voor de meeste Rijksoverheden, maar niet alle. ICTU (zonder D) is een stichting die niet puur Rijksoverheid is. Logius (rijksdienst van MinBZK) is de beheerder van digitale diensten, vooral voor burger en bedrijf (zoals DigiD, eHerkenning, MijnOverheid, overheid.nl). Dienst Publiek en Communicatie van MinAZ zorgt voor Rijksoverheid.nl, de sites van ministeries, en meer. SSO-Noord/ODC-Noord/IUC-Noord zijn voor MinBZK en MinOCW dienstverleners.
Rijkswaterstaat en Belastingdienst hebben hele volwassen interne development-organisaties.

[Reactie gewijzigd door dwizzy op 17 maart 2026 16:40]

Reageer
Venator @dwizzy17 maart 2026 17:45
En dan nog RIVM, die een eigen gespecialiseerde IV-organisatie heeft waar veel kennis-partijen in overheidsland aangesloten zijn (zijzelf, maar bijv. Ook KNMI, CBS, SCP, PBL, RLI etc.). Erg specifieke use cases waarin een eenheidsleverancier (zoals DICTU of SSC-ICT) niet kan leveren aan bijvoorbeeld wetenschappers en samenwerkende academici.
Reageer
masterfragger 17 maart 2026 16:55
Het instrument lijkt vooral sterk in het blootleggen van risico’s zoals de amerikaanse CLOUD Act & FISA 702 (extraterritoriale wetgeving) en het gebruik van klantbeheerde encryptiesleutels, wat essentieel is voor AVG-compliance. Ook wordt er aandacht besteed aan vendor lock-in en exit-strategieën, wat belangrijk is voor de langetermijnbeheersing van data.

Zwakke punten naar mijn mening:

1. Geen directe link met AVG-artikelen: gebruik van algemene termen zoals “data residency” en “technische toegangsbeveiliging”, geen koppeling aan specifieke AVG-eisen. Bijvoorbeeld: Wanneer voldoet een leverancier op niveau 4 echt aan Artikel 28 (verwerkersovereenkomsten) of Artikel 46 (datatransfers buiten de EU)? Hierdoor blijft het lastig om hard te meten of een cloudleverancier daadwerkelijk AVG-proof is.

2. Ook ontbreekt de expliciete vraag of de leverancier "gag/geheimhoudings" orders kan weerstaan (bv. via juridische procedures of technische maatregelen zoals zero-knowledge encryption) zodat je een risico-inschatting kunt maken voor het geval een leverancier wel data moet afgeven, maar niet mag melden (en hoe dit AVG-compliance beïnvloedt).

3. Praktische haalbaarheid ontbreekt op meerdere punten. Voorbeeld: hoewel het instrument exit-strategieën benadrukt, mist het een realistische inschatting van wat het kost om over te stappen naar een andere leverancier. De AVG vereist bijvoorbeeld dataportabiliteit (Artikel 20), maar als migratie in de praktijk te complex of duur is, dan helpt een mooi “niveau 5” weinig.

Conclusie: goed begin, maar heeft nog supplementen nodig om het concreet en bruikbaar te maken.

[Reactie gewijzigd door masterfragger op 17 maart 2026 17:01]

Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq