Close-up van een serverrek in een datacenter met netwerkkabels
Inzicht28 juni · 11:007 min leestijd

De DMA geeft je rechten op je cloud, maar je leverancier overhandigt ze niet

AWS en Azure zijn nu poortwachter onder de DMA. Dat wordt gelezen als bevrijding van lock-in. Ik denk dat een recht dat je niet zelf opeist en inbouwt, een recht op papier blijft.

De Europese Commissie heeft de clouddiensten van Amazon en Microsoft voorlopig aangewezen als poortwachter onder de Digital Markets Act, en het wordt breed gelezen als bevrijding: Brussel breekt de lock-in open, eindelijk. Ik snap de opluchting, maar ik denk dat het een gevaarlijke lezing is. Een recht dat je niet zelf opeist en niet in je architectuur hebt ingebouwd, blijft een recht op papier. De wet zet de deur op een kier. Of jij er met je systeem doorheen past, bepaal je zelf, en dat hangt af van keuzes die je vandaag al maakt of juist nalaat.

Mijn stelling is simpel: de poortwachterstatus verschuift de macht een stukje richting de klant, maar je leverancier deelt die macht niet vrijwillig uit. Wie wacht tot AWS of Microsoft hem zijn rechten komt brengen, betaalt lock-in voor niets.

Wat de regels je op papier teruggeven

Poortwachterschap onder de DMA is geen keurmerk maar een set verplichtingen: een aangewezen platform mag zijn eigen diensten niet voortrekken, moet klanten echt laten overstappen en hun data overdraagbaar maken. Dat Brussel AWS en Azure voorlopig als poortwachter aanwijst ondanks dat ze de kwantitatieve drempels niet haalden, juist vanwege hun greep op klanten, zegt genoeg over waar het pijn doet.

Maar de DMA staat niet alleen. De Data Act, die sinds 12 september 2025 geldt, geeft elke cloudklant al overstaprechten, poortwachter of niet. Samen leveren ze vier concrete rechten op die jij kunt claimen:

  • Overstappen zonder boete: alle cloudaanbieders moeten vanaf 12 januari 2027 de overstapkosten, inclusief de kosten voor data-egress, volledig schrappen. Tot die datum mogen ze alleen de directe kosten van de overstap zelf doorberekenen.
  • Je data meenemen: aanbieders moeten je gegevens via open interfaces in een gangbaar, machine-leesbaar formaat laten exporteren, en een poortwachter moet die portabiliteit actief mogelijk maken.
  • Functionele gelijkwaardigheid: stap je over naar een dienst van hetzelfde type, dan moet je bij dezelfde input een materieel vergelijkbaar resultaat krijgen op de functies die beide diensten delen.
  • Geen voortrekken: een poortwachter mag zijn eigen diensten niet bevoordelen boven die van concurrenten, en koppelingen niet stiekem soepeler laten werken met zijn eigen producten.

Op papier is dat een machtsverschuiving. Het probleem zit in het woord papier.

De egress-saga laat zien hoe 'compliance' er echt uitziet

Dit patroon liet zich al een keer in het klein zien, en het is leerzaam. Toen de Data Act eraan kwam, kondigden AWS, Google en Microsoft in 2024 elk een programma aan waarmee je gratis je data kon weghalen. De krantenkoppen luidden: einde van de egress-kosten. De kleine lettertjes vertelden een ander verhaal.

Die gratis uitstap geldt bij Google alleen als je je gebruik van de dienst volledig beeindigt en al je data binnen zestig dagen weghaalt, met goedkeuring vooraf. Het is een eenmalige, definitieve verhuizing, geen recht om een tweede aanbieder ernaast te zetten. AWS waarschuwt zelfs dat herhaalde verzoeken extra worden gecontroleerd. En het dataverkeer dat je dagelijks tussen regio's en zones verstookt, blijft gewoon doorlopen tegen het normale tarief.

Dat is precies hoe compliance eruitziet bij een partij die er niet op zit te wachten: de smalst mogelijke uitvoering die nog net binnen de regel valt. Niet uit kwade wil, maar uit logica. Het bedrijfsmodel van een hyperscaler is gebouwd op het binnenhouden van je werklast. Verwacht dus niet dat de poortwachterverplichtingen straks als een cadeau worden uitgepakt. Ze worden uitgevoerd zoals de egress-belofte werd uitgevoerd: letterlijk, minimaal, en met voorwaarden die de scherpe randjes er weer afhalen.

Een recht op je data is waardeloos als je systeem vastzit

Hier komt de kern. De wet maakt je data overdraagbaar. De wet maakt je systeem niet draagbaar. Dat is een wereld van verschil, en het is precies waar de meeste bedrijven de plank misslaan.

Je ruwe data exporteren is het makkelijke deel. De lock-in zit niet in de bytes, maar in de leverancierseigen lagen eromheen: de managed database met zijn eigen dialect, de serverless functies, de queue-semantiek, het identiteitsbeheer, de honderd kleine koppelingen die net even anders werken dan de standaard. Dat is ook waar de marge van de aanbieder zit. En let op de formulering van de wet: functionele gelijkwaardigheid geldt voor functies die twee diensten delen. De lock-in woont juist in de niet-gedeelde, premium managed diensten waar geen gelijkwaardig alternatief naast bestaat.

Daarom is dit geen juridische vraag maar een ontwerpvraag. Het argument dat je eigenaar moet zijn van je software in plaats van gegijzeld door een leverancier die je data vasthoudt wint juist nu aan gewicht: een wettelijk recht om te vertrekken doet pas iets als je technisch ook echt kunt vertrekken. Het is dezelfde nuchtere afweging als bij het besef dat waar je data staat en van wie je software is geen waardenoordeel is maar een bedrijfsrisico, op dezelfde plank als een te grote klant of een leverancier waar je niet omheen kunt.

