Wat kunnen overheidsorganisaties doen om hun digitale soevereiniteit te vergroten?

Medio mei 2025 was er in de media consternatie over het ontzeggen van toegang tot de Microsoft e-mail van de hoofdaanklager van het Internationaal Strafhof in Den Haag (ICC) door Microsoft. Het probleem ligt vermoedelijk bij sancties die de Verenigde Staten in februari aan het ICC oplegde, maar hoe en waarom precies is tijdens het schrijven van dit blog nog niet volledig duidelijk,. Wel is het zeker dat de toegang tot Microsoft diensten voor de rest van het ICC niet in gevaar is geweest ⁽¹⁾.

Ontzeggen van toegang

Terecht of onterecht, het ontzeggen van toegang tot clouddiensten is iets wat al langer speelt ⁽²⁾, vaak bij privé personen en meestal bij (Amerikaanse) Tech bedrijven zoals Microsoft, Apple, Meta en Google wanneer deze tech-reuzen vinden dat de TOS (Terms of Service) wordt overtreden. Personen gebruiken foto, e-mail- en documenten-opslag binnen de clouddiensten zonder rekening te houden met de mogelijkheid dat je de toegang kan verliezen. Na jaren gebruik kan dit een zeer zwaar verlies zijn van een account waar je vaak zeer moeilijk weer toegang tot kan krijgen nadat je bent afgesloten.

Desalniettemin heeft de recente media-aandacht een mogelijke kwetsbaarheid van Nederlandse (semi) overheden in relatie tot afhankelijkheid van (Amerikaanse) clouddiensten onmiskenbaar blootgelegd. Het publieke en politieke debat werpt een scherp licht op de mogelijke risico’s voor de digitale soevereiniteit wanneer cruciale IT-diensten onder buitenlandse zeggenschap vallen.

Het begrip ‘soevereiniteit’ komt dan ook vaak naar voren in deze discussies en wordt ook uitgebreid besproken in de Tweede Kamer en bijvoorbeeld in het rapport van de algemene rekenkamer “Het Rijk in de Cloud”. Maar wat bedoelen ze nu eigenlijk met dit begrip? De algemene rekenkamer hanteert de volgende definitie: Digitale soevereiniteit is het vermogen om autonoom te kunnen beslissen en handelen over de essentiële digitale aspecten in economie, maatschappij en democratie. ⁽³⁾

De centrale vraag is dan ook: wat kunnen overheidsorganisaties nu concreet doen om deze risico’s te beheersen en hun digitale soevereiniteit te vergroten? En meer specifiek hoe borg je soevereiniteit als je zakelijk gebruik maakt van Microsoft 365?

Risico analyse

Voor overheidsdiensten is het essentieel om te starten met een risico analyse wanneer zij gebruikmaken van (Amerikaanse) clouddiensten, want hoewel deze diensten vaak worden gepositioneerd als ‘EU-dataresident’, blijven ze uiteindelijk onder zeggenschap van een Amerikaans moederbedrijf. Dit creëert een reeks risico’s die verder gaan dan alleen de technische beveiliging.

De risico analyse moet ten minste de volgende drie dimensies omvatten:

