(On)bewust afhankelijk: risicomanagement in de cloudmarkt van 2026 

In dit artikel:

De cloudmarkt in 2026 staat onder druk door twee samenwerkende krachten: geopolitieke onzekerheid (vooral vanuit de VS) en de explosieve groei van AI, die rekenkracht, kapitaal en infrastructuur bij een klein aantal, grotendeels Amerikaanse, hyperscalers concentreert. Nederlandse organisaties — en in het bijzonder partijen die cruciale diensten leveren zoals energie, water, spoor en digitale overheid — zien daardoor hun afhankelijkheid van die platforms sterk toenemen en staan voor governance- en continuïteitsvragen.

Belangrijke aandachtspunten zijn vier dimensies van afhankelijkheid:
- Juridisch & compliance: onder welke jurisdictie valt data en welke wetten (bijv. de Amerikaanse Cloud Act) kunnen toegang door buitenlandse autoriteiten mogelijk maken? Wat zeggen contracten over vrijheid van handelen?
- Technisch: hoe robuust is de bedrijfsvoering bij uitval of eigendomsoverdracht van een leverancier; hoe draagbaar zijn workloads en hoe realistisch is migratie?
- Operationeel: wat is de impact van verstoringen en hoe snel zijn alternatieven inzetbaar?
- Economisch: hoe beïnvloedt afhankelijkheid aanbestedingen en leverancierskeuzes naast prijs en kwaliteit?

Het dossier rond de infrastructuurpartner van DigiD illustreert deze zorgen concreet. De overname van Nederlandse dienstverlener Solvinity door het Amerikaanse Kyndryl (nog onderwerp van onderzoek) zette Kamerleden en beheerders van kritische diensten met vragen op alle vier genoemde vlakken: datasoevereiniteit, continuïteit, portabiliteit en het ontbreken van duidelijke exitclausules. Even belangrijk werd de vraag wie toezicht houdt als de eigenaar van een vitale dienst verandert; maatschappelijk vertrouwen speelt daarbij mee naast technische risicoanalyse.

De kernboodschap is dat gebruik van Amerikaanse cloudplatformen op zichzelf geen probleem hoeft te zijn; het tekortschietende deel zit vaak in het ontbreken van expliciete strategieën om afhankelijkheid te beheersen. Een exitstrategie moet meer zijn dan een juridische clausule: het vraagt om uitgewerkte, geteste migratiepaden met concrete tijdslijnen en alternatieven. Risico’s zijn te zien als kans × impact; impliciete afhankelijkheid verhoogt onnodig risico, terwijl expliciet beheer — portabiliteit, contractuele waarborgen, redundante architectuur — risico’s reduceert.

Voor organisaties die deel uitmaken van de kritische infrastructuur gelden strengere eisen: daar kan een verstoring maatschappelijke schade veroorzaken. Hoewel de overheid werkt aan kaders voor digitale weerbaarheid, duren die trajecten. Daarom is het advies om niet te wachten op Den Haag maar binnen bestaande mogelijkheden eisen te stellen in aanbestedingen (datallocatie, juridische entiteit, exitclausules), migratiepaden contractueel vast te leggen en architecturen zo in te richten dat kritieke componenten niet bij één hyperscaler liggen (multi-cloud of hybride oplossingen).

De combinatie van geopolitieke onrust en AI-versnelling maakt afhankelijkheid tot een bewuste strategische keuze. Cloud-volwassen organisaties beantwoorden deze vragen proactief en ontwerpen contracten en architecturen met het uiteindelijke doel de continuïteit en soevereiniteit van vitale diensten te waarborgen. Dit betoog is een ingezonden bijdrage van Conclusion Mission Critical.