"Maar de wet regelt het toch, dus waarom nu iets doen?"

Dit is de sterkste tegenwerping, en ik neem hem serieus. De verplichtingen komen er, de Commissie dwingt ze af, dus waarom zou je vandaag tijd en geld steken in iets dat straks vanzelf je kant op komt? Gewoon de zes maanden compliance afwachten.

Drie keer mis. Ten eerste is de aanwijzing voorlopig en kan ze worden aangevochten; Amazon en Microsoft krijgen pas na een definitief besluit zes maanden, en juristen rekken zulke trajecten met plezier op. Je plant je bedrijfsvoering niet op een tijdlijn die de tegenpartij bepaalt. Ten tweede heb je de egress-saga gezien: wat er straks wordt aangeboden, is de minimale, voorwaardelijke versie, niet de wrijvingsloze overstap die je in je hoofd hebt. En ten derde, het belangrijkste: de wet doet het dure deel niet voor je. Brussel geeft je de deur, niet de verhuiswagen. Als het recht ingaat en je data zit nog verstrengeld in proprietary diensten, sta je met een geldig overstaprecht en een systeem dat niet mee kan. Ondertussen betaal je elke maand de lock-in-premie door.

En vergeet de Data Act niet: die geeft je nu al, los van welke poortwachterruling dan ook, het recht om over te stappen en je data exporteerbaar te eisen. Je hoeft helemaal niet op de DMA te wachten om te beginnen.

De macht die je niet opeist, valt terug naar je leverancier

De poortwachterstatus is goed nieuws. Maar goed nieuws is geen strategie. In een markt waar de drie grootste aanbieders samen goed zijn voor zo'n 63% van de wereldwijde cloudinfrastructuur, is een wettelijk recht om te vertrekken vooral waardevol als onderhandelingspositie, en die positie heb je alleen als je hem geloofwaardig kunt waarmaken.

Dus bouw nu voor vertrek: standaarden boven leverancierseigen koppelingen, je data altijd exporteerbaar, en helder in kaart welke onderdelen je zonder pijn elders draait en welke niet. Voor de werkplek-kant bestaat daar een praktisch stappenplan om van Microsoft 365 naar een soevereine werkplek met Nextcloud en Linux te migreren. Wie dat ontwerpt, verandert het wettelijke recht in een echte hefboom: aan de onderhandelingstafel, in je kostenplaatje, in je weerbaarheid. Wie het uitstelt, houdt een mooi recht op papier en een systeem dat nergens heen kan.

Het verschil tussen een recht en een hefboom is maar een ding: of je klaarstaat om het te gebruiken op het moment dat het telt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Bouw je cloud klaar voor vertrek

Ik help je je cloudarchitectuur zo ontwerpen en bouwen dat overstappen een verhuizing wordt en geen herbouw: data exporteerbaar, standaarden boven leverancierseigen koppelingen, en helder welke onderdelen pijnloos elders draaien.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Waar mag je klantdata staan? Stappenplan voor data-residency en verwerkersovereenkomsten
Gids
9 min

30 jun 17:00

Waar mag je klantdata staan? Stappenplan voor data-residency en verwerkersovereenkomsten

Inventariseer welke klantdata op Amerikaanse clouds staat, kies per systeem een EU-residency-optie en werk je verwerkersovereenkomsten bij, zonder in paniek je hele stack te verhuizen.

UWV test Microsoft Copilot, maar zonder persoonsgegevens en zonder besluit over structureel gebruik
Nieuws
5 min

29 jun 16:23

UWV test Microsoft Copilot, maar zonder persoonsgegevens en zonder besluit over structureel gebruik

Minister Vijlbrief neemt nog geen besluit over structureel gebruik van Microsoft Copilot bij UWV. In de proef mag de AI niet op bestanden of persoonsgegevens, en het kabinet onderzoekt parallel soevereine alternatieven.

Wat is vendor lock-in? Betekenis, voorbeelden en hoe je eruit komt
Gids
8 min

1 jul 17:45

Wat is vendor lock-in? Betekenis, voorbeelden en hoe je eruit komt

Vendor lock-in is de situatie waarin overstappen zo duur of ingewikkeld is dat je vastzit. Wat het is, hoe het eruitziet per softwarecategorie, en een zelftest plus beslisboom naar je volgende stap.

Brussel bestempelt AWS en Azure als DMA-poortwachter: meer rechten voor wie cloud inkoopt
Nieuws
5 min

26 jun 00:52

Brussel bestempelt AWS en Azure als DMA-poortwachter: meer rechten voor wie cloud inkoopt

De Europese Commissie wijst de clouddiensten van Amazon en Microsoft voorlopig aan als DMA-poortwachter, ook al haalden ze de drempels niet. Voor wie cloud inkoopt komen er meer rechten: makkelijker overstappen en je data meenemen.

Digitale soevereiniteit is risicobeheer, geen politiek
Inzicht
8 min

16 jun 13:31

Digitale soevereiniteit is risicobeheer, geen politiek

Soevereiniteit wordt gevoerd als een principekwestie over Amerika en Big Tech. Daardoor schuift de nuchtere ondernemer het weg. Onterecht: waar je data staat en van wie je software is, is gewoon een bedrijfsrisico.

Groningen onderzoekt Linux samen met de VNG: opmaat naar een landelijke lijn voor gemeenten
Nieuws
5 min

16 jun 12:28

Groningen onderzoekt Linux samen met de VNG: opmaat naar een landelijke lijn voor gemeenten

De Linux-pilot van Groningen blijkt geen solo-experiment: de gemeente trekt samen op met de VNG. Dat tilt de vraag van een lokale proef naar een mogelijke landelijke standaard voor honderden gemeenten.