De Europese Commissie heeft de clouddiensten van Amazon en Microsoft voorlopig aangewezen als poortwachter onder de Digital Markets Act, en het wordt breed gelezen als bevrijding: Brussel breekt de lock-in open, eindelijk. Ik snap de opluchting, maar ik denk dat het een gevaarlijke lezing is. Een recht dat je niet zelf opeist en niet in je architectuur hebt ingebouwd, blijft een recht op papier. De wet zet de deur op een kier. Of jij er met je systeem doorheen past, bepaal je zelf, en dat hangt af van keuzes die je vandaag al maakt of juist nalaat.
Mijn stelling is simpel: de poortwachterstatus verschuift de macht een stukje richting de klant, maar je leverancier deelt die macht niet vrijwillig uit. Wie wacht tot AWS of Microsoft hem zijn rechten komt brengen, betaalt lock-in voor niets.
Wat de regels je op papier teruggeven
Poortwachterschap onder de DMA is geen keurmerk maar een set verplichtingen: een aangewezen platform mag zijn eigen diensten niet voortrekken, moet klanten echt laten overstappen en hun data overdraagbaar maken. Dat Brussel AWS en Azure voorlopig als poortwachter aanwijst ondanks dat ze de kwantitatieve drempels niet haalden, juist vanwege hun greep op klanten, zegt genoeg over waar het pijn doet.
Maar de DMA staat niet alleen. De Data Act, die sinds 12 september 2025 geldt, geeft elke cloudklant al overstaprechten, poortwachter of niet. Samen leveren ze vier concrete rechten op die jij kunt claimen:
- Overstappen zonder boete: alle cloudaanbieders moeten vanaf 12 januari 2027 de overstapkosten, inclusief de kosten voor data-egress, volledig schrappen. Tot die datum mogen ze alleen de directe kosten van de overstap zelf doorberekenen.
- Je data meenemen: aanbieders moeten je gegevens via open interfaces in een gangbaar, machine-leesbaar formaat laten exporteren, en een poortwachter moet die portabiliteit actief mogelijk maken.
- Functionele gelijkwaardigheid: stap je over naar een dienst van hetzelfde type, dan moet je bij dezelfde input een materieel vergelijkbaar resultaat krijgen op de functies die beide diensten delen.
- Geen voortrekken: een poortwachter mag zijn eigen diensten niet bevoordelen boven die van concurrenten, en koppelingen niet stiekem soepeler laten werken met zijn eigen producten.
Op papier is dat een machtsverschuiving. Het probleem zit in het woord papier.
De egress-saga laat zien hoe 'compliance' er echt uitziet
Dit patroon liet zich al een keer in het klein zien, en het is leerzaam. Toen de Data Act eraan kwam, kondigden AWS, Google en Microsoft in 2024 elk een programma aan waarmee je gratis je data kon weghalen. De krantenkoppen luidden: einde van de egress-kosten. De kleine lettertjes vertelden een ander verhaal.
Die gratis uitstap geldt bij Google alleen als je je gebruik van de dienst volledig beeindigt en al je data binnen zestig dagen weghaalt, met goedkeuring vooraf. Het is een eenmalige, definitieve verhuizing, geen recht om een tweede aanbieder ernaast te zetten. AWS waarschuwt zelfs dat herhaalde verzoeken extra worden gecontroleerd. En het dataverkeer dat je dagelijks tussen regio's en zones verstookt, blijft gewoon doorlopen tegen het normale tarief.
Dat is precies hoe compliance eruitziet bij een partij die er niet op zit te wachten: de smalst mogelijke uitvoering die nog net binnen de regel valt. Niet uit kwade wil, maar uit logica. Het bedrijfsmodel van een hyperscaler is gebouwd op het binnenhouden van je werklast. Verwacht dus niet dat de poortwachterverplichtingen straks als een cadeau worden uitgepakt. Ze worden uitgevoerd zoals de egress-belofte werd uitgevoerd: letterlijk, minimaal, en met voorwaarden die de scherpe randjes er weer afhalen.
Een recht op je data is waardeloos als je systeem vastzit
Hier komt de kern. De wet maakt je data overdraagbaar. De wet maakt je systeem niet draagbaar. Dat is een wereld van verschil, en het is precies waar de meeste bedrijven de plank misslaan.
