Abonneer
Abonneer
Abonneer
Cyber Security

8 lessen die we hebben geleerd op het gebied van cloudsoevereiniteit

Geschreven door Jos Nijmeijer
5 min leestijd
3-sep-2025 11:53:52

In vijftien jaar tijd is de cloud van belofte naar basisbehoefte gegaan. We gingen massaal 'naar de cloud' (want: sneller, flexibeler en schaalbaarder). Maar de schaduwkant bleek groter dan gedacht. Afhankelijkheid van Amerikaanse reuzen groeide, geopolitiek sloop de serverruimte in, en ineens werd kunnen overstappen (portabiliteit) belangrijk voor controle en continuïteit.

Wat hebben we geleerd over autonomie, migratiepijn en strategische keuzes? Je leest hier de 8 belangrijkste lessen op het gebied van cloudsoevereiniteit.

1. Amerikaanse cloudproviders maken ons kwetsbaar - en dat risico groeit

Lange tijd werden Amerikaanse cloudproviders als veilige keuze gezien. Maar inmiddels weten we beter: beleidswijzigingen in de VS hebben laten zien dat de Amerikaanse overheid wel toegang kan vragen tot Europese data en daar ook gebruik van maakt. Die afhankelijkheid is niet alleen technisch, maar ook politiek.

“Zolang de leverancier onder de Amerikaanse wetgeving valt, ben je afhankelijk van het beleid dat daar gevoerd wordt. Als je die afhankelijkheid niet wil, kun je je data en systemen dus in feite niet onderbrengen bij een Amerikaans bedrijf,” zegt CISO Jos Nijmeijer.

Dit is overigens geen Amerikaans probleem alleen. Denk aan de opkomst van extreemrechtse partijen in landen als Duitsland of Frankrijk: ook hier kan beleid kantelen, met directe gevolgen voor digitale infrastructuur, privacy en continuïteit. Zorg dat je systemen zo zijn ingericht dat jij de touwtjes in handen hebt, in plaats van te vertrouwen op beloften. Zo kun je altijd wisselen, mocht de politieke wind draaien.

2. Portabiliteit is noodzakelijk

De kernvraag is: ben je in staat om zonder al te veel pijn over te stappen naar een andere provider? Want zonder portabiliteit (het vermogen om je data en applicaties mee te nemen), ben je kwetsbaar. Zolang je vastzit aan één leverancier, hangt de continuïteit van je ict af van hun voorwaarden, prijzen en beleid.

Welke technologie je kiest, maakt dan ook uit:

  • Standaardoplossingen zoals Microsoft SQL Server of MySQL zijn relatief goed te migreren. Zelfs overstappen tussen die twee is haalbaar, al vergt het wel inspanning.
  • Specifieke PaaS-diensten zoals Azure SQL zijn lastiger. Ze bieden gemak en schaalbaarheid, maar zitten diep verweven in de infrastructuur van één aanbieder.

“Op het moment dat je gebruikmaakt van geavanceerde diensten van Microsoft of Amazon, kom je op zulke specifieke producten uit dat je ze nergens anders kunt krijgen. Dan ben je dus niet meer portable,” zegt Jos Nijmeijer. “Hoe verder je het ecosysteem van één aanbieder inzwemt, hoe moeilijker het wordt om eruit te komen.”

Juist daarom is het van belang om je ict-landschap zo in te richten dat je wendbaar blijft. Portabiliteit stelt je in staat te reageren op veranderend beleid of geopolitieke risico’s, waar ter wereld die zich ook voordoen. Niet omdat je nú moet overstappen, maar omdat je voorbereid wilt zijn als dat morgen ineens wel nodig is.

3. Overstappen brengt risico's met zich mee

Het klinkt logisch: gewoon overstappen, maar wees ervan bewust dat dit in de praktijk vaak complex is:

  • Het selecteren van een nieuwe provider vraagt zorgvuldige afwegingen, want niet elke oplossing past bij je functionele, operationele en security-eisen.
  • Kennis en ervaring met het nieuwe platform moet je waarschijnlijk opnieuw opbouwen, of je organisatie moet een Managed Services Dienstverlener inschakelen die deze kennis al heeft.
  • Niet alle platformen bieden dezelfde functionaliteit en security. Vooral de grote Amerikaanse providers hebben hier enorm in geïnvesteerd en zijn van wereldklasse. Een overstap kan dus betekenen dat het nieuwe platform op functionaliteit of security een stap terugzet. En dat brengt weer eigen risico’s mee.

Voorbeelden van die risico’s zijn:

  • weerstand bij gebruikers door verlies van functionaliteit of de overlast die de overstap zelf veroorzaakt;
  • nieuwe securityrisico’s je actief moet mitigeren.

Daarnaast vraagt de migratie zelf aandacht voor zaken als:

  • risico op beschadiging of verlies van data, zeker bij conversie tussen standaarden of bestandsformaten;
  • noodzakelijke aanpassingen of vervanging van applicaties;
  • een ingrijpende IAM- en secrets-migratie, waarbij rechten, toegang en API-keys zorgvuldig opnieuw ingericht moeten worden;
  • het opnieuw opzetten van basisvoorzieningen zoals monitoring en recovery.

Jos: “Een wisseling van platformprovider en migratie is dus geen kwestie van ‘even overzetten’, maar vraagt om een goed doordacht plan om de risico’s te beheersen.”

4. Vendor lock-in ligt op de loer

Sommige cloudoplossingen zijn zo specifiek dat overstappen vrijwel onmogelijk is. Dat is vooral problematisch voor systemen die altijd beschikbaar moeten zijn, zoals financiële platforms.

