Kabinet scherpt beleid aan: Nederland moet werk maken van een veilige cloud

Nieuws
zaterdag, 04 juli 2026 om 23:18
Kabinet scherpt cloudbeleid aan Nederland moet werk maken van een veilige cloud
Het kabinet heeft het rijksbrede cloudbeleid ingrijpend aangescherpt. Overheidsorganisaties mogen in de toekomst geen nieuwe e-mail- en documentbeheersystemen meer in de publieke cloud onderbrengen. Daarnaast worden strengere eisen gesteld aan dataverwerking, afhankelijkheid van buitenlandse leveranciers en exitstrategieën. Dat blijkt uit een Kamerbrief van staatssecretaris W.J.M. Aerdts van Economische Zaken en Klimaat, die vrijdag naar de Tweede Kamer is gestuurd.
De herziening volgt op onderzoeken van de Auditdienst Rijk en de Algemene Rekenkamer, die wezen op risico's rond cloudgebruik binnen de rijksoverheid. Ook veranderende geopolitieke verhoudingen en de dominante positie van grote internationale cloudproviders spelen een belangrijke rol bij de nieuwe koers.

Publieke cloud krijgt beperktere rol

Een van de meest opvallende wijzigingen is dat het kabinet het gebruik van publieke cloud voor e-mail en documentbeheer voortaan afraadt. Bestaande omgevingen krijgen een overgangsperiode, waarna zij moeten worden gemigreerd naar alternatieve oplossingen.
Volgens het kabinet bevatten e-mails en documenten gezamenlijk grote hoeveelheden overheidsinformatie. Zelfs wanneer individuele bestanden niet vertrouwelijk zijn, kan de combinatie ervan een aanzienlijk veiligheidsrisico vormen. Bovendien zijn vrijwel alle overheidsorganisaties afhankelijk van deze systemen voor hun dagelijkse bedrijfsvoering.

Strengere eisen voor data en leveranciers

Ook op andere onderdelen wordt het beleid aanzienlijk strenger.
Belangrijkste wijzigingen zijn:
  • Het cloudbeleid gaat gelden voor vrijwel de gehele rijksoverheid, met uitzondering van Defensie en de Hoge Colleges van Staat.
  • Organisaties krijgen een overgangstermijn van vier jaar om bestaande cloudomgevingen aan de nieuwe regels aan te passen.
  • Gegevens in publieke cloudomgevingen mogen uitsluitend binnen de Europese Economische Ruimte (EER) worden opgeslagen en verwerkt.
  • Data moet standaard worden versleuteld, behalve wanneer het om openbare informatie gaat.
  • Bij cloudgebruik moet nadrukkelijk worden gekeken naar afhankelijkheid van leveranciers die onder niet-Europese wetgeving vallen.
  • Voor iedere belangrijke cloudtoepassing wordt een uitgebreid exitplan verplicht, inclusief een noodscenario wanneer een cloudleverancier plotseling uitvalt.
  • Grote cloudtoepassingen moeten voortaan centraal worden gemeld bij CIO Rijk voor beter toezicht.

Soevereine cloud krijgt impuls

Het kabinet erkent dat veel overheidsorganisaties niet direct aan de nieuwe eisen kunnen voldoen. Daarom is gekozen voor een ruime overgangsperiode. Die moet tegelijkertijd de ontwikkeling van Europese en Nederlandse soevereine cloudoplossingen stimuleren.
Volgens de Kamerbrief zijn geen extra financiële middelen beschikbaar gesteld voor de uitvoering. De implementatie moet plaatsvinden binnen bestaande IT-budgetten en capaciteit, waardoor de invoering meerdere jaren kan duren.

Kritieke systemen minder afhankelijk van buitenlandse cloud

Voor organisaties die onder de Wet weerbaarheid kritieke entiteiten en de Cyberbeveiligingswet vallen, adviseert het kabinet bovendien om voor hun kerntaken niet afhankelijk te zijn van cloudleveranciers die deels onder een niet-Europese jurisdictie vallen.
Ook blijft publieke cloud verboden voor staatsgeheime informatie en andere zwaar beveiligde gegevens. Basisregistraties mogen alleen nog publieke cloud gebruiken voor prestaties of schaalbaarheid; de brondata zelf moeten onder directe regie van de overheid blijven.

Breder overheidsbeleid in voorbereiding

Het kabinet wil het vernieuwde rijksbeleid uiteindelijk uitbreiden naar gemeenten, provincies en waterschappen. Daarnaast wordt gewerkt aan een breder afwegingskader voor digitale diensten en wordt rekening gehouden met toekomstige Europese regelgeving, waaronder de voorgestelde Cloud and AI Development Act (CADA).

Waarom dit belangrijk is

De nieuwe koers markeert een duidelijke verschuiving in het Nederlandse cloudbeleid. Waar de overheid de afgelopen jaren publieke cloud steeds vaker omarmde, verschuift de nadruk nu naar digitale soevereiniteit, risicobeheersing en minder afhankelijkheid van grote buitenlandse technologiebedrijven. Vooral Amerikaanse hyperscalers zoals Microsoft, Amazon Web Services en Google Cloud zullen de gevolgen van deze beleidswijziging nauwlettend volgen, omdat nieuwe overheidsprojecten waarschijnlijk vaker zullen uitwijken naar Europese of hybride cloudoplossingen.
loading

Populair nieuws

Laatste reacties

Loading