Vast in de cloud
Van impasse
naar soevereineveerkracht
Europese organisaties bevinden zich op een cruciaal kruispunt in hun digitale transformatie. Waar digitalisering ooit synoniem stond voor efficiency, snelheid en innovatie, leidt het nu vaak tot onzekerheid en strategische verlamming. Cruciale beslissingen over cloud, AI, cybersecurity en IT-infrastructuur worden uitgesteld, omdat veel organisaties zich realiseren dat de volledige digitale infrastructuur grotendeels onder controle staat van Amerikaanse Big Tech.
TEKST: SANDER HULSMAN BEELD: WONDERWORKS
Peter Rietveld, board member bij de Dutch Cyber Warfare Community, beschrijft de situatie scherp: “We zijn in een impasse beland, niets doen is de enige foute keuze.” Tot voor kort leek de keuze voor de public cloud eenvoudig: goedkoper, veiliger en superieur qua functionaliteit. Maar het geopolitieke landschap heeft dat beeld drastisch veranderd. Europese organisaties realiseren zich dat hun data en applicaties grotendeels in handen zijn van Amerikaanse providers, waardoor een partner plotseling een potentieel risico wordt.
Gevaarlijke misvatting
De reflex is vaak zoeken naar snelle technische oplossingen. Encryptie bijvoorbeeld wordt vaak gepresenteerd als een wondermiddel. Het idee: versleutel je data, en alles is veilig. Rietveld waarschuwt echter dat dit een gevaarlijke misvatting is. “Encryptie is een krachtig hulpmiddel, maar encryptie is geen toverstaf die uw cloud soeverein maakt. Het probleem zit in ‘data in use’, die ontsleuteld moet worden op de servers van de provider. Zelfs double key encryption is in de praktijk beperkt toepasbaar en extreem complex.”
De kern van het probleem is dat de meeste organisaties niet voorbereid zijn op deze geopolitieke en operationele afhankelijkheid. De enige echte route is een geïnformeerde, strategische keuze en het ontwikkelen van hosting agility. Dit houdt in dat je voorbereid bent om systemen en data te verplaatsen als dat nodig is.
Vijf strategische paden naar soevereiniteit
Rietveld schetst vijf mogelijke strategische routes voor organisaties die hun digitale soevereiniteit willen versterken. De eerste route is eenvoudig, maar risicovol: doorgaan met de Amerikaanse cloud. Dit is de weg van minste weerstand. Organisaties behouden continuïteit, gebruiken vertrouwde systemen en profiteren van de vaardigheden van hun huidige IT-personeel. Maar het nadeel is groot: volledige afhankelijkheid van vendor lock-in, stijgende prijzen en blootstelling aan geopolitieke risico’s. Een organisatie die deze route kiest, handelt feitelijk op hoop, niet op kennis.
Een meer bedachtzame variant is US Cloud met gekwantificeerd risico. Hier blijven organisaties bij de Amerikaanse cloud, maar maken zij de risico’s inzichtelijk. Dit betekent dat men de kosten en inspanning berekent die nodig zijn om, mocht het nodig zijn, weg te migreren van de provider. Dit vereist volwassen management en een goede documentatie van de risicoanalyse. Het voordeel is dat het juridische en compliance-risico beter wordt beheerd en verborgen kosten zichtbaar worden; het nadeel is dat het geld kost zonder direct tastbare voordelen op korte termijn.
Het derde pad is Agile hosting, ook wel multi-cloud of portabiliteit genoemd. Organisaties ontwerpen hun systemen specifiek om workloads, databases en applicaties te verplaatsen tussen verschillende hostingproviders. Dit maximaliseert bedrijfscontinuïteit en veerkracht, en verkleint vendor lock-in. Maar het is technisch complex, kostbaar en vereist IT-specialisten die meerdere stacks beheersen. Bovendien betekent het hogere TCO (total cost of ownership) en continue planning en monitoring. Rietveld benadrukt: “Het gaat niet om de perfecte eindbestemming, maar om wendbaarheid: het vermogen om uw koers aan te passen wanneer de feiten veranderen.”
U moet van uw EU-provider eisen dat zij geen Amerikaanse staatsburgers in hun engineering- of securitystaf hebben, ook niet in de supply chain
Het vierde pad is kiezen voor een EU Cloud. Dit dekt het soevereiniteitsrisico volledig af en biedt een betere onderhandelingspositie door minder afhankelijkheid van Amerikaanse tech. Maar ook hier zijn uitdagingen: Europese providers bieden vaak minder features, hogere kosten en het kan zijn dat Amerikaanse software, zoals Entra/Azure AD of Okta, nog steeds nodig is. Rietveld waarschuwt: “U moet van uw EU-provider eisen dat zij geen Amerikaanse staatsburgers in hun engineering- of securitystaf hebben, ook niet in de supply chain.”
De laatste optie is een traditioneel ‘Made in Europe’-model: eigen datacenters, servers en Europese software. Dit minimaliseert het soevereiniteitsrisico en beperkt collateral damage bij aanvallen op cloudproviders van derden. De nadelen zijn bekend: hogere kosten, minder flexibiliteit en complexere beveiliging. Het doel blijft echter overal hetzelfde: wendbaarheid en voorbereid zijn op onverwachte scenario’s, in plaats van blind te vertrouwen op een enkele provider.
Mythes die verlammen
Naast strategische keuzes worstelen organisaties met drie hardnekkige mythes. De eerste mythe is dat encryptie uw data volledig beschermt. Dit geldt alleen voor data ‘at rest’ of ‘in transit’, niet voor ‘data in use’. Zodra een applicatie de data gebruikt, kan de provider of een overheidsinstantie volledige toegang krijgen. Rietveld stelt hierover: “Vertrouwen op standaardencryptie is het slot op de deur laten zitten, terwijl de beheerder een loper heeft.”
