"Waarom individuele actie tekortschiet en Europa een collectief antwoord nodig heeft"
Laatst moest ik naar de tandarts. De afspraakbevestiging kwam via een Outlook-uitnodiging. Mijn gebit zit dus in de Amerikaanse cloud. Op LinkedIn zou deze tandarts worden afgefakkeld. Gezondheidsgegevens bij Big Tech! Weet ze wel dat Microsoft onder de CLOUD Act valt? Heeft ze een DPIA gedaan? Iemand zou een screenshot maken, er een post van maken met het woord "schandalig" erin, en drieduizend likes verder weet heel Nederland dat tandartsen het probleem zijn.
Maar mijn tandarts is niet het probleem. Mijn tandarts doet wat wij allemaal doen.
In mei 2025 onderzocht de NOS 1.722 websites van Nederlandse overheidsorganisaties en cruciale bedrijven. Het resultaat: op precies één na gebruikten ze allemaal minstens één Amerikaanse clouddienst. Die ene uitzondering was de gemeente Hardinxveld-Giessendam, en die bleek bij navraag ook gewoon via de Drechtsteden op Amerikaanse cloud te draaien. De teller staat op nul.
Negen van de vijftien ministeries vergaderen via Microsoft Teams of Webex. De Autoriteit Financiële Markten, het Veiligheidsberaad, De Nederlandsche Bank, de politie; allemaal op Amerikaanse infrastructuur. De VS zou, aldus datzelfde NOS-onderzoek, met één druk op de knop ruim 650 Nederlandse overheidssites kunnen blokkeren of manipuleren. Inclusief Crisis.nl, de site waar burgers naartoe worden gestuurd bij rampen.
En ondertussen escaleert de geopolitieke context. De Verenigde Staten legden sancties op aan de aanklager van het Internationaal Strafhof in Den Haag, wat later werd uitgebreid naar rechters en aanklagers. Visumrestricties volgden voor voormalig Eurocommissaris Thierry Breton en vier anderen wegens hun rol bij de Digital Services Act. Microsoft verstrekte namen van Nederlandse ambtenaren die werken aan de uitvoering van de DSA aan het Amerikaans Congres. En toen het Amerikaanse Kyndryl het Nederlandse Solvinity wilde overnemen — hoster van DigiD — brak een publieke storm los. Er werden kort gedingen aangespannen om het DigiD-contract te beëindigen. De Tweede Kamer nam een motie aan met 141 stemmen tegen verlenging. De opluchting was voelbaar toen het kabinet de overname uiteindelijk blokkeerde via de Wet ongewenste zeggenschap telecommunicatie.
Maar diezelfde Tweede Kamer vergadert via Microsoft. Diezelfde overheid draait op Azure. En datzelfde Kyndryl bouwt op dit moment de complete IT-infrastructuur van het ministerie van Defensie om.
En het gaat niet alleen om infrastructuur. Medio juni plaatste de VS de meest geavanceerde AI-modellen Mythos en Fable van Anthropic op de Amerikaanse exportcontrolelijst. Niet-Amerikanen hebben er geen toegang meer toe. Geen sanctie, geen rechtszaak, geen politiek conflict: één exportregeling, en een technologie die gisteren beschikbaar was, is vandaag verboden terrein. Als dat kan met een AI-model, kan het met elke dienst die op Amerikaans grondgebied wordt beheerd.
Iedereen voelt dat dit wringt. Maar bijna niemand beweegt. Niet uit onwil, niet uit onwetendheid, maar omdat digitale soevereiniteit een collectief probleem is dat je niet individueel kunt oplossen.
Laten we beginnen bij wat in het publieke debat steeds wordt overgeslagen: het juridische fundament. Europa doet al dertig jaar alsof de Verenigde Staten een veilige bestemming zijn voor persoonsgegevens. Dat begon in 2000 met het Safe Harbor-verdrag, dat in 2015 door het Hof van Justitie werd vernietigd in Schrems I. De opvolger, het Privacy Shield, sneuvelde in 2020 in Schrems II. In 2023 nam de Europese Commissie voor de derde keer een adequaatheidsbesluit: het EU-US Data Privacy Framework. Driemaal is scheepsrecht, kennelijk.
Zolang dat besluit staat, mogen persoonsgegevens naar de VS worden doorgegeven zonder aanvullende waarborgen, mits de ontvangende partij gecertificeerd is onder het Framework. Microsoft, Google en Amazon zijn dat. Mijn tandarts met haar Outlook-agenda is niet in overtreding van de AVG. Een ziekenhuis op Azure evenmin. Een gemeente die via Teams vergadert al helemaal niet.
