Rack met servers en groene statusverlichting in een datacenter
Nieuws3 juli · 22:096 min leestijd

Rijk scherpt cloudbeleid aan: strengere eisen voor publieke cloud bij de overheid

De ministerraad stelde op 3 juli het herziene rijksbrede cloudbeleid vast. Kritieke diensten mogen niet meer zomaar naar buitenlandse publieke cloud, met vier jaar de tijd en verplichte exitplannen.

De ministerraad heeft op 3 juli, net voor het zomerreces, het herziene rijksbrede cloudbeleid vastgesteld. Het is geen vrijblijvende notitie, maar een set concrete regels die bepalen wanneer Rijksorganisaties nog publieke cloud mogen gebruiken en wanneer niet. De rode draad: minder blinde afhankelijkheid van grote, veelal Amerikaanse aanbieders, en meer grip op waar de kritieke data van de overheid fysiek en juridisch staat.

Voor elke leverancier, IT-partner of clouddienst die zaken doet met de overheid verandert hiermee de grond onder toekomstige aanbestedingen. En ook wie geen overheidsklant heeft, krijgt met dit beleid een bruikbare spiegel voorgehouden: de vragen die het Rijk nu verplicht stelt over leveranciersrisico en exit, horen op elke directietafel thuis.

Het besluit sluit direct aan op de lijn die vorige week al werd ingezet, toen het Rijk in een Kamerbrief meldde dat de soevereine overheidscloud al in een proof of concept draait en eind 2026 de eerste applicaties in eigen datacenters wil hosten. Datzelfde stuk kondigde het herziene cloudbeleid aan; dat beleid ligt er nu.

Staatssecretaris Willemijn Aerdts (Digitale Economie en Soevereiniteit), die het aangescherpte rijksbrede cloudbeleid presenteerde. Bron: Jennifer Jacquemart / EC - Audiovisual Service / Wikimedia Commons (CC BY 4.0)
Staatssecretaris Willemijn Aerdts (Digitale Economie en Soevereiniteit), die het aangescherpte rijksbrede cloudbeleid presenteerde. Bron: Jennifer Jacquemart / EC - Audiovisual Service / Wikimedia Commons (CC BY 4.0)

Wat er nu concreet verandert

Het nieuwe beleid draait niet om een verbod op cloud, maar om bewuste keuzes vooraf. Elke Rijksorganisatie moet voortaan eerst een cloudstrategie opstellen voordat zij een publieke clouddienst in gebruik neemt: waarom is voor publieke cloud gekozen, welke risico's horen daarbij en hoe worden die beheerst. Voor materieel cloudgebruik hoort daar een expliciete risicoafweging bij, met nadrukkelijke aandacht voor drie zaken: afhankelijkheid van een enkele leverancier, de kans op inmenging door een buitenlandse overheid, en de vraag of de overheid zelf bij haar data kan blijven.

Daarnaast komt er een meldplicht. Voor materieel cloudgebruik moet de organisatie de CISO Rijk vooraf informeren, en jaarlijks wordt aan de CIO Rijk gerapporteerd. Zo verschuift cloudinkoop van een losse afdelingskeuze naar iets waar centraal zicht op is.

Kritieke diensten en data uit de publieke cloud

De scherpste eisen gelden voor kritieke organisaties en kritieke gegevens. Kritieke organisaties, waaronder ministeries en zelfstandige bestuursorganen zoals het UWV en de Sociale Verzekeringsbank, mogen voor hun kerntaken geen clouddiensten meer gebruiken van leveranciers die onder niet-EU- of niet-EER-recht vallen. Dat raakt in de praktijk direct de grote hyperscalers uit de Verenigde Staten.

Voor een aantal gegevenssoorten wordt publieke cloud helemaal ontraden. E-mail en documentbeheer horen wat het Rijk betreft niet in een publieke cloud thuis en moeten binnen de overgangsperiode terug naar interne omgevingen. Ook het verwerken van bijzondere persoonsgegevens in de publieke cloud wordt ontraden; kan het niet anders, dan moeten privacyverhogende technieken worden ingezet. En de grote basisregistraties, zoals de Basisregistratie Personen en het Kadaster, worden als nationaal belang aangemerkt en horen niet in een publieke cloud.

Exitplannen worden verplicht

Misschien wel de meest praktische verandering: voor belangrijke clouddiensten worden exitplannen verplicht. Organisaties moeten niet één, maar twee scenario's uitwerken. Een gepland exitplan beschrijft hoe je gecontroleerd kunt overstappen naar een andere leverancier of naar eigen beheer. Een noodplan beschrijft wat je doet als een dienst plotseling wegvalt of onbereikbaar wordt. Beide plannen moeten jaarlijks worden herzien, zodat ze niet verouderen tot papieren zekerheid.

Dit is precies de exit-gedachte die ook buiten de overheid steeds harder nodig is. Het zijn dezelfde vragen die centraal staan in een draaiboek om vendor lock-in en digitale afhankelijkheid stap voor stap af te bouwen: weet je hoe je eruit komt voordat je vastzit? Staatssecretaris Willemijn Aerdts (Digitale Economie en Soevereiniteit) vatte de inzet samen met de stelling dat digitale soevereiniteit betekent dat je keuzes kunt blijven maken, en niet gevangen zit bij één aanbieder.

