De Grote Cloud-Exodus: Deel 1

De Grote Cloud-Exodus: Deel 1

Achtergrond
Gastexperts
Redactie WINMAG Pro

Decennialang was de richting van de IT-sector eenrichtingsverkeer. De borden wezen allemaal dezelfde kant op: naar de cloud. Het was een tijdperk gekenmerkt door een bijna religieus geloof in de beloften van de Amerikaanse tech-reuzen. 'Cloud First' was niet slechts een beleidsvoornemen; het was een mantra dat weerklonk in bestuurskamers van multinationals, op beleidsafdelingen van de Rijksoverheid en in start-up hubs van Amsterdam tot Eindhoven. Nu vindt er een draai plaats. In deze serie kijkt Michel Heinst naar deze 'Cloud-Exodus'. Vandaag het eerste deel: De Juridische Realiteit.

Tekst: Michel Heinst, CEO en eigenaar Tech Outlet Ltd

De belofte was verleidelijk in zijn eenvoud: geen eigen servers meer, geen zorgen over updates of beveiligingspatches, en oneindige schaalbaarheid die met één druk op de knop beschikbaar was. Wie in 2015 nog investeerde in eigen 'ijzer', werd met meewarige blikken bekeken.

Anno 2025 is de sfeer echter radicaal omgeslagen. De wittebroodsweken met de hyperscalers - Amazon Web Services (AWS), Microsoft Azure en Google Cloud - zijn definitief voorbij. Wat begon als een flirt met flexibiliteit en modernisering, is voor veel Nederlandse organisaties veranderd in een verstikkend huwelijk, gekenmerkt door vendor lock-in, onvoorspelbare kostenexplosies en een fundamenteel gebrek aan controle over eigen data.

IDC voorspelt dat tegen 2026 maar liefst 65% van de ondernemingen zal overstappen op een hybride model, waarbij dataverwerking en AI-taken worden teruggetrokken naar de edge of on-premise omgevingen. McKinsey signaleert een duidelijke trendbreuk: CIO's in Europa verleggen hun focus van pure cloud-adoptie naar digitale soevereiniteit en kostenbeheersing.

Dit rapport analyseert niet alleen de cijfers, maar ook de menselijke en organisatorische verhalen achter deze beweging. Waarom kiest een succesvolle SaaS-ondernemer ervoor om de cloud te verlaten voor dedicated servers? Waarom siddert de Nederlandse overheid bij de gedachte aan Amerikaanse data-invorderingen? En is het technisch en financieel haalbaar om de regie terug te pakken?

Deel I: De Juridische Realiteit – Data in Buitenlandse Handen

De Illusie van de Europese Regio

Het fundamentele probleem met de dominantie van de Amerikaanse hyperscalers - die gezamenlijk meer dan 68% van de wereldwijde cloudinfrastructuurmarkt in handen hebben - is de extraterritoriale werking van de Amerikaanse wetgeving.

Veel Europese managers en beleidsmakers leven in de veronderstelling dat wanneer zij kiezen voor 'Regio West-Europa' (vaak fysiek gelokaliseerd in datacenters rondom Amsterdam of Eemshaven), hun data veilig is afgeschermd van Amerikaanse inmenging. 'De data staat toch in de polder?' is de veelgehoorde verdediging.

Dit is, juridisch gezien, een gevaarlijke illusie. De Amerikaanse wetgeving kijkt niet naar de grond waarop de server staat, maar naar wie de sleutels van de voordeur heeft.

De US CLOUD Act: De Lange Arm van Washington

De US CLOUD Act (Clarifying Lawful Overseas Use of Data Act), die in 2018 werd aangenomen, heeft het speelveld fundamenteel veranderd. Deze wet verplicht Amerikaanse technologiebedrijven om data van gebruikers te overhandigen aan Amerikaanse justitiële autoriteiten, ongeacht waar die data fysiek is opgeslagen.

Het juridische criterium is niet de locatie van de server, maar de zeggenschap ('possession, custody, or control') die het Amerikaanse moederbedrijf heeft over de data. Aangezien Microsoft Corporation in Redmond, Washington, volledige zeggenschap heeft over dochteronderneming Microsoft Nederland BV, valt data in het datacenter in de Wieringermeer juridisch gezien onder de directe reikwijdte van een Amerikaans bevelschrift.

Een Nederlandse rechter komt daar niet aan te pas. Dit creëert een direct conflict met de Europese AVG (GDPR), die juist strikte voorwaarden stelt aan het delen van persoonsgegevens met landen buiten de EU. Organisaties bevinden zich hierdoor in een juridische bankschroef: voldoen aan het Amerikaanse bevel betekent het schenden van de Europese privacywetgeving, en vice versa.

FISA 702: Ongemerkte Surveillance

Nog ingrijpender is sectie 702 van de Foreign Intelligence Surveillance Act (FISA). Deze wetgeving stelt Amerikaanse inlichtingendiensten zoals de NSA in staat om communicatie van niet-Amerikanen die zich buiten de Verenigde Staten bevinden te onderscheppen, te verzamelen en te analyseren.

Het cruciale verschil met reguliere wetshandhaving is dat hier geen individueel gerechtelijk bevel met verdenking van een misdrijf voor nodig is. Het gaat om inlichtingenvergaring in het kader van nationale veiligheid, een begrip dat in de VS zeer ruim wordt geïnterpreteerd.

