Het kabinet wil een volledig nieuwe overheidscloud bouwen in de eigen datacenters van het Rijk, los van bestaande systemen en onder centrale regie. Die cloud moet voldoen aan het hoogste Europese soevereiniteitsniveau. De datacenters waarin die cloud moet landen, zitten daar nog niet: ze draaien op niet-Europese software waarvan de overheid de controle niet in handen heeft.
Binnen de Nederlandse Digitaliseringsstrategie liet het kabinet een verkenning uitvoeren naar de mogelijkheden voor een overheidsbrede soevereine cloud. Onderzoeksbureau Gartner werkte daarvoor vier scenario’s uit, van een volledig nieuwe clouddienst tot een marktplaatsmodel met meerdere aanbieders. Het kabinet kiest voor het meest kansrijke: een nieuwe overheidsclouddienst, centraal aangestuurd en los van bestaande systemen opgebouwd. Dat schrijft staatssecretaris Van der Burg (Koninkrijksrelaties en Slagvaardige Overheid) in een Kamerbrief van 2 juli. De andere scenario’s duren langer en leiden “voorlopig tot minder soevereiniteit”, staat in de bijbehorende verkenningsnotitie.
De ambitie is overheidsbreed: niet alleen het Rijk, ook gemeenten, provincies en waterschappen moeten de dienst kunnen gebruiken. De Tweede Kamer dringt al langer aan op deze richting. In juni 2025 sprak de Kamer uit dat per 2029 minstens dertig procent van alle cloudopslagdiensten en applicaties die de Rijksoverheid afneemt van Nederlands/Europese bodem moet komen. De verkenningsnotitie beschrijft hoe ver dat nog weg is: Google, Amazon en Microsoft hebben samen zeventig procent van de Europese cloudmarkt in handen. Europese aanbieders hebben elk circa twee procent. De motie Six Dijkstra/Kathmann verzocht het kabinet het uitgangspunt van een soevereine cloud voor strategische toepassingen “onomwonden” te steunen. De Kamerbrief geeft daar invulling aan.
SEAL4 als doelstelling
De soevereine cloud moet voldoen aan SEAL4, het hoogste niveau in het EU Cloud Sovereignty Framework. Dat betekent: technologie en exploitatie staan onder volledige EU-controle, zijn uitsluitend onderworpen aan EU-wetgeving en hebben geen kritieke niet-EU-afhankelijkheden. Het NDS-cloudprogramma neemt dit framework als leidraad. De Europese Commissie ontwikkelde het als instrument om in aanbestedingen de soevereiniteit van aanbieders langs een objectieve meetlat te leggen.
De verkenningsnotitie beschrijft de huidige situatie van de overheidsdatacenters in termen van datzelfde framework. Het dienstenaanbod van de overheidsdatacentra bevindt zich op SEAL2, meldt de notitie. Bij SEAL2 is EU-wetgeving van toepassing en afdwingbaar, maar bestaan er “wezenlijke niet-EU-afhankelijkheden.” Het beheer is in overheidshanden, de controle niet. Die controle ontbreekt volgens de notitie vanwege afhankelijkheid van niet-Europese propriëtaire software. Bij SEAL2 staan dienst, technologie of exploitatie “onder indirecte controle van niet-EU-derde partijen.” Bij SEAL4 zijn die kritieke niet-EU-afhankelijkheden er niet.
De notitie erkent dat SEAL4 “op een aantal punten genuanceerd moet worden”. Volledige hardwaresoevereiniteit is voorlopig niet realistisch: de wereldwijde toeleveringsketen is “een feit dat voorlopig niet verandert”. De belangrijkste compenserende maatregel is huisvesting in de bestaande overheidsdatacentra, zodat de overheid “zowel in praktische als in juridische zin beschikt over hardware, fysieke toegang en locatie.”
VMware als lakmoesproef
Hoe concreet de niet-Europese afhankelijkheid in die datacenters is, laat het onlangs verschenen rapport Op weg naar Weerbare Virtualisatie zien. Het 94 pagina’s tellende rapport is opgesteld door Accenture in opdracht van de Taskforce Continuïteit ICT Dienstverlening van het ministerie van Binnenlandse Zaken. De directe aanleiding is de overname van VMware door Broadcom in november 2023 en de daaropvolgende wijziging van het licentiemodel.
