De Paradox van Digitale Soevereiniteit

Inleiding: Data is de nieuwe olie, maar wie controleert de pomp?

“Data is de nieuwe olie,” stelt futurist Gerd Leonhard sinds jaar en dag, waarbij hij vaak toevoegt: “en AI is de nieuwe elektriciteit.” Deze metafoor onderstreept het strategische belang van waar onze data precies ‘stroomt’ in een steeds digitaler wordende wereld. Maar wat als die oliebronnen en leidingen bijna volledig in handen zijn van een handjevol Amerikaanse techgiganten? En wat als degenen die kritisch berichten over deze afhankelijkheid, zelf onderdeel zijn van hetzelfde probleem?

Dit is precies de paradox waar Nederland – en bij uitbreiding Europa – zich in bevindt. In januari 2025 publiceerde de NOS een spraakmakend onderzoek waarin bleek dat maar liefst 67% van de 16.500 onderzochte Nederlandse overheidsdomeinen, zorginstellingen, scholen en vitale bedrijven gekoppeld zijn aan minimaal één Amerikaanse clouddienst. NOS

Het marktaandeel van Microsoft alleen al bedraagt 49% onder deze domeinen – ter vergelijking: het Nederlandse Solvinity, waar zoveel ophef over ontstond, heeft een marktaandeel van minder dan 1%. Maar hier komt de clou: de NOS zelf – de publieke omroep die dit kritische onderzoek publiceerde – is zelf diep verweven met exact dezelfde Amerikaanse infrastructuur die ze bekritiseert.

De Technische Werkelijkheid: Hoe Afhankelijk is Nederland Echt?

De onderzoeks methode: CName, MX en NS Records

Het NOS-onderzoek baseerde zich op DNS-data (Domain Name System) van alle websites die vermeld staan in Nederlandse overheidsregisters. Door MX-records (mailservers), NS-records (nameservers) en CName-records (alias-domeinen) te analyseren, kreeg de NOS inzicht in welke Amerikaanse partijen betrokken zijn bij de Nederlandse digitale infrastructuur.

Maar zoals internetkenner Bert Hubert opmerkt: deze methode toont slechts het topje van de ijsberg. Een scan van de “voorkant” van websites vertelt niet het hele verhaal:

DNS Record Type

Wat het onthult

Wat het mist MX record : Wie de e-mail afhandelt (vaak Microsoft/Google) Interne databases, lokale servers, private clouds

NS / CName Waar de website gehost wordt of welk CDN gebruikt wordt Waar de eigenlijke brondata of klantgegevens staan opgeslagen

Een bedrijf kan een Nederlandse website hebben, maar de achterliggende informatievoorziening – ERP-systemen, CRM-software, HR-platforms – draait vaak op Amerikaanse SaaS-oplossingen zoals Salesforce, SAP (veelal gehost op Azure/AWS) of Oracle Cloud.

De NOS-analyse van 67% afhankelijkheid is dus waarschijnlijk een ondergrens: de werkelijke afhankelijkheid ligt vermoedelijk nog vele malen hoger.

De NOS zelf: De spiegel voorgehouden

Het gebruik van Amerikaanse Clouddiensten door de NOS

Het is een cruciaal gegeven dat in het debat over digitale soevereiniteit vaak onderbelicht blijft: de NOS zelf gebruikt exact dezelfde Amerikaanse infrastructuur die in hun eigen onderzoek wordt bekritiseerd. In het artikel staat letterlijk:

“Ook de NOS heeft zijn mail bij Microsoft staan en de website bezoeken gaat via Amazon.” NOS

Dit is publiek te achterhalen via dezelfde DNS-analyses die de NOS gebruikte. Wat kunnen we concreet vaststellen over de digitale infrastructuur van de NOS?

