Rondom de digitale overheid luidt de noodklok. Ministeries, gemeenten, kritieke infrastructuur en private instellingen zijn op grote schaal afhankelijk geworden van Amerikaanse clouddiensten. De meest ambitieuze politici stellen dat een binnenlandse cloud ‘binnen handbereik’ is. Wacht ons een spoedige bevrijding van VS-hyperscalers? En is het alternatief voor deze buitenlandse public cloud wel volwassen genoeg?
Digitale soevereiniteit heeft meerdere stappen nodig. De Duitse deelstaat Sleeswijk-Holstein is al jaren hard aan het werk om van Microsoft af te komen. De eerste zet was de aankondiging in 2021 om over te stappen van Microsoft 365 naar LibreOffice. Vandaag de dag houden Windows-systemen en SharePoint-domeinen de dienstvoering nog steeds overeind, ook al is Exchange Server sinds eind 2025 de deur uit. Het moge duidelijk zijn: van Amerikaanse IT-infrastructuur kom je niet zomaar af.
Stukje bij beetje
De overname van DigiD-beheerder Solvinity door IBM-spinoff Kyndryl heeft de Nederlandse Tweede Kamer in rep en roer gebracht. Kamerleden verspreid over het gehele politieke spectrum stellen dat een alternatief voor Microsoft en Google Nederland digitaal onafhankelijk kan maken. NOS-cijfers laten zien dat een dergelijke autonomie een ommezwaai van jewelste vereist voor publieke instellingen. Grofweg 90 procent of meer van alle gemeenten, het onderwijs, ziekenhuizen, provincies, media en ‘vitale bedrijven’ zijn afnemers van Amerikaanse clouddiensten. Het gebruik varieert; de NOS spreekt van servers in beheer van Amerikaanse bedrijven, e-maildiensten of bijvoorbeeld Teams. De ingreep om van Amerika af te komen, is dus niet voor elke partij even impactvol.
Stukje bij beetje van Amerikaanse diensten afkomen, kan zeker. Kies een IT-component en er is een ‘open’ alternatief te bedenken. Let wel: dat betekent niet zozeer een Europees alternatief. Open-source componenten zijn voor initiatieven als European Alternatives even relevant om te noemen als Duitse, Zwitserse of Italiaanse providers. Dat is frappant, aangezien er geen ‘open-sourciaanse’ nationaliteit bestaat en de maintainers van de grootste open-source projecten veelal afkomstig zijn van de VS – of Rusland, of China, of andere landen waar Nederland liever niet van afhankelijk is.
Zonder open-source heeft Brussel echter momenteel geen verhaal klaarstaan. In haar ‘Call for Evidence’ hoopt de Europese Commissie dat een EU-brede aanpak van open-source ter bevordering van soevereiniteit en commerciële resultaten ontstaat.
Waar trek je de grens?
Europese equivalenten van de Amerikaanse hyperscalers zijn er niet, laat staan dat er een per Europees land bestaat. Hoewel een aanbieder als OVHcloud aan te dragen is als alternatieve beheerde locatie voor Azure, AWS of Google Cloud, is men niet vergelijkbaar met die diensten. Het ontbeert het reusachtige ecosysteem aan partners, is minder schaalbaar en het gebruiksgemak is nu eenmaal van een lager niveau, zeker bij de adoptie van nieuwe diensten. De realiteit is dat veel oplossingen de stap naar de cloud vergezellen van een vertrek uit on-prem. Denk aan Atlassian (Jira en Confluence), waarbij de ontwikkeling van het Data Center-product dit jaar stopt. Hierdoor zijn instanties die gebruikmaken van dergelijke tools afhankelijk van ondersteuning via EU-alternatieven van de public clouds.
Belangrijker is dat de discussie omtrent digitale soevereiniteit doorgaans te groot of te klein denkt. Zo zouden Nederlandse cloudondernemers volgens de NOS de politiek oproepen om “een begin te maken door over te stappen op een Nederlands e-mailsysteem of een Nederlandse cloud.” Het één is haalbaar op relatief korte termijn, het ander vergt mogelijk jaren aan migratievoorbereiding. Zie maar eens een systeem met diepe AWS-integraties over te hevelen naar een andere locatie. Hoewel cloud native principes het zouden toestaan om dezelfde containerised workloads elders te draaien, zegt dat niets over de afgenomen licenties, compatibiliteit en beschikbaarheid van applicaties, de schaalbaarheid of het gebruiksgemak. Een zelf opgetuigde variant vergt nieuwe expertise en wellicht een groter IT-team. Dit in tijden waarin overheidsbudgetten niet zomaar toenemen en personeel lastig te vinden is.
Bovendien: wat is nu soeverein? Moeten de serverchips tevens van Europese komaf zijn, en niet van Intel of AMD? Zijn soevereine AI-datacenters alleen mogelijk zonder Nvidia? Welke Linux-distributies vertrouwen we, enkel die van SUSE of ook van Red Hat, als ze maar door Europeanen worden beheerd? Indien er ruimdenkendheid is op die gebieden, mogen we ons opnieuw afvragen of opties zoals de AWS European Sovereign Cloud niet met een vergelijkbare argumentatie voldoende is.
Op papier een succes, maar een potentiële ramp
We nemen aan dat Sleeswijk-Holstein prima zonder Microsofts cloudomgeving draait en gaat draaien. Ook initiatieven bij de Franse overheid en het Internationaal Strafhof spreken tot de verbeelding. Ga de gehele IT-stack af en je kunt Europese endpoint security afnemen, open-source productiviteitssuites draaien en zelfs op Nederlandse DDoS-mitigatie vertrouwen. Niets ten nadele van deze oplossingen, maar best-of-breed of best-of-suite benaderingen zijn hierbij niet mogelijk. Wie kijkt naar de immense schaal van verijdelde DDoS-aanvallen door Cloudflare of Microsoft, houdt zijn hart vast als een kleinere partij met minder middelen dit moet doen. De vertrouwde spelers zijn niet alleen ballast voor de digitale afhankelijkheid, maar ook om bepaalde redenen prominent geworden. Als een soort vliegwiel hebben de schaal van het klantenbestand, het kapitaal uit licentie-inkomsten en het aangetrokken talent geleid tot volwassen producten die je niet zomaar vervangt.
Op sommige vlakken zullen Europese alternatieven prima Amerikaanse software vervangen. Daarbij is alleen niet te garanderen dat er op elk vlak een veilig, consistent en volwassen aanbod klaarstaat voor alles van networking tot AI-inferencing en van CRM-oplossing tot serverhardware. De realiteit is niet alleen dat IT-spelers uit de VS prominent zijn, maar dat het software-ecosysteem wereldwijd geïntegreerd is. Wie zich in de keuzes beperkt, moet bereid zijn tegen problemen aan te lopen. De vraag is of datalekken, downtime en dure legacyproducten op de lange termijn de zwakke plekken van onzorgvuldig gekozen alternatieven niet blootleggen. Het zal lastig zijn om dit als zodanig te bewijzen natuurlijk, maar de potentiële risico’s moeten duidelijk zijn voordat instanties van Amerikaanse oplossingen afstappen.
Verwacht in de komende jaren veel gemeenten, provincies, ministeries en andere instanties die ‘de stap’ naar soevereiniteit wagen. Ga er daarbij echter niet vanuit dat dit over één nacht ijs gaat, en al helemaal niet dat dit met een enkele vervanging klaar is. Alleen de kleinste organisaties met een spaarzame IT-inzet kunnen gemakkelijk van de Amerikaanse invloed af. Het idee om Europese softwareoplossingen te kiezen waar mogelijk, is verdedigbaar. Maar de verwachting dat dit geen pijn, moeite of tijd gaat kosten, is naïef. Om nog niet eens te spreken van alle potentiële onvoorziene negatieve gevolgen.