Per 1 januari 2024 verving Broadcom het traditionele licentiemodel voor VMware door een verplicht abonnementsmodel. Waar organisaties eerder een eeuwigdurend gebruiksrecht kochten, is dat recht nu gekoppeld aan doorlopende betaling. Zonder actief abonnement verliest een organisatie de toegang tot de software. “Waar het besluit om te verlengen bij perpetual licenties een strategische keuze was, is het bij abonnementen een operationele noodzaak geworden”, stelt het rapport. Broadcom hanteert daarbij jaarlijkse prijsverhogingen tot tien procent, verplichte productbundeling en geforceerde upgrades.
Servervirtualisatie is de laag die fysieke servers opdeelt in virtuele machines. Het is de basis waarop vrijwel alle overheidsworkloads draaien, en precies het type bedrijfskritische software waarop organisaties hun grip overschatten. Het rapport beoordeelt elf platforms (waaronder VMware zelf), van Proxmox en OpenNebula tot Red Hat OpenShift, en stelt dat geen van de opties zonder consequenties is. Alternatieven vragen “vrijwel altijd om investeringen in nieuwe kennis, aanpassingen in beheerprocessen en een herziening van de samenwerking tussen platformteams en applicatieteams”.
Voorfinanciering noodzakelijk
De verkenningsnotitie van de overheid benoemt drie randvoorwaarden voor het slagen van het gekozen scenario: centrale overheidsbrede regie, gegarandeerde afname door overheden, en budget. Over dat laatste is de notitie onomwonden: “Een vorm van voorfinanciering is noodzakelijk”. Bij voldoende schaalgrootte is realisatie binnen de bestaande totale kosten van infrastructuur “mogelijk” en zijn er “op den duur zelfs baten te verwachten”. Maar op korte termijn zitten die budgetten “vast in bestaande arrangementen”. Zonder het vooraf financieren van de eenmalige opstartkosten “wordt deze transitie complexer en langduriger”, aldus de notitie. Concrete bedragen noemt het document niet. Gartner stelt volgens de notitie dat “de beschikbaarheid van budget bepalend is” voor het optimale scenario.
Het herziene Rijksbrede Cloudbeleid dat begin juli werd vastgesteld door het ministerie van Economische Zaken en Klimaat, bevestigt die krapte. “Voor de herziening van het cloudbeleid zijn in het coalitieakkoord geen extra middelen beschikbaar gesteld”, staat te lezen in de opening. Het beleid erkent dat “scherpe keuzes gemaakt moeten worden en waar nodig, herprioritering plaats moet vinden”.
Strenger kader, zelfde budget
Het cloudbeleid legt intussen wel nieuwe verplichtingen op. E-mail en bestandsopslag mogen niet meer in de publieke cloud worden verwerkt, tenzij aan drie cumulatieve voorwaarden is voldaan, waaronder ministeriële goedkeuring. Bij materieel cloudgebruik is een exitplan verplicht, voor zowel een geplande exit als een disruptieve onderbreking van de dienstverlening. Beide plannen moeten jaarlijks worden geactualiseerd. Brondata van basisregistraties mogen niet in een publieke cloud worden beheerd. Organisaties die als vitale aanbieder zijn aangemerkt of onder de Cyberbeveiligingswet of Wet weerbaarheid kritieke entiteiten vallen, wordt afgeraden voor hun primaire proces diensten te gebruiken van leveranciers die onder jurisdictie van buiten de EU vallen. Voor bestaand cloudgebruik geldt een overgangstermijn van vier jaar.
Het cloudbeleid beperkt het gebruik van publieke cloud, de soevereine overheidscloud moet het alternatief bieden. De verkenningsnotitie noemt die keuze “in de eerste plaats een kwestie van volgorde”. Aspecten van de andere scenario’s “zullen in de komende jaren los van de Nederlandse Digitaliseringsstrategie of centraal overheidsbeleid hoe dan ook ontstaan”. Na de zomer wordt de rolverdeling tussen markt en overheid uitgewerkt. Het ontwerp van de soevereine cloud wordt openbaar gemaakt voor consultatie. Of die volgorde haalbaar is, hangt af van de drie randvoorwaarden uit de notitie. De notitie is over die laatste onomwonden: zonder voorfinanciering wordt de transitie “complexer en langduriger”.