1. Microsoft (Azure/Office 365)

De NOS maakt, zoals vrijwel de gehele Nederlandse Publieke Omroep (NPO), gebruik van Microsoft-diensten:

• E-mail: MX-records wijzen naar mail.protection.outlook.com
• Interne communicatie: Microsoft Teams, Outlook
• Cloudopslag: Waarschijnlijk OneDrive/SharePoint

Volgens onderzoek gebruikt 100% van de ondervraagde Nederlandse overheidsorganisaties producten van Microsoft, variërend van Office 365 en Teams tot Azure en Windows. BinnenlandsBestuur

2. Amazon Web Services (AWS)

De NOS erkent zelf dat websitebezoeken via Amazon lopen. Dit duidt op het gebruik van:

• CloudFront: Amazon’s Content Delivery Network (CDN) voor snelle distributie van video en website-content
• AWS-infrastructuur: Voor streaming en opslag van multimedia-content

3. Google (Alphabet)

Hoewel niet expliciet vermeld in het NOS-artikel, is het zeer waarschijnlijk dat de NOS ook Google-diensten gebruikt:

• Google Analytics: Voor webanalyse en bezoekersstatistieken
• YouTube: Als primair distributiekanaal voor video-content (YouTube is eigendom van Google/Alphabet)

De Juridische Werkelijkheid: Waarom Europese Datacenters onvoldoende bescherming bieden

De CLOUD Act en FISA 702: De Lange Arm van Uncle Sam

Een veelgehoorde misvatting is dat data die fysiek in een Europees datacenter staat, beschermd is tegen Amerikaanse surveillance. Dit is echter juridisch onjuist.

De CLOUD Act (2018)

De Clarifying Lawful Overseas Use of Data (CLOUD) Act uit 2018 stelt dat Amerikaanse autoriteiten toegang kunnen eisen tot data die onder controle staat van Amerikaanse bedrijven, ongeacht waar die data fysiek wordt opgeslagen.

Uit een rapport van Microsoft blijkt dat dit ook daadwerkelijk gebeurt: in de tweede helft van 2024 vroegen Amerikaanse opsporings- en inlichtingendiensten 57 keer om data die buiten de VS was opgeslagen. In vijf gevallen ging het om bedrijfsdata. NOS

Microsoft benadrukt dat dit alleen kan “in uitzonderlijke omstandigheden waarin een vermoeden van een ernstig misdrijf wordt vastgesteld”, maar de definitie van “ernstig misdrijf” ligt bij Amerikaanse autoriteiten, niet bij Europese rechters.

FISA Section 702: Surveillance zonder Rechtelijke Toetsing

Foreign Intelligence Surveillance Act (FISA) Section 702 geeft Amerikaanse inlichtingendiensten uitgebreide bevoegdheden om data van niet-Amerikanen te verzamelen zonder individueel bevel. Volgens experts betekent dit:

“Your data is subject to US surveillance laws (CLOUD Act, FISA 702), even in EU regions. American intelligence agencies can access it without notifying you. Your GDPR compliance is theater when the platform provider has US headquarters.” Ververica

Dit botst fundamenteel met de Europese GDPR (General Data Protection Regulation), die juist bedoeld is om burgers controle te geven over hun eigen data en bescherming te bieden tegen willekeurige toegang door overheden.

Het Schrems II-arrest (2020)

In 2020 vernietigde het Europese Hof van Justitie het Privacy Shield-akkoord tussen de EU en de VS, omdat Amerikaanse surveillance-wetgeving (FISA 702 en de CLOUD Act) onvoldoende bescherming biedt aan Europese burgers. Jurist Max Schrems argumenteerde dat zolang data onder Amerikaanse jurisdictie valt, deze niet voldoet aan GDPR-vereisten. StratoKey

Trump en Sancties: Van Theorie naar Praktijk

Het Internationaal Strafhof als Waarschuwing

Wat ooit een theoretisch scenario leek – dat de VS sancties zou inzetten tegen organisaties via cloud-providers – is realiteit geworden. Het Internationaal Strafhof (ICC) in Den Haag werd in 2024 getroffen door Amerikaanse sancties onder president Trump. NOS

Dit betekent dat Amerikaanse bedrijven – inclusief cloud-providers – verplicht kunnen worden hun dienstverlening aan het ICC stop te zetten. In de praktijk betekent dit:

• E-mail: geen toegang meer tot Microsoft 365/Outlook
• Bestanden: geen toegang tot SharePoint/OneDrive
• Communicatie: Teams en Zoom worden geblokkeerd
• Website: cloudhosting via AWS/Azure wordt afgesloten

Barbara Kathmann, Tweede Kamerlid voor GroenLinks-PvdA, stelt:

“We zitten in de houdgreep. We kunnen ons daar alleen uitworstelen door rap digitaal onafhankelijker te worden.” NOS

Groenland en de Veranderende Geopolitiek

De recente discussies over Groenland, waarbij de VS territoriaal belang toonde in een bondgenotenschap met Denemarken (Groenland is een autonoom gebied binnen het Deense Koninkrijk), veranderen de berekening. Bert Hubert merkt op:

“Ik heb de indruk dat bedrijven nu wel de pauzeknop indrukken, behalve binnen de overheid. Ik heb niet het idee dat het daar een thema is, ook niet binnen de formatie.” NOS

De Multipolaire Wereld: Waarom Decentrale Data Noodzakelijk Is

Gerd Leonhard’s Visie op Digitale Ethiek

Futurist Gerd Leonhard waarschuwt al jaren dat we niet moeten worden tot “algoritmes met benen”. Als we al onze data – onze digitale ‘olie’ – weggeven aan een paar centrale machtsblokken, verliezen we de regie over onze eigen toekomst. HPC Wire

In zijn presentaties benadrukt Leonhard drie kernpunten:

1. Data-eigenaarschap: Wie controleert de data, controleert de macht
2. Algoritme-transparantie: AI-systemen moeten controleerbaar zijn
3. Menselijke autonomie: Technologie moet de mens dienen, niet andersom

In een multipolaire wereld – waarin niet één supermacht domineert, maar meerdere machtsblokken (VS, China, EU, India) concurreren – is decentrale dataopslag geen luxe, maar een overlevingsstrategie.

Wat is er ‘Mis’ met dencentrale Data?

In principe niets. Sterker nog: decentrale architecturen bieden meer veerkracht (resilience), betere privacy en minder pijnpunten. Maar er zijn praktische en politieke hindernissen:

1. Netwerkeffecten

Amerikaanse platforms zijn zo groot dat ze een “gravitatiekracht” hebben. Het is goedkoper en makkelijker om aan te sluiten bij een bestaand ecosysteem (bijvoorbeeld Azure) dan zelf een decentraal wiel uit te vinden. Bedrijven kiezen voor de pad van de minste weerstand.

2. Sovereignty vs. Efficiency

Decentraal werken (bijvoorbeeld via Gaia-X of lokale datacenters) biedt meer controle, maar de innovatiesnelheid van Amerikaanse (en Chinese) giganten is momenteel hoger door hun enorme R&D-budgetten. Microsoft investeert alleen al $10 miljard per jaar in AI-onderzoek. Gerd Leonhard

3. Fragmentatie (het “Splinternet”)

In een multipolaire wereld riskeer je een “splinternet”, waarbij data niet meer vrij kan stromen tussen regio’s door conflicterende wetgeving:

• VS: CLOUD Act, FISA 702
• EU: GDPR, Digital Markets Act
• China: Cybersecurity Law, Data Security Law

Dit kan internationale samenwerking bemoeilijken en innovatie afremmen.

Europese Alternatieven: Bestaan Ze en Werken Ze?

Gaia-X: De Europese Droom

Gaia-X is een Europees initiatief dat in 2019 werd gelanceerd door Duitsland en Frankrijk. Het doel: een gefedereerd cloud-ecosysteem creëren waarin Europese providers, gebruikers en platforms samenwerken onder gemeenschappelijke regels voor veiligheid, transparantie en datasoevereiniteit. Gaia-X

Maar Gaia-X is geen cloud-provider – het is een standaard, een framework. Bert Hubert schrijft kritisch:

“EuroStack [een andere naam voor Gaia-X] faces the impossible task of connecting customers who don’t want to buy with providers who can’t compete.” Nextcloud Blog

Echte Europese Cloud-Providers

Gelukkig zijn er wel degelijk functionerende Europese alternatieven:

Provider OVHcloud Frankrijk Grootste Europese cloud-provider, 43 datacenters in 9 landen Marktleider in Europa

