De cloudkeuze van Nederlandse organisaties is het afgelopen jaar zichtbaar complexer geworden. Waar migraties vroeger vooral werden afgewogen op schaalbaarheid, performance en kosten, staat nu een extra dimensie centraal: digitale soevereiniteit. Steeds meer bedrijven en publieke organisaties willen profiteren van Amerikaanse clouddiensten zoals Amazon Web Services, Microsoft Azure en Google Cloud, maar worden tegelijk kritischer op afhankelijkheden, juridische zeggenschap en de vraag hoe je controle houdt als de wereld om je heen verandert.
In die spanning zit de kern van het huidige clouddebat in Nederland: Amerikaanse clouddiensten bieden ongekende mogelijkheden, maar de maatschappelijke en politieke acceptatie van “kritieke systemen naar Amerikaanse platforms” is kleiner geworden. Daardoor verschuift het gesprek van “welke cloud kiezen we?” naar “onder welke voorwaarden kunnen we verantwoord Amerikaanse diensten inzetten?”
Van Europese hosting naar Amerikaanse clouddiensten: de migratie die meteen in het publieke debat belandde
Een van de meest concreet gedocumenteerde Nederlandse voorbeelden uit de afgelopen maanden is Xxllnc. Vorige maand werd beschreven dat Xxllnc in een hybride cloudaanpak ook AWS inzet en daarbij kritiek kreeg omdat onderdelen van een oplossing van het Nederlandse TransIP naar Amazon’s AWS zijn gemigreerd.
In dit geval ging het om onderdelen van een oplossing die eerder op een Nederlandse hostingomgeving draaide en vervolgens (deels) naar Amazon Web Services werd gebracht. Het opvallende aan dit voorbeeld is niet alleen de technische stap, maar vooral de reacties die erop volgden.
Het laat zien hoe snel een cloudmigratie vandaag de dag onderdeel wordt van een bredere discussie. Niet alleen over performance en betrouwbaarheid, maar ook over vragen als: wie kan er juridisch bij je data, hoe snel kun je weg als dat nodig is, en welke garanties kun je bieden aan klanten en toezichthouders? Organisaties die Amerikaanse clouddiensten inzetten, moeten steeds vaker aantonen dat ze niet alleen “naar de cloud” zijn gegaan, maar ook hun exit, governance en risicobeheersing serieus hebben ingericht.
NS: inzet van Amerikaanse clouddiensten als meerjarige moderniseringsroute
Waar sommige migraties als één duidelijk overstapmoment naar buiten komen, zie je bij grotere organisaties vaak een ander patroon: Amerikaanse clouddiensten als meerjarige modernisering. NS is daarvan een goed voorbeeld. Het beeld dat naar voren komt is niet “een enkele verhuizing”, maar een strategische koers waarin Amazon Web Services een steeds grotere rol speelt bij vernieuwing en verdere digitalisering.
Bij dit soort trajecten is een Amerikaanse cloudomgeving niet alleen een nieuwe plek om servers te draaien, maar het fundament waarop applicaties, data-platformen en operationele processen stap voor stap worden vernieuwd. Dat maakt de impact groot en de afhankelijkheid ook. Juist daarom wordt governance essentieel: hoe voorkom je dat je vastgroeit in specifieke diensten, hoe borg je portabiliteit, en hoe maak je realistische scenario’s voor migratie of uitwijk?
In de praktijk zie je dat organisaties die grootschalig moderniseren met Amerikaanse clouddiensten steeds vaker hybride ontwerpen. Niet omdat dat een trend is, maar omdat het ruimte geeft om risicobeheersing en continuïteit beter te organiseren. Denk aan gescheiden omgevingen, duidelijke data-classificatie, en architectuurprincipes die verplaatsbaarheid ondersteunen.
DigiD: geen directe overstap naar Amerikaanse clouddiensten, wél een soevereiniteitswake-upcall
DigiD is een andere categorie. Het draait hier niet om een publiek aangekondigde overstap naar Amerikaanse clouddiensten, maar om een situatie die laat zien waarom soevereiniteit een harde realiteit is geworden. Zodra er in de leveranciersketen iets verandert, bijvoorbeeld eigendom of zeggenschap, komen vragen over continuïteit, beveiliging en juridische controle plotseling bovenaan de agenda te staan.
Het belang van DigiD als kritieke digitale voorziening maakt dat die vragen extra zwaar wegen. Wat hier zichtbaar wordt, is dat digitale soevereiniteit niet alleen gaat over “waar draait het?”, maar ook over “wie stuurt het aan?” en “wat gebeurt er als de wereldpolitiek of de marktstructuur verandert?” Zelfs zonder migratie naar Amerikaanse cloudplatforms kan een organisatie ineens worden gedwongen om scenario’s, contracten en technische afhankelijkheden opnieuw te wegen.
Voor veel organisaties is dat een belangrijke les: soevereiniteit is niet alleen een cloudvraag, maar ook een ketenvraag. Wie afhankelijk is van een cruciale leverancier, is kwetsbaar voor veranderingen die je niet zelf in de hand hebt.
De Nederlandse soevereiniteitsdiscussie: van principiële zorgen naar concrete rem op Amerikaanse cloudmigraties
In Nederland is digitale soevereiniteit het afgelopen jaar niet langer een niche-onderwerp voor securityspecialisten. Het is een bestuurlijk thema geworden, mede doordat de overheid explicieter is gaan sturen op het beperken van onnodige afhankelijkheid van Amerikaanse technologiebedrijven. Dat sentiment komt terug in de manier waarop migraties naar Amerikaanse clouddiensten worden beoordeeld: niet alleen op technische merites, maar ook op maatschappelijke acceptatie en risicoprofiel.
Voor organisaties betekent dit dat je cloudstrategie steeds vaker moet kunnen “landen” op bestuursniveau. Een technisch verhaal over uptime en schaalbaarheid is niet genoeg. Er wordt gevraagd naar onderbouwing: welke data en processen zijn kritisch, welke delen kunnen op Amerikaanse diensten, welke niet, en hoe borg je dat je kunt schakelen als omstandigheden veranderen?
Europese lijn: van “data in Europa” naar controle, certificering en overstapbaarheid
Ook op Europees niveau is de discussie volwassen geworden. De focus verschuift van een eenvoudige vraag (“staat de data in Europa?”) naar een veel concretere set eisen: hoe aantoonbaar is de beveiliging, welke certificeringen of assurance gelden, hoe zit het met toezicht, en hoe makkelijk kun je van provider wisselen zonder dat je bedrijfsvoering stilvalt?
Europa zet steeds sterker in op kaders die overstappen en interoperabiliteit stimuleren. Daarmee wordt ‘exit’ niet alleen een theoretisch onderwerp in contracten, maar een praktische eis: organisaties moeten kunnen aantonen dat ze niet klem zitten. Parallel daaraan groeit de aandacht voor cybersecuritykaders die governance, risicomanagement en ketenverantwoordelijkheid nadrukkelijker bij bestuur en directie leggen.
In de praktijk betekent dit dat het gebruik van Amerikaanse clouddiensten niet per definitie “fout” is, maar dat het onder voorwaarden moet gebeuren. Europese beleidslijnen sturen aan op aantoonbaarheid: je moet kunnen uitleggen hoe je controle houdt over data, sleutels, toegang, logging, incidentrespons en uitwijkmogelijkheden.
Wat verantwoord gebruik van Amerikaanse clouddiensten in de praktijk betekent
Voor Nederlandse organisaties die Amerikaanse clouddiensten inzetten, ontstaat een nieuw normaal. Niet “alles verhuizen” of “alles on-prem”, maar een model waarin je de voordelen van Amerikaanse platforms combineert met ontwerpkeuzes die controle en wendbaarheid borgen. Dat kan er per organisatie anders uitzien, maar de rode draad is herkenbaar.
Organisaties zetten zwaarder in op architectuurprincipes die verplaatsbaarheid ondersteunen. Ze kiezen bewuster welke workloads geschikt zijn voor Amerikaanse clouddiensten en welke onderdelen beter in een Europese omgeving blijven. Ze maken exit niet alleen een juridische clausule, maar ook een technisch plan. En ze richten governance zo in dat compliance, security en continuïteit vanaf het begin onderdeel zijn van de migratie, niet iets wat achteraf “nog even geregeld” moet worden.
Conclusie: Amerikaanse clouddiensten blijven aantrekkelijk, maar de lat voor verantwoording ligt hoger
Het afgelopen jaar laat zien dat de inzet van Amerikaanse clouddiensten doorzet, zowel in de markt als bij grote organisaties. Tegelijkertijd is de context veranderd: digitale soevereiniteit is niet meer een abstract ideaal, maar een concrete factor die cloudkeuzes beïnvloedt.
De voorbeelden maken duidelijk dat Amerikaanse clouddiensten verschillende gezichten hebben. Soms is het een expliciete migratie van Europese hosting naar een Amerikaans platform die direct publieke discussie oproept. Soms is het een langjarig moderniseringstraject zoals bij NS, waarbij Amerikaanse cloudtechnologie structureel onderdeel wordt van de IT-route. En soms is het een soevereiniteitscase zonder Amerikaanse cloudmigratie, zoals DigiD, waar ketenveranderingen de noodzaak blootleggen om controle en continuïteit opnieuw te borgen.
Voor organisaties die de komende periode cloudkeuzes moeten maken, is de belangrijkste les: Amerikaanse clouddiensten bieden veel waarde, maar alleen als je de randvoorwaarden serieus neemt. Niet alleen technisch, maar ook bestuurlijk. Wie dat goed organiseert, kan de voordelen benutten zonder de grip te verliezen die in 2026 steeds vaker wordt gevraagd.
