De ministerraad heeft op 3 juli, net voor het zomerreces, het herziene rijksbrede cloudbeleid vastgesteld. Het is geen vrijblijvende notitie, maar een set concrete regels die bepalen wanneer Rijksorganisaties nog publieke cloud mogen gebruiken en wanneer niet. De rode draad: minder blinde afhankelijkheid van grote, veelal Amerikaanse aanbieders, en meer grip op waar de kritieke data van de overheid fysiek en juridisch staat.
Voor elke leverancier, IT-partner of clouddienst die zaken doet met de overheid verandert hiermee de grond onder toekomstige aanbestedingen. En ook wie geen overheidsklant heeft, krijgt met dit beleid een bruikbare spiegel voorgehouden: de vragen die het Rijk nu verplicht stelt over leveranciersrisico en exit, horen op elke directietafel thuis.
Het besluit sluit direct aan op de lijn die vorige week al werd ingezet, toen het Rijk in een Kamerbrief meldde dat de soevereine overheidscloud al in een proof of concept draait en eind 2026 de eerste applicaties in eigen datacenters wil hosten. Datzelfde stuk kondigde het herziene cloudbeleid aan; dat beleid ligt er nu.

Wat er nu concreet verandert
Het nieuwe beleid draait niet om een verbod op cloud, maar om bewuste keuzes vooraf. Elke Rijksorganisatie moet voortaan eerst een cloudstrategie opstellen voordat zij een publieke clouddienst in gebruik neemt: waarom is voor publieke cloud gekozen, welke risico's horen daarbij en hoe worden die beheerst. Voor materieel cloudgebruik hoort daar een expliciete risicoafweging bij, met nadrukkelijke aandacht voor drie zaken: afhankelijkheid van een enkele leverancier, de kans op inmenging door een buitenlandse overheid, en de vraag of de overheid zelf bij haar data kan blijven.
Daarnaast komt er een meldplicht. Voor materieel cloudgebruik moet de organisatie de CISO Rijk vooraf informeren, en jaarlijks wordt aan de CIO Rijk gerapporteerd. Zo verschuift cloudinkoop van een losse afdelingskeuze naar iets waar centraal zicht op is.
Kritieke diensten en data uit de publieke cloud
De scherpste eisen gelden voor kritieke organisaties en kritieke gegevens. Kritieke organisaties, waaronder ministeries en zelfstandige bestuursorganen zoals het UWV en de Sociale Verzekeringsbank, mogen voor hun kerntaken geen clouddiensten meer gebruiken van leveranciers die onder niet-EU- of niet-EER-recht vallen. Dat raakt in de praktijk direct de grote hyperscalers uit de Verenigde Staten.
Voor een aantal gegevenssoorten wordt publieke cloud helemaal ontraden. E-mail en documentbeheer horen wat het Rijk betreft niet in een publieke cloud thuis en moeten binnen de overgangsperiode terug naar interne omgevingen. Ook het verwerken van bijzondere persoonsgegevens in de publieke cloud wordt ontraden; kan het niet anders, dan moeten privacyverhogende technieken worden ingezet. En de grote basisregistraties, zoals de Basisregistratie Personen en het Kadaster, worden als nationaal belang aangemerkt en horen niet in een publieke cloud.
Exitplannen worden verplicht
Misschien wel de meest praktische verandering: voor belangrijke clouddiensten worden exitplannen verplicht. Organisaties moeten niet één, maar twee scenario's uitwerken. Een gepland exitplan beschrijft hoe je gecontroleerd kunt overstappen naar een andere leverancier of naar eigen beheer. Een noodplan beschrijft wat je doet als een dienst plotseling wegvalt of onbereikbaar wordt. Beide plannen moeten jaarlijks worden herzien, zodat ze niet verouderen tot papieren zekerheid.
Dit is precies de exit-gedachte die ook buiten de overheid steeds harder nodig is. Het zijn dezelfde vragen die centraal staan in een draaiboek om vendor lock-in en digitale afhankelijkheid stap voor stap af te bouwen: weet je hoe je eruit komt voordat je vastzit? Staatssecretaris Willemijn Aerdts (Digitale Economie en Soevereiniteit) vatte de inzet samen met de stelling dat digitale soevereiniteit betekent dat je keuzes kunt blijven maken, en niet gevangen zit bij één aanbieder.
De grenzen van het besluit
Het beleid is stevig in richting, maar kent duidelijke grenzen. Organisaties krijgen vier jaar de tijd om bestaande diensten in lijn te brengen, en voor complexe gevallen is uitstel mogelijk om onnodige kosten en desinvesteringen te voorkomen. Er is bovendien geen extra budget bijgekomen; de omslag moet binnen de bestaande middelen gebeuren. Het beleid geldt voor de hele Rijksoverheid, met uitzondering van het ministerie van Defensie en de Hoge Colleges van Staat. Als volgende stap wil het kabinet met andere overheidslagen, zoals provincies en gemeenten, toewerken naar een breder gedragen, overheidsbrede cloudlijn.
Wat dit betekent voor jouw bedrijf
Ben je leverancier of IT-partner van de overheid, dan is de boodschap helder: een aanbod dat volledig leunt op een enkele buitenlandse cloudstack wordt voor kritieke diensten minder kansrijk, terwijl aantoonbare grip op datalocatie, juridisch regime en een werkbaar exitplan juist zwaarder gaan wegen. Wie dat kan aantonen, staat sterker in de volgende aanbesteding.
Maak je zelf keuzes over cloud en software, dan hoef je dit overheidsbeleid niet te kopiëren, maar de onderliggende vragen zijn universeel. Als deze leverancier morgen zijn prijs verdubbelt, zijn dienst uitfaseert of onder een ander rechtsregime komt te vallen, kan ik dan door? Voor e-mail en documenten is dat geen theoretische vraag: het is exact de beweging die bedrijven ook zelf maken bij een overstap van Microsoft 365 naar een soevereine werkplek met Nextcloud, eigen e-mail en Linux.
De kern van dit besluit is niet anti-cloud, maar pro-keuze. De overheid legt vast dat je publieke cloud best mag gebruiken, zolang je vooraf weet welk risico je neemt en hoe je er weer uit komt. Dat is geen ideologie, het is risicobeheer, en het is een oefening die elk bedrijf dat serieus op de cloud draait beter vandaag dan morgen kan doen.
Veelgestelde vragen
Grip op je cloudkeuzes
Ik help je dezelfde vragen beantwoorden die de overheid nu verplicht stelt: waar staat je data, hoe afhankelijk ben je van één leverancier en hoe kom je er weer uit. Van meedenken en ontwerp tot bouwen en automatiseren, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