Dat dit derde adequaatheidsbesluit net zo kwetsbaar is als zijn voorgangers, weten we. Het Franse Kamerlid Philippe Latombe vocht het aan bij het Gerecht van de EU, maar werd in september 2025 niet-ontvankelijk verklaard. Hij heeft hoger beroep aangetekend bij het Hof van Justitie. En Max Schrems heeft te kennen gegeven een derde zaak niet uit te sluiten. Maar tot de CLOUD Act en de Amerikaanse sanctiebevoegdheid het Hof spreekt, is het kader geldig. Je kunt individuele organisaties niet verwijten dat ze het kader volgen dat Europa zelf heeft neergezet.
Wat we wél kunnen vaststellen is dat de verontwaardiging niet alleen over privacy gaat. Ze gaat over blootstelling. De sancties tegen ICC-functionarissen, de dreigementen richting DSA-ambtenaren, de namenlijsten bij het Congres. Dat zijn geen abstracte risico's meer. Het zijn demonstraties van een machtspositie die we zelf hebben gecreëerd door onze complete digitale infrastructuur te bouwen op Amerikaanse fundamenten. De boosheid gaat niet echt over die specifieke ambtenaren of over Breton die niet meer naar de VS kan vliegen. De boosheid gaat over de plotselinge, oncomfortabele confrontatie met hoe afhankelijk we zijn. Het is, als we eerlijk zijn, deels schaamte die naar buiten wordt gericht.
En die schaamte leidt tot incidentgedreven reacties. Solvinity moest geblokkeerd worden. De structurele afhankelijkheid die het probleem veroorzaakt, blijft intact. Ik schreef elders uitgebreid over de juridische houdbaarheid van dat overnameverbod. De kern: als de reden zijn om Kyndryl te blokkeren als eigenaar van Solvinity, dan geldt dat argument voor élke Amerikaanse dienstverlener aan de Nederlandse overheid. Maar datzelfde Kyndryl legt de IT-infrastructuur voor Defensie aan. Dat kan niet daar een beheersbaar compliance-issue zijn en bij DigiD een onaanvaardbare schending van de Nederlandse soevereiniteit. De inconsistentie is het bewijs dat we geen kader hebben, maar alleen reflexen.
Het helpt ook niet dat niemand hetzelfde bedoelt met "soevereiniteit." Voor de een is het een contract met een Europees bedrijf. Voor de ander betekent het dat de supportmedewerker in India niet bij je mailbox kan. Weer een ander accepteert niets minder dan dat de NAND-chips in de server in Dresden zijn geëtst. Die niveaus schelen onderling een factor tien in kosten en een factor honderd in complexiteit, maar in het debat worden ze vrolijk door elkaar gebruikt. Het resultaat is dat de maximalist elke pragmatische stap afdoet als schijnoplossing, terwijl de pragmatist het jurisdictierisico wegwuift als theoretisch. Beiden hebben ongelijk. Het is precies deze begripsverwarring die maakt dat niemand beweegt: zelfs als je wílt, weet je niet waarheen.
Als het probleem zo breed wordt erkend, waarom handelt dan bijna niemand? Het antwoord is niet laksheid of onwetendheid. Het is een klassiek collectiefactieprobleem met drie versterkende mechanismen.
Microsoft 365 is geen product, het is het weefsel van professionele samenwerking in Europa. Je kunt niet overstappen zonder dat je hele keten meekomt: klanten, leveranciers, samenwerkingspartners, brancheorganisaties. Ons eigen kantoor, een kantoor dat organisaties adviseert over digitale wetgeving, draait op Microsoft. Niet omdat we het risico niet kennen, maar omdat overstappen in isolatie ons afsnijdt van het ecosysteem waarin we opereren. Zoals Claude zou zeggen: dat is geen zwakte, dat is een marktstructuur. En voor één keer heeft de taalcomputer gelijk.
De kosten van overstappen zijn direct, meetbaar en zeker: licenties, migratie, productiviteitsverlies, omscholing, compatibiliteitsproblemen. De baten — minder afhankelijkheid, minder extraterritoriaal risico — zijn diffuus, onzeker en langetermijn. Geen bestuurder, geen CFO, geen gemeenteraad tekent voor: "we worden dit kwartaal 20% minder productief zodat we over vijf jaar misschien minder kwetsbaar zijn voor een risico dat zich misschien niet materialiseert." Dat is geen kortzichtigheid. Dat is rationeel handelen onder onzekerheid.