Een organisatie die realtime transacties verwerkt via een cloud-native PaaS-dienst kan niet ‘even’ migreren. In veel gevallen betekent overstappen: deze transactie applicatie opnieuw bouwen. En dat is natuurlijk kostbaar, tijdrovend en risicovol, maar soms de enige weg naar digitale soevereiniteit.

5. Een aantal sectoren is extra kwetsbaar

Niet elke organisatie loopt evenveel risico, maar sommige sectoren zijn extra gevoelig voor de afhankelijkheden die een Amerikaanse cloudprovider met zich meebrengt, bijvoorbeeld:

  • organisaties waarbij vertrouwelijkheid, continuïteit en risicobeheersing bovenaan de agenda staan: zoals financiële instellingen en core-infrastructuur providers.
  • organisaties die data verwerken die écht geheim moet blijven of impact heeft op nationale belangen. Denk aan overheden of defensie (industrie);
  • organisaties met een groot maatschappelijk belang, zoals bepaalde NGO's en journalistieke organisaties.

Jos zegt hierover: “Voor veel sectoren is digitale soevereiniteit nu urgent. Hoe eerder je begint met alternatieven verkennen, hoe sneller de markt zich ontwikkelt en hoe beter je voorbereid bent op toekomstige veranderingen.”

6. Strategische keuzes voor de toekomst

Om risico’s duurzaam te beheersen, staat één principe centraal: portabiliteit binnen de ict-architectuur. De kern daarvan is om zoveel mogelijk te werken met open standaarden. Zo voorkom je vendor lock-in en blijft het altijd mogelijk om data en applicaties relatief eenvoudig bij een andere leverancier of in een ander product onder te brengen, zonder complexe migratiestappen of conversies.

Dat vraagt om het maken van bewuste keuzes:

  • Pas vooral op met technologieën die je afhankelijk maken. Propriëtaire oplossingen bieden gemak, maar maken overstappen lastig.
  • Weeg snelheid, functionaliteit en gemak altijd af tegen flexibiliteit en soevereiniteit. Soms betekent dat bewust een stukje functionaliteit opgeven om onafhankelijk te blijven.
  • Denk niet alleen aan de korte termijn, maar juist aan de lange. Wetgeving en beleid veranderen, ook binnen Europa.

7. Begin klein, en leer onderweg

Je hoeft niet alles tegelijk te veranderen. Sterker nog: de beste aanpak is stapsgewijs.

  • Start met een analyse van de ‘kroonjuwelen’ en onderzoek welke alternatieven daarvoor geschikt zijn.
  • Ga vervolgens op zoek naar het laaghangend fruit: stappen die met weinig moeite snel gezet kunnen worden en tegelijkertijd de afhankelijkheid verkleinen. Zo bouw je ervaring en kennis op die later onmisbaar is om complexere uitdagingen aan te pakken.
  • Focus op kernapplicaties, maar vermijd de valkuil van een ‘alles moet nu over’-strategie. Dit is een proces van lange adem: risico’s worden stap voor stap afgebouwd, kennis groeit onderweg en de markt ontwikkelt zich razendsnel. Technologieën die nu nog niet bestaan of niet volwassen genoeg zijn, kunnen over enkele jaren wel goede alternatieven bieden.
  • Ontwikkel gaandeweg een strategie voor de kernsystemen, gebaseerd op de stappen die je al hebt gezet en de ervaring die je hebt opgedaan.

Voorbeelden van kleine stappen: verander vandaag nog je DNS-provider van de veelgebruikte Google-resolver (8.8.8.8) naar DNS4EU | European Alternatives, of probeer Le Chat in plaats van ChatGPT of Copilot. Zo kies je gefaseerd voor doorgroei: van eenvoudige stappen naar uiteindelijk ook de complexe applicaties, zoals Office. Waar mogelijk werk je met open standaarden, bijvoorbeeld ODF in plaats van DOCX. Zo bouw je stap voor stap aan meer wendbaarheid en controle.

8. Er is hoop: Europese alternatieven

Het goede nieuws: er zijn inmiddels uitstekende Europese alternatieven beschikbaar. Je kunt hier shoppen op alternatieve die niet altijd even bekend zijn, maar vaak wel al bijzonder volwassen en bruikbaar.

“Het glas is halfvol,” benadrukt Jos. “Door vandaag te beginnen, bouw je aan de veerkracht van je organisatie in de toekomst. Hoe meer Europese diensten gebruikt worden, hoe sneller die markt zich kan ontwikkelen!”

Stel portabiliteit centraal voor een flexibele toekomst

Deze lessen laten één ding duidelijk zien: technologische keuzes zijn niet alleen technisch, maar ook strategisch en zelfs politiek. Door portabiliteit centraal te stellen en bewust te kiezen voor flexibiliteit, maak je je organisatie weerbaarder tegen wat er komen gaat.

De toekomst is onzeker, maar met de juiste keuzes ben je er wel op voorbereid. Wil je meer weten over dit onderwerp? Lees ook:

 
Vorige verhaal
← Cybersecurity voor het mkb: ontdek de achterdeurtjes in je ict-omgeving
Cybersecurity: hoe je een datalek voorkomt
Datalek voorkomen
Cyber Security

Cybersecurity: hoe je een datalek voorkomt

30-jun-2021 10:30:00 7 min leestijd
Cloud governance: in 5 stappen grip bij een cloudtransitie
stappenplan cloud veiligheid aanpak
Digitale Transformatie

Cloud governance: in 5 stappen grip bij een cloudtransitie

27-aug-2020 9:37:49 9 min leestijd
Microsoft Secure Score: wat is het en hoe kun je het gebruiken?
Cyber Security

Microsoft Secure Score: wat is het en hoe kun je het gebruiken?

20-jun-2024 15:21:19 5 min leestijd

Ontvang email updates