Scaleway Frankrijk Concurrerende prijzen, goede GPU-opties voor AI Groeiend marktaandeel

Hetzner Duitsland Uitstekende prijs/kwaliteit, populair bij developers Sterk in hosting

STACKIT Duitsland Dochteronderneming van Deutsche Telekom, gelanceerd 2024 Nieuw maar krachtig

Nextcloud Duitsland Open-source file sharing en collaboration Alternatief voor Microsoft 365

Open Telekom Cloud Duitsland Enterprise-oplossingen, GDPR-compliant Zakelijke markt

Volgens recent onderzoek zien deze providers toenemende adoptie, gedreven door datasoevereiniteits-wetgeving en geopolitieke spanningen. Holori

Waarom worden deze providers niet voldoende ingezet?

Het probleem zit ‘m niet in technische capaciteit – Europese providers kunnen absoluut concurreren op functionaliteit. De obstakels zijn:

1. Legacy-systemen: Overstappen van Microsoft/AWS naar Europese providers vereist migratie van bestaande systemen
2. Skills gap: IT-personeel is vaak opgeleid op Amerikaanse platformen
3. Vendor lock-in: Bedrijven zitten vast aan contracten en ecosystemen
4. Politieke wil: Zoals Bert Hubert opmerkt, ontbreekt urgentie bij de Nederlandse overheid

Conclusie: Een Wake-up Call voor Nederland en Europa

De paradox van de NOS – kritisch rapporteren over Amerikaanse cloud-afhankelijkheid terwijl je er zelf middenin zit – is symptomatisch voor het hele Nederlandse (en Europese) probleem. We zijn ons collectief bewust van het risico, maar de daadkracht om alternatieven te omarmen ontbreekt.

Bert Hubert vat het scherp samen:

“De aandacht nu is belachelijk laat, dit is al vijf jaar aan de gang. Ook systemen die je prima nog zelf kunt draaien, zijn we in moordend tempo naar de Amerikaanse cloud aan het verhuizen.” NOS

Wat moet er gebeuren?

1. Politieke prioriteit: Digitale soevereiniteit moet een kernpunt worden in regeringsbeleid
2. Investeringen in Europese tech: Subsidies en aanbestedingsvoorrang voor EU-providers
3. Educatie en training: IT-professionals opleiden in Europese cloudplatformen
4. Geleidelijke migratie: Stapsgewijs overstappen, beginnend bij nieuwe projecten
5. Publieke bewustwording: Zoals de NOS doet – maar dan ook intern toepassen

Gerd Leonhard’s waarschuwing blijft actueel: data is de nieuwe olie, en wie de pijpleiding controleert, controleert de toekomst.

In een wereld waarin president Trump willekeurig sancties inzet en openlijk spreekt over territoriale ambities in bondgenootschappen, is digitale autonomie geen techneuten-fantasie meer – het is een strategische noodzaak.

De vraag is niet óf Nederland en Europa zullen moeten kiezen voor meer digitale onafhankelijkheid. De vraag is: hoe lang kunnen we het ons nog veroorloven om het niet te doen?

Bronnen

• NOS (2025): Overheid leunt veel meer op Amerikaanse clouds dan bekend – https://nos.nl/l/2599601
• Bert Hubert (2026): Europe’s executives need to skill up to solve our total US cloud dependency – https://berthub.eu/articles/posts/ft-on-european-cloud/
• Gerd Leonhard: Core Topics 2020 – Futurist Gerd
• Wire (2025): The Risks of Relying on U.S. Cloud Providers – Wire
• StratoKey (2025): EU Data Sovereignty and U.S. Tech – StratoKey
• Gaia-X (2025): Focus on digital sovereignty in Europe – Gaia-X
• BinnenlandsBestuur (2025): ‘Er mag niets met Microsoft gebeuren’ – BinnenlandsBestuur
• Holori (2025): Cloud Market share 2026 – Holori

Over de redacteur: Dit artikel is gebaseerd op het onderzoek van de NOS en aangevuld met analyse van experts zoals Bert Hubert en futurist Gerd Leonhard. De technische en juridische feiten zijn geverifieerd via meerdere onafhankelijke bronnen.