Wie als eerste overstapt, draagt alle kosten en oogst geen baten. Het Europese alternatief wordt pas levensvatbaar als genoeg partijen overstappen om het ecosysteem te dragen. Maar niemand wil de eerste zijn, want de eerste betaalt het meest en profiteert het minst. Dit is het prisoner's dilemma op continentale schaal, en de conclusie is bekend: zonder coördinatiemechanisme beweegt niemand.
De parallel met klimaat is verhelderend. We hebben het klimaatprobleem niet opgelost door burgers te vertellen dat ze minder moeten vliegen. We hebben het (deels, moeizaam) geadresseerd met emissiehandel, subsidies voor hernieuwbare energie, bouwvoorschriften en industriebeleid. Niemand verwachtte dat individuele huishoudens uit eigen beweging van gas zouden stappen zolang er geen warmtenet lag. Bij digitale soevereiniteit verwachten we precies dat: dat individuele organisaties eigenhandig migreren naar alternatieven die nauwelijks bestaan, in een ecosysteem dat niet op hen wacht, tegen kosten die ze alleen dragen.
Dat is geen realistisch beleid. Dat is de illusie van actie.
Het zou oneerlijk zijn om te zeggen dat er niets beweegt. Op 3 juni 2026 publiceerde de Europese Commissie het voorstel voor de Cloud and AI Development Act (CADA), als onderdeel van het bredere Tech Sovereignty Package. De CADA introduceert een vier-lagen classificatiesysteem voor cloud- en AI-diensten. Kritieke dienstverlening (denk aan overheidsinfrastructuur, gezondheidsdata, justitiële systemen) mag alleen worden ingekocht op de twee hoogste niveaus. Daar geldt een certificeringsplicht, en soevereiniteit is een harde eis: juridische en operationele onafhankelijkheid van derdelandsjurisdicties. Een Amerikaans bedrijf dat onder de CLOUD Act valt, kan daar naar de letter van het voorstel niet aan voldoen.
Dat is een serieuze stap. Het is voor het eerst dat de EU een horizontaal kader voorstelt dat soevereiniteitseisen codificeert in plaats van ze per sector of per incident te improviseren. En het is een aanbestedingsplicht, niet slechts een raamwerk: bij de eerstvolgende verlenging van een contract moet de toets worden doorlopen.
Maar er zijn beperkingen die eerlijke benoeming verdienen.
Allereerst dekt de CADA alleen public procurement. De private sector, waar het overgrote deel van de digitale economie draait, valt erbuiten. Mijn tandarts, elk MKB-bedrijf, elke private zorginstelling: voor hen verandert er niets.
Ten tweede gaat dit nog wel even duren. Parlement en Raad moeten er wat van vinden, en dit is me een partij politiek gevoelig. Trilogue-onderhandelingen hoeven we niet te verwachten eerder dan het vierde kwartaal van 2027. Na goedkeuring volgt een implementatieperiode. De eerste effecten zijn dus op zijn vroegst in 2029 voelbaar, krap een jaar voordat het Digital Decade-programma zijn einddatum bereikt.
En het is een voorstel. Big Tech heeft al het geld van de wereld, en de eerste legioenen aan lobbyisten lopen zich al warm. Wat er uiteindelijk uit de trilogue komt, hoeft niet te lijken op wat er in juni 2026 is ingediend.
Naast de CADA zijn er sectorale initiatieven. DORA stelt in de financiële sector eisen aan outsourcing naar clouddienstverleners, inclusief exit-strategieën. NIS2, heel positief gelezen, biedt voor de kritieke sector aanknopingspunten om soevereiniteitseisen te stellen. De Data Act bevat bepalingen over overstapbaarheid van clouddiensten. Maar DORA geldt alleen voor financieel, NIS2 is primair een cybersecuritywet, en de Data Act-bepalingen over cloudswitching missen tanden zolang er geen concurrerende Europese alternatieven zijn.
Het kernprobleem is helder: Europa heeft wél het besef dat digitale afhankelijkheid een strategisch risico is, maar nog niet het instrumentarium om dat risico structureel te adresseren voor de volle breedte van de economie.
DORA doet het voor financieel. De CADA straks voor publieke aanbestedingen. NIS2, met goede wil, voor de kritieke sector. Maar waarom zou een ziekenhuis dat buiten NIS2 valt, een school, of een logistiek bedrijf niet dezelfde exit-strategie-eis verdienen? Het risico van een Amerikaans sanctiebevel dat een clouddienst stilzet, discrimineert niet naar sector. De eis om dat risico te beheersen zou dat ook niet moeten doen.
Je kunt pas verwachten dat organisaties bewegen als er iets is om naartoe te bewegen. Dat vereist Europese cloudstandaarden die lock-in doorbreken, zodat migreren van Azure naar een Europees alternatief niet een tweejarig project is maar een operationele keuze. De Data Act zet hier een eerste stap met switchingrechten, maar die blijven tandeloos zonder volwassen alternatieven en zonder afdwingbare standaarden.