De grenzen van het besluit

Het beleid is stevig in richting, maar kent duidelijke grenzen. Organisaties krijgen vier jaar de tijd om bestaande diensten in lijn te brengen, en voor complexe gevallen is uitstel mogelijk om onnodige kosten en desinvesteringen te voorkomen. Er is bovendien geen extra budget bijgekomen; de omslag moet binnen de bestaande middelen gebeuren. Het beleid geldt voor de hele Rijksoverheid, met uitzondering van het ministerie van Defensie en de Hoge Colleges van Staat. Als volgende stap wil het kabinet met andere overheidslagen, zoals provincies en gemeenten, toewerken naar een breder gedragen, overheidsbrede cloudlijn.

Wat dit betekent voor jouw bedrijf

Ben je leverancier of IT-partner van de overheid, dan is de boodschap helder: een aanbod dat volledig leunt op een enkele buitenlandse cloudstack wordt voor kritieke diensten minder kansrijk, terwijl aantoonbare grip op datalocatie, juridisch regime en een werkbaar exitplan juist zwaarder gaan wegen. Wie dat kan aantonen, staat sterker in de volgende aanbesteding.

Maak je zelf keuzes over cloud en software, dan hoef je dit overheidsbeleid niet te kopiëren, maar de onderliggende vragen zijn universeel. Als deze leverancier morgen zijn prijs verdubbelt, zijn dienst uitfaseert of onder een ander rechtsregime komt te vallen, kan ik dan door? Voor e-mail en documenten is dat geen theoretische vraag: het is exact de beweging die bedrijven ook zelf maken bij een overstap van Microsoft 365 naar een soevereine werkplek met Nextcloud, eigen e-mail en Linux.

De kern van dit besluit is niet anti-cloud, maar pro-keuze. De overheid legt vast dat je publieke cloud best mag gebruiken, zolang je vooraf weet welk risico je neemt en hoe je er weer uit komt. Dat is geen ideologie, het is risicobeheer, en het is een oefening die elk bedrijf dat serieus op de cloud draait beter vandaag dan morgen kan doen.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op je cloudkeuzes

Ik help je dezelfde vragen beantwoorden die de overheid nu verplicht stelt: waar staat je data, hoe afhankelijk ben je van één leverancier en hoe kom je er weer uit. Van meedenken en ontwerp tot bouwen en automatiseren, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Vijftien overheidsprojecten krijgen Innovatiebudget 2026, AI is de rode draad
Nieuws
5 min

19 jun 10:15

Vijftien overheidsprojecten krijgen Innovatiebudget 2026, AI is de rode draad

Het ministerie van Binnenlandse Zaken kent het Innovatiebudget Digitale Overheid 2026 toe aan vijftien projecten uit 68 voorstellen. Opvallend veel leunen op AI, en de uitkomst leest als een kaart van waar de overheid heen wil.

AGCM onderzoekt Microsoft: stille Copilot-upgrade dreef prijs Microsoft 365 op zonder duidelijke toestemming
Nieuws
5 min

27 jun 08:22

AGCM onderzoekt Microsoft: stille Copilot-upgrade dreef prijs Microsoft 365 op zonder duidelijke toestemming

De Italiaanse mededingingsautoriteit onderzoekt of Microsoft abonnees misleidde door Copilot ongemerkt in Microsoft 365 te bundelen en ze standaard op een duurder plan te zetten. Wat betekent dat voor Nederlandse gebruikers en bedrijven?

Digitale soevereiniteit is risicobeheer, geen politiek
Inzicht
8 min

16 jun 13:31

Digitale soevereiniteit is risicobeheer, geen politiek

Soevereiniteit wordt gevoerd als een principekwestie over Amerika en Big Tech. Daardoor schuift de nuchtere ondernemer het weg. Onterecht: waar je data staat en van wie je software is, is gewoon een bedrijfsrisico.

Kabinet pauzeert uitrol Microsoft 365 bij Belastingdienst en Douane
Nieuws
4

10 jul 12:11

Kabinet pauzeert uitrol Microsoft 365 bij Belastingdienst en Douane

Het kabinet zet de uitrol van Microsoft 365 bij de Belastingdienst, Douane en Toeslagen stil na een vernietigend ICT-advies over vendor lock-in, en laat het eigen, on-premises scenario opnieuw uitwerken.

UWV test Microsoft Copilot, maar zonder persoonsgegevens en zonder besluit over structureel gebruik
Nieuws
5 min

29 jun 16:23

UWV test Microsoft Copilot, maar zonder persoonsgegevens en zonder besluit over structureel gebruik

Minister Vijlbrief neemt nog geen besluit over structureel gebruik van Microsoft Copilot bij UWV. In de proef mag de AI niet op bestanden of persoonsgegevens, en het kabinet onderzoekt parallel soevereine alternatieven.

Het Rijk vervangt de Microsoft-werkplek van ambtenaren stapsgewijs door een soeverein alternatief
Nieuws
5 min

23 jun 14:18

Het Rijk vervangt de Microsoft-werkplek van ambtenaren stapsgewijs door een soeverein alternatief

Minister Heerma kondigt aan dat de Microsoft-werkplek van rijksambtenaren stapsgewijs wordt vervangen door soevereine, opensource componenten. Volgend jaar gaan de eerste testgebruikers over. Een helder beleidssignaal voor elke organisatie die haar afhankelijkheid van Microsoft afweegt.