Je ruwe data exporteren is het makkelijke deel. De lock-in zit niet in de bytes, maar in de leverancierseigen lagen eromheen: de managed database met zijn eigen dialect, de serverless functies, de queue-semantiek, het identiteitsbeheer, de honderd kleine koppelingen die net even anders werken dan de standaard. Dat is ook waar de marge van de aanbieder zit. En let op de formulering van de wet: functionele gelijkwaardigheid geldt voor functies die twee diensten delen. De lock-in woont juist in de niet-gedeelde, premium managed diensten waar geen gelijkwaardig alternatief naast bestaat.
Daarom is dit geen juridische vraag maar een ontwerpvraag. Het argument dat je eigenaar moet zijn van je software in plaats van gegijzeld door een leverancier die je data vasthoudt wint juist nu aan gewicht: een wettelijk recht om te vertrekken doet pas iets als je technisch ook echt kunt vertrekken. Het is dezelfde nuchtere afweging als bij het besef dat waar je data staat en van wie je software is geen waardenoordeel is maar een bedrijfsrisico, op dezelfde plank als een te grote klant of een leverancier waar je niet omheen kunt.
"Maar de wet regelt het toch, dus waarom nu iets doen?"
Dit is de sterkste tegenwerping, en ik neem hem serieus. De verplichtingen komen er, de Commissie dwingt ze af, dus waarom zou je vandaag tijd en geld steken in iets dat straks vanzelf je kant op komt? Gewoon de zes maanden compliance afwachten.
Drie keer mis. Ten eerste is de aanwijzing voorlopig en kan ze worden aangevochten; Amazon en Microsoft krijgen pas na een definitief besluit zes maanden, en juristen rekken zulke trajecten met plezier op. Je plant je bedrijfsvoering niet op een tijdlijn die de tegenpartij bepaalt. Ten tweede heb je de egress-saga gezien: wat er straks wordt aangeboden, is de minimale, voorwaardelijke versie, niet de wrijvingsloze overstap die je in je hoofd hebt. En ten derde, het belangrijkste: de wet doet het dure deel niet voor je. Brussel geeft je de deur, niet de verhuiswagen. Als het recht ingaat en je data zit nog verstrengeld in proprietary diensten, sta je met een geldig overstaprecht en een systeem dat niet mee kan. Ondertussen betaal je elke maand de lock-in-premie door.
En vergeet de Data Act niet: die geeft je nu al, los van welke poortwachterruling dan ook, het recht om over te stappen en je data exporteerbaar te eisen. Je hoeft helemaal niet op de DMA te wachten om te beginnen.
De macht die je niet opeist, valt terug naar je leverancier
De poortwachterstatus is goed nieuws. Maar goed nieuws is geen strategie. In een markt waar de drie grootste aanbieders samen goed zijn voor zo'n 63% van de wereldwijde cloudinfrastructuur, is een wettelijk recht om te vertrekken vooral waardevol als onderhandelingspositie, en die positie heb je alleen als je hem geloofwaardig kunt waarmaken.
Dus bouw nu voor vertrek: standaarden boven leverancierseigen koppelingen, je data altijd exporteerbaar, en helder in kaart welke onderdelen je zonder pijn elders draait en welke niet. Voor de werkplek-kant bestaat daar een praktisch stappenplan om van Microsoft 365 naar een soevereine werkplek met Nextcloud en Linux te migreren. Wie dat ontwerpt, verandert het wettelijke recht in een echte hefboom: aan de onderhandelingstafel, in je kostenplaatje, in je weerbaarheid. Wie het uitstelt, houdt een mooi recht op papier en een systeem dat nergens heen kan.
Het verschil tussen een recht en een hefboom is maar een ding: of je klaarstaat om het te gebruiken op het moment dat het telt.
Veelgestelde vragen
Bouw je cloud klaar voor vertrek
Ik help je je cloudarchitectuur zo ontwerpen en bouwen dat overstappen een verhuizing wordt en geen herbouw: data exporteerbaar, standaarden boven leverancierseigen koppelingen, en helder welke onderdelen pijnloos elders draaien.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