1. Juridische risico’s
   Het “Rijksbreed cloudbeleid 2022” geeft duidelijke regels voor verantwoord cloud gebruik binnen de overheid. Er zijn 11 specifieke voorwaarden opgesteld waaraan moet worden voldaan voordat de publieke cloud gebruikt mag worden. Belangrijke voorwaarden zijn bijvoorbeeld dat er tot en met departementaal vertrouwelijke informatie opgeslagen mag worden maar geen staatsgeheimen en in principe ook geen bijzondere persoonsgegevens. Daarnaast moet er een risico analyse worden uitgevoerd en een cloud en exit-strategie worden bepaald. Uiteraard moeten persoonsgegevens in principe binnen de EER worden verwerkt. Ondanks dat data fysiek binnen de EER wordt opgeslagen blijft het risico bestaan dat Amerikaanse wetgeving zoals de Cloud Act ertoe leidt dat deze data toch toegankelijk moet worden gesteld aan Amerikaanse autoriteiten.. Het huidige cloudbeleid wordt herzien en voorgelegd aan de Tweede kamer. Wij verwachten dan ook dat er extra aandacht komt voor dit specifieke risico.
2. Operationele risico’s
   In geopolitiek gespannen situaties (zoals handelsoorlogen, sancties of cyberconflicten) bestaat het risico dat toegang tot bepaalde clouddiensten tijdelijk of permanent wordt beperkt. Dit kan de continuïteit van essentiële overheidsprocessen ernstig in gevaar brengen.
3. Beveiligingsrisico’s
   Hoewel cloudproviders over het algemeen zelf al technische beveiligingsmaatregelen treffen, is de afhankelijkheid van één leverancier of ecosysteem op zichzelf een kwetsbaarheid. Een verstoring bij de leverancier (zoals een breach, insider threat of misconfiguratie) kan directe impact hebben op meerdere diensten tegelijkertijd.

Wat gebeurt er als de toegang tot kritieke gegevens wordt geblokkeerd? Zijn er alternatieven beschikbaar binnen Europese of soevereine (cloud) omgevingen? Kunnen kernprocessen snel worden overgezet? Het uitvoeren van een realistische risicoanalyse is daarom geen papieren exercitie, maar een noodzaak om bestuurlijke weerbaarheid te versterken.

Een dergelijke risicoanalyse vormt niet alleen de basis voor strategische besluitvorming over cloudgebruik, maar zou ook richtinggevend moeten zijn voor het opstellen van een crisis- en exit strategie.

Crisis en -Exit strategie

Heldere en proactieve communicatie richting stakeholders in de organisatie zoals directie, juridische afdeling, informatiebeveiliging en beleidsmakers is dan ook essentieel om draagvlak te creëren voor eventuele wijzigingen in het gebruik van clouddiensten. SoftwareOne adviseert om in kaart te brengen welke kernprocessen afhankelijk zijn van specifieke (Amerikaanse) clouddiensten en om de verwachtingen te managen over de haalbaarheid en impact van plotseling of gedwongen overstappen naar alternatieve diensten.

Diversificatie van leveranciers: Voor overheidsdiensten die sterk leunen op één enkele Cloud aanbieder (zoals Microsoft) is het verstandig om actief te kijken naar diversificatie van leveranciers. Om zo de afhankelijkheid te spreiden of om de continuïteit van cruciale processen beter te waarborgen in geval van storingen, escalaties of beleidswijzigingen bij de aanbieder.

Denk bijvoorbeeld aan het combineren van Microsoft 365 met oplossingen zoals:

• Inzet van Open-source software voor samenwerking of opslag;
• Kritieke diensten en applicaties verhuizen of schaduw draaien in EU-data centers;
• Behoud van hybride omgevingen waarbij gevoelige data on-premises blijft.

De recente ontwikkelingen vormen voor veel organisaties een logisch moment om hun eigen beleid rond digitale infrastructuur en cloudgebruik te herzien. Dit betekent niet alleen toetsen of huidige keuzes nog voldoen aan juridische en operationele eisen, maar ook vooruitkijken: zijn er alternatieven beschikbaar die beter aansluiten bij de strategische waarden van de organisatie, zoals privacy, autonomie en compliance?

Het opnemen van principes als ‘privacy by design’ en ‘sovereign cloud-first’ in het IT-beleid naast de security strategie helpt om bewuster te sturen op veilige en toekomstbestendige keuzes, zonder in te boeten op innovatie of productiviteit.

Veiligheid en cryptografie

Het zelf of extra versleutelen van de eigen data is een van de krachtigste middelen die organisaties kunnen inzetten om informatie te beschermen tegen ongewenste toegang van met name buitenlandse overheden. Encryptie vormt daarmee een belangrijke verdedigings-laag tegen mogelijke druk of juridische vorderingen vanuit andere staten, waaronder de VS.

Binnen Microsoft diensten worden gegevens al versleuteld door Microsoft met behulp van Microsoft encryptie sleutels (zogenaamde Microsoft Managed Keys). Voor organisaties die meer controle willen, is het mogelijk om eigen encryptie-sleutels te gebruiken bijvoorbeeld via een Azure Key Vault een aanpak die bekend staat als Bring Your Own Key (BYOK). Dit betekent dat de organisatie zelf het beheer over de sleutels houdt, waardoor Microsoft de encrypties sleutels in principe niet zelfstandig kan gebruiken.

Voor nog meer onafhankelijkheid is er ook een mogelijkheid om de sleutels volledig buiten Microsoft te beheren (Hold Your Own Key, HYOK). Deze aanpak biedt maximale controle, maar vereist wel meer technische kennis en een eigen beveiligde infrastructuur.

Het is belangrijk om te beseffen dat versleuteling weliswaar extra beveiliging biedt, maar niet beschermt tegen situaties waarbij Microsoft zelf besluit om contracten stop te zetten of toegang tot diensten te blokkeren. Encryptie is dus een waardevolle maatregel binnen een breder geheel van risicobeheersing, maar geen volledige oplossing op zichzelf.

Data-lokalisatie

Om gevoelige informatie beter te beschermen en de naleving van bestaande wetgeving te waarborgen, is het voor overheidsdiensten steeds belangrijker om bewust om te gaan met waar data wordt opgeslagen en verwerkt. De Algemene Verordening Gegevensbescherming (AVG) stelt al strikte eisen aan de omgang met persoonsgegevens, en met de aankomende NIS2-richtlijn komen daar extra verplichtingen bij voor organisaties die onderdeel uitmaken van de vitale infrastructuur.

• Het lokaal houden van data binnen de grenzen van de Europese Unie helpt niet alleen om beter grip te houden op wie toegang heeft tot die informatie, maar verkleint ook het risico dat gegevens onder buitenlandse jurisdictie vallen, zoals die van de Verenigde Staten. Dit maakt het moeilijker voor externe mogendheden om via juridische wegen toegang af te dwingen tot vertrouwelijke overheids- of bedrijfsinformatie.
• Er zijn inmiddels meerdere Europese Cloud-providers die expliciet opereren buiten het bereik van niet-Europese wetgeving. Voor organisaties kan het inzetten van zulke diensten bijdragen aan een robuustere privacy strategie én de bredere ambitie ondersteunen om digitale soevereiniteit binnen Europa te versterken.

De hierboven gedefinieerde aanpak is toegespitst om overheidsorganisaties te bewegen de komende tijd concrete stappen te zetten zonder direct volledig afscheid te nemen van Microsoft 365, maar wel met grip op de situatie en een duidelijk fall-back scenario waarbij het doel is om wendbaarheid en digitale soevereiniteit op-te-bouwen, zonder operationele verstoringen.

SoftwareOne adviseert al jarenlang overheidsdiensten op het snijvlak van technologie, veiligheid en governance waarbij we rekening houden met de geldende wet en -regelgeving en op de hoogte zijn van het actuele beleid. Op korte termijn ziet SoftwareOne vooral een taak weggelegd voor informatiespecialisten binnen de overheid, personen die een beeld hebben of kunnen creëren van waar data zich bevindt en hoe om te gaan met een eventuele calamiteit op het gebied van data.

⁽¹⁾https://ibestuur.nl/artikel/microsoft-bevestigt-loskoppeling-icc-hoofdaanklager-van-diensten

⁽²⁾https://tweakers.net/reviews/9094/account-geblokkeerd-wat-nu.html

⁽³⁾ Het Rijk in de cloud | Rapport | Algemene Rekenkamer