Het Hof van Justitie van de Europese Unie heeft in het geruchtmakende Schrems II-arrest de uitwisseling van data met de VS op basis van eerdere verdragen al eens illegaal verklaard juist vanwege deze wetgeving. Hoewel er sindsdien nieuwe politieke akkoorden zijn gesloten, zoals het 'Data Privacy Framework', blijft de juridische basis onder FISA 702 ongewijzigd wankel.

De OVH-Canada Casus: Het Einde van de Naïviteit

Dat de zorgen over de CLOUD Act geen academische theorieën zijn, bewijst een recente en voor de Europese cloudmarkt onthutsende uitspraak van een Canadese rechtbank in 2024.

In de zaak rondom OVHcloud, een Frans bedrijf dat zich profileert als dé soevereine Europese tegenhanger van AWS en Azure, eiste de Royal Canadian Mounted Police (RCMP) toegang tot klantdata. Deze data stond echter niet in Canada, maar op servers in Frankrijk, het Verenigd Koninkrijk en Australië. De data behoorde toe aan klanten die niets met Canada van doen hadden.

De Canadese rechter oordeelde dat de Canadese dochteronderneming van OVHcloud gedwongen kon worden deze data te overhandigen, ondanks dat de data zich fysiek in Europa bevond. De rechter stelde dat de belangen van de staat (strafvervolging) zwaarder wogen dan de bezwaren van OVHcloud.

Dit vonnis sloeg in de Europese tech-gemeenschap in als een bom. OVHcloud werd in een onmogelijke spagaat gedwongen:
 

  • Meewerken aan het Canadese bevel zou leiden tot een directe schending van de Franse 'blocking statute' en de AVG, met boetes tot €90.000 en gevangenisstraf voor de Franse directieleden
  • Weigeren zou leiden tot minachting van het Canadese hof, met sancties tegen de Canadese tak

Deze casus toont onomstotelijk aan dat zodra een cloudprovider — zelfs een met een Europees hoofdkantoor — juridische entiteiten heeft in jurisdicties met extraterritoriale bevoegdheden, de 'soevereiniteit' van de data in het geding is.

Grote Cloud-Exodus

De Kwetsbaarheid van de Nederlandse Overheid

Uit onderzoek van de NOS blijkt dat zeker 1.722 websites van de overheid, semi-overheid en vitale infrastructuur direct afhankelijk zijn van ten minste één Amerikaanse clouddienst. Het gaat hierbij niet om triviale blogs of campagnewebsites:
 

  • Ministeries: Negen van de vijftien ministeries gebruiken Microsoft-diensten voor kritieke processen, waaronder e-mail en documentopslag
  • Decentrale Overheid: Alle twaalf provincies en nagenoeg alle gemeenten leunen zwaar op Amerikaanse infrastructuur
  • Toezichthouders: Zelfs waakhonden zoals de Autoriteit Financiële Markten (AFM) en de Autoriteit Persoonsgegevens ontkomen niet aan deze vendor lock-in

De risico's zijn tweeledig:

1. Spionage en Inzage

IT-expert Bert Hubert merkte scherp op: 'Het is technisch niet moeilijk voor de Amerikaanse overheid om mee te lezen.' Met de veranderende politieke wind in Washington kan deze toegang gebruikt worden als politiek drukmiddel. Inzage in interne beleidsstukken over handel, defensie of economische strategie kan de Nederlandse onderhandelingspositie direct ondermijnen.

2. Continuïteit en Beschikbaarheid (De 'Kill Switch')

Wat gebeurt er als Microsoft of Amazon besluit - of door de Amerikaanse overheid gedwongen wordt - de dienstverlening te staken? In mei 2025 werd het Microsoft-account van de hoofdaanklager van het Internationaal Strafhof in Den Haag geblokkeerd, vermoedelijk als onderdeel van Amerikaanse sancties. Dit incident toont aan dat tech-reuzen ingezet kunnen worden als geopolitieke wapens.

De Algemene Rekenkamer kwam in januari 2025 met een vernietigend rapport: het Rijk is de grip op zijn ICT en data kwijtgeraakt door een ondoordachte en te snelle vlucht naar de cloud, zonder afdoende exit-strategieën.

 

Dit is het eerste deel uit de serie 'De Grote Cloud-Exodus', in samenwerking met Michel Heinst van Tech Outlet. Aankomende weken zullen de overige delen op de website verschijnen.

Over TechOutlet.eu

TechOutlet.eu is sinds 2014 specialist in enterprise IT-hardware voor de Benelux. Ze leveren EOL (End-of-Life) en nieuwe servers, workstations en laptops van merken als HP, Dell en Lenovo aan MKB, overheid en gezondheidszorg.

De focus ligt op:
 

  • Digitale Soevereiniteit: Hardware die u volledig bezit en beheert
  • Flexibiliteit: Keuze tussen EOL (kostenefficiënt) en nieuwe hardware (compliance)
  • Duurzaamheid: Optimaal benutten van hardware-levensduur
  • Kostenefficiëntie: Enterprise-kwaliteit voor MKB-budgetten
  • Snelle Levering: 24-uurs levering vanuit Nederlandse voorraad

Contact: Voor advies over uw cloud exit strategie en de benodigde hardware, neem contact op via www.techoutlet.eu

 

Lees meer

Het verschil tussen een DisplayPort en HDMI kabel
Het verschil tussen een DisplayPort en HDMI kabel
De rol van IT bij digitale ongelijkheid
De rol van IT bij digitale ongelijkheid
Unified Communications in 2025: trends en tools
Unified Communications in 2025: trends en tools
Data governance: cruciaal voor MKB
Data governance: cruciaal voor MKB
The Great Hack: wanneer data macht wordt
The Great Hack: wanneer data macht wordt
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie