Terwijl de politiek zich al jaren zorgen maakt over het gebruik van Amerikaanse cloudplatforms door de overheid, gebeurt er in de praktijk… niets. Helemaal niets. En ondertussen blijven instellingen als het RIVM, de DNB en UWV vrolijk gebruik maken van Microsoft 365 en Azure. Waarom eigenlijk?
Het is een ongemakkelijk verhaal – een beetje zoals te lang in een relatie blijven waarvan je weet dat het niet gezond is. Iedereen ziet het, vrienden waarschuwen je, maar ja… het werkt nu eenmaal, het is vertrouwd, en uitmaken is ook weer zo’n gedoe.
Zo voelt het een beetje met hoe de Nederlandse overheid omgaat met Amerikaanse clouddiensten. Ondanks stevige Kamerdebatten, moties vol vermanende woorden en geopolitieke spanningen waar je u tegen zegt, blijft een indrukwekkende lijst aan overheidsorganisaties vrolijk inloggen bij Microsoft.
Dat blijkt uit onderzoek van BNR onder zeventien grote instellingen, van toezichthouders tot uitvoeringsinstanties. Denk aan UWV, RIVM, DNB – allemaal nog actief op Amerikaanse cloudplatforms. Geen van hen heeft de stekker eruit getrokken. En concrete plannen om dat wél te doen? Die zijn er nauwelijks.
Overheidsdata in Amerikaanse handen
Het is zo lekker makkelijk
Eerlijk is eerlijk: Amerikaanse cloudsystemen werken gewoon goed. Microsoft 365, Google Workspace, Azure – het draait, het integreert, je kunt ermee samenwerken, mailen, opslaan. Het voelt als water uit de kraan. Niemand belt de waterleidingmaatschappij om te vragen wie het water beheert of in welk reservoir het ligt.
Toch is er een fundamenteel verschil. Want bij Amerikaanse cloudsystemen is er altijd die ene onzichtbare gast op de achtergrond: de Amerikaanse overheid. En die heeft, dankzij wetten als de CLOUD Act, de mogelijkheid om data op te vragen bij bedrijven als Microsoft, waar die data ook staan – ja, zelfs als die in een datacenter in Noord-Holland ligt.
Strafhof zonder toegang, bank zonder documenten
Een paar weken geleden nog. De hoofdaanklager van het Internationaal Strafhof in Den Haag raakte z’n toegang tot z’n Microsoft-mail kwijt. De reden? De VS had sancties ingesteld tegen het hof, omdat het een arrestatiebevel uitvaardigde tegen de Israëlische premier Netanyahu. Poef. Account dicht.
Of neem de Amsterdam Trade Bank in 2022. Toen de eigenaren – Russen – op een Amerikaanse sanctielijst belandden, trok Microsoft direct de stekker uit de toegang tot hun cloudomgeving. Zelfs de curatoren konden er na het faillissement niet meer bij. Pas na tussenkomst van een rechter kwam er beweging in.
Klinkt als incidenten, maar ze vertellen wel iets fundamenteels: als je infrastructuur van een ander is, bepaal jij niet wat ermee gebeurt. Punt.
“We gebruiken het alleen voor… e-mail?”
BNR vroeg tientallen instellingen hoe ze Amerikaanse clouds gebruiken. Veel antwoorden waren vaag, terughoudend of ontwijkend. Sommige organisaties, zoals het RIVM, zeggen dat ze ‘een geplande migratie hebben afgeblazen’ en nu deels lokaal werken. Maar de samenwerkingstools van Microsoft worden nog steeds gebruikt. Voor onderzoek zelfs.
Anderen noemen het ‘ondersteunend gebruik’, alsof het alleen maar gaat om koffiemomentjes in Teams en wat onschuldige e-mails. Maar ja – in de praktijk kun je moeilijk over persoon X mailen zonder iets te zeggen over wáárover het gaat, toch?
En zelfs als je denkt dat je slim bent met ‘gepseudonimiseerde gegevens’, blijkt dat vaak flinterdunne schijnveiligheid. Zo verwerkte de Nederlandse Zorgautoriteit (NZa) medische data via Microsoft en het dataplatform Snowflake. Geboortedatum, postcode – twee datapuntjes en je weet al snel wie het is. Zeker als je kwaad wil.
Uit Woo-documenten bleek bovendien dat de beveiliging daar rammelde: toegang werd niet altijd gelogd, en er was geen formeel contract met Microsoft als verwerker. Inmiddels zijn maatregelen genomen, zegt de NZa. Maar ze zitten nog steeds in diezelfde cloud.
“We volgen het beleid.” Welk beleid?
Veel instanties wijzen naar het rijksbrede cloudbeleid. Daarin staat dat Amerikaanse diensten zijn toegestaan, mits ‘de veiligheid is gewaarborgd’. Wat dat precies betekent, blijft vaak onduidelijk. En de herziening van dat beleid? Die komt ergens medio 2025.
Tot die tijd is het eigenlijk ieder voor zich. Zelfstandige bestuursorganen (zoals de Sociale Verzekeringsbank) zijn niet eens verplicht zich eraan te houden – al doen sommigen het uit fatsoen of gewoonte.
Waarom dit nú urgent is
De wereld is veranderd. Oorlog, cyberaanvallen, sancties, digitale sabotage – het zijn geen sciencefictiontermen meer. Gegevens zijn wapens geworden. Of, in ieder geval, drukmiddel.
En dat terwijl Europese alternatieven bestaan. Ze zijn misschien wat minder sexy, wat minder ver met AI-integraties, maar ze staan wél onder Europees toezicht. Denk aan OVHcloud of het GAIA-X-project, waarin landen als Duitsland en Frankrijk investeren.
Tijd om op te staan van de digitale bank
Het is verleidelijk om nog even te blijven zitten. De systemen werken, de mensen zijn gewend, en overstappen voelt als gedoe. Maar zoals met elke foute relatie komt er een moment waarop je moet zeggen: tot hier en niet verder.
De overheid moet leiderschap tonen. Niet omdat de Kamer daarom vraagt – maar omdat de data van miljoenen Nederlanders in het spel zijn. En dan moet je niet denken: we zien het wel in 2025. Dan moet je nú iets doen.
Dus: minder afhankelijkheid, meer Europese alternatieven, betere encryptie, en vooral – bewustwording. Want wie vandaag nog denkt dat een server gewoon een doos met data is, mist waar het echt om gaat: controle.