De tweede mythe is dat double key encryption (DKE) een werkbare oplossing biedt. In de praktijk is dit een niche-oplossing die alleen werkt voor Office-documenten en online veel frictie oplevert. Het is extreem complex en nauwelijks toepasbaar voor een hele organisatie.
De derde mythe is dat Amerikaanse tech simpelweg superieur is. Rietveld nuanceert dit: “Veel van de kerntechnologieën die de moderne cloud aandrijven, zijn grotendeels open source. Het ‘superieure’ ecosysteem is vaak een zorgvuldig opgebouwde confusopoly: een markt die gedijt op het onbegrip van de klant over wat hij koopt en tegen welke prijs.”
De conclusie is duidelijk: deze mythes bieden een excuus om de echte, strategische discussie uit te stellen. De enige weg vooruit is een geïnformeerde, omkeerbare beslissing, gebaseerd op risico en de noodzaak voor hosting agility.
Het eerste gebod is op de hoogte zijn, het tweede een paper trail aanleggen daarvan
Het 90%-probleem: ongestructureerde data
Een van de grootste uitdagingen voor digitale soevereiniteit is de ongestructureerde data, die volgens Rietveld tot 90% van alle data in een organisatie uitmaakt. Dit zijn e-mails, OneDrive-bestanden, Teams-chats, downloadmappen van thuiswerkers; data die zich grotendeels aan informatiemanagement onttrekt. Veel organisaties leven in de illusie van controle: CRM- en HR-systemen zijn beschermd, en alles daarbuiten wordt vaak genegeerd.
Het risico wordt duidelijk wanneer Amerikaanse autoriteiten via de Cloud Act toegang tot uw clouddata vorderen: alle data wordt meegenomen, inclusief de 90% die u niet in beeld heeft. Rietveld noemt dit “een idiote naam die we ons aangemeten hebben. We beveiligen systemen waarvan we vermoeden dat er informatie op staat.”
Geopolitieke en bestuurlijke dimensies
Rietveld belicht de diepere, geopolitieke context. Hij stelt: “Met de nieuwe Amerikaanse president en zijn koers ten aanzien van de EU gaan we van bondgenoot naar vazal, of tegenstander.” Het is een waarschuwing voor de zakelijke implicaties: ingebouwde softwarefuncties, zoals Windows 11-updates met BitLocker, kunnen als ‘killswitch’ functioneren en data ontoegankelijk maken.
De bestuurlijke uitdaging is minstens zo groot. Rietveld benadrukt: “Het eerste gebod is op de hoogte zijn, het tweede een paper trail aanleggen daarvan.” Kleine organisaties hebben vaak noch expertise, noch budget om dit volledig zelf te doen, waardoor ze afhankelijk zijn van externe partijen. Dit vergroot het risico op fouten of kostbare migraties.
Praktische stappen
Rietveld adviseert een methodische aanpak om risico’s beheersbaar te maken. Hij pleit voor zaakgericht werken, waarbij losse bestanden gelabeld worden en gekoppeld aan dossiers. Dit maakt geavanceerde beveiligingsmaatregelen mogelijk en schept overzicht over ongestructureerde data. Voor de CISO is het essentieel om de discussie over bestuurlijke aansprakelijkheid te voeren: wie neemt verantwoordelijkheid bij data-incidenten of vendor lock-in?
Daarnaast benadrukt hij het belang van kosteninzicht. “Alles begint met omdenken. Een kostprijs is niet alleen out-of-pocket money, het is ook exitkosten, uitwijkkosten, etc. De CISO moet bij uitstek bedrijfsmatig denken en argumenteren.”
Tot slot waarschuwt hij voor monopolies in de cloudmarkt: “Olifanten doen het met olifanten. Als je leverancier de baas is, dan moet je een ander kiezen. Too big to fail verstoort marktwerking, het wordt dan niet meer beter maar wel duurder. Monopolies maken de markt, de economie en dus op enig moment ook jouw bedrijf kapot.”
Veerkracht door soevereiniteit
Het dilemma van Europese organisaties is niet alleen technisch, maar diep geopolitiek en bestuurlijk. Stilstaan is geen optie. De combinatie van geopolitieke onzekerheid, ongestructureerde data, de dominantie van Amerikaanse tech en mythes over encryptie vereist een geïntegreerde strategie. Hosting agility, bestuurlijke discipline, inzicht in data en een geïnformeerde, omkeerbare keuze vormen de kern van een veerkrachtige, soevereine IT-strategie.
Door deze aanpak kunnen organisaties navigeren tussen vendor lock-in, geopolitieke druk en operationele risico’s, terwijl ze hun digitale veerkracht en strategische autonomie versterken. Het is een uitdagende weg, maar noodzakelijk voor wie de toekomst van het bedrijf in eigen handen wil houden. 
Peter Rietveld
Met meer dan 30 jaar ervaring in IT- en cybersecurity heeft Peter Rietveld gewerkt van Enterprise Architecture tot red teaming, en van cryptografie tot security service delivery. Hij heeft grote organisaties zoals Ahold Delhaize, Microsoft, Shell en DaimlerChrysler geadviseerd en diverse securityteams en diensten opgezet, van 24/7 SOC’s tot competence centers. Rietveld is Principal Consultant bij Traxion, Security Architect IT/OT bij TenneT en bestuurslid van de Dutch Cyber Warfare Community. Hij publiceerde drie boeken, meer dan 300 artikelen en geeft regelmatig lezingen over cybersecurity.