Europa heeft geen concurrerend cloud-ecosysteem, niet omdat Europese ingenieurs minder capabel zijn, maar omdat er nooit serieus in is geïnvesteerd. De hyperscalers hebben twee decennia en honderden miljarden voorsprong. Die kloof dicht je niet met regelgeving alleen. Dat vereist industriebeleid van het kaliber Airbus.
En hier wordt het oncomfortabel. Als we het echt menen met soevereiniteit, moeten we niet de tandarts aanpakken maar Microsoft, Apple en Google. Waarom gaat er telemetrie van Europese overheidsapparatuur naar servers in de VS? Waarom hebben servicemedewerkers vanuit India toegang tot Europese mailboxen? Dat zijn de vragen die gesteld moeten worden, niet aan mijn tandarts, maar aan de partijen die deze diensten leveren en aan de toezichthouders die erop moeten toezien.
Maar ook dát is ingewikkelder dan het klinkt. Boetes kunnen de hyperscalers dragen, het zijn afrondingsfouten op hun kwartaalcijfers. En verboden raken vooral de gebruiker: als Apple drie maanden niet mag opereren in Europa, ligt de creatieve sector drie maanden plat. Handhaving tegen Big Tech vereist instrumenten die pijn doen bij het bedrijf zonder de afnemer te verlammen. Dat is geen onmogelijke opgave, maar het is ook geen eenvoudige.
Dit is het punt dat in het publieke debat consequent wordt vermeden. Digitale soevereiniteit is geen gratis bijproduct van goede regelgeving. Het is een investering in strategische autonomie, vergelijkbaar met defensie of waterbeheer.
Nederland geeft jaarlijks miljarden uit aan waterkeringen. Niet omdat de zee morgen binnenkomt, maar omdat de kosten van niet-handelen exponentieel hoger zijn dan de kosten van preventie. Diezelfde calculus geldt voor digitale infrastructuur. Het verschil is dat de zee zichtbaar is en de digitale afhankelijkheid niet, tot het moment dat een Amerikaans sanctiebevel 650 overheidswebsites op zwart zet.
Mijn tandarts boort gaatjes, plaatst kronen, en doet dat uitstekend. Ze is niet opgeleid om geopolitieke risico's van cloudinfrastructuur te beoordelen, en ze heeft geen alternatief dat dezelfde functionaliteit biedt als haar huidige praktijksoftware. Als we van haar verwachten dat ze eigenhandig Europese digitale soevereiniteit realiseert door over te stappen op een e-mailprovider waar haar patiënten, haar beroepsvereniging en haar leveranciers niet op zitten, dan verwachten we iets onredelijks.
Het probleem is niet dat individuele organisaties verkeerde keuzes maken. Het probleem is dat Europa geen kader heeft gebouwd waarin de juiste keuze ook de makkelijke keuze is.
De CADA is een eerste stap. Er moeten er meer komen. Voor de private sector, voor het MKB, voor iedereen die niet groot genoeg is om dit zelf op te lossen. Het doel is niet een digitaal IJzeren Gordijn. Zulke Europese marktafscherming zou innovatie schaden en kosten verhogen. Het doel is een marktstructuur waarin Europese alternatieven levensvatbaar zijn, overstappen reëel is, en strategische afhankelijkheden beheerst in plaats van genegeerd worden.
Stop met het uitpakken van tandartsen. Stop met incidentgedreven verontwaardiging bij elke volgende overname. Begin met het bouwen van een digitale dijk.
Dit essay is onderdeel van de Barometer Digital Decade 2026, waarin wij de digitale volwassenheid van 516 Nederlandse organisaties hebben onderzocht. We keken naar acht sectoren en toetsten hun gereedheid voor zeven Europese wetten: AVG, AI Act, NIS2, DORA, Cyber Resilience Act, Data Act en EHDS. De conclusie: bijna de helft is onvoldoende voorbereid. Maar zoals Arnoud Engelfriet in dit essay betoogt, ligt de oorzaak niet bij individuele organisaties, het is een structureel probleem dat om een collectief Europees antwoord vraagt.
In de volgende editie kijken we niet alleen naar de stand van zaken, maar ook naar de voortgang. Welke sectoren hebben de basis op orde gebracht? Welke wetten zijn gehandhaafd? En, in het verlengde van bovenstaande essay: heeft Europa stappen gezet om de soevereiniteitsparadox te doorbreken? Wil je bijdragen aan de volgende editie? De Roadmap blijft open.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.