Nederlandse gemeenten draaien voor een groot deel op Amerikaanse cloudinfrastructuur. Onderzoek van MindYourPass op basis van daadwerkelijk gebruik bij 20 gemeenten toont dat uitgebreid aan. Bijna drie vijfde (59,2 procent) van de gebruikte webapplicaties draait op Amerikaanse infrastructuur. Van die groep wordt de helft ook daadwerkelijk via de VS gerouteerd.
Bij het onderzoek van het Nederlandse cybersecuritybedrijf MindYourPass werden bijna 2 miljoen logins geanalyseerd van meer dan 12.000 applicaties in 2025. MindYourPass is een Nederlands cybersecuritybedrijf dat organisaties, waaronder veel gemeenten, inzicht geeft in daadwerkelijk inloggedrag. De conclusies kunnen confronterend zijn voor gemeenten. De bewuste keuze om te kiezen voor een Europees datacenter betekent niet automatisch dat data binnen Europa blijft.
Dataverkeer loopt via Amerikaanse servers
Slechts 39,3 procent van alle gemeentelijke applicaties wordt volledig Europees gehost en geëxploiteerd. De Amerikaanse Cloud Act geeft autoriteiten toegang tot data van VS-bedrijven, ook wanneer die fysiek in Europa is opgeslagen. Wanneer het verkeer onderweg via Amerikaanse netwerken loopt, geldt dat juridische risico bovendien ook technisch.
De Amerikaanse Cloud Act geeft autoriteiten vergaande toegang tot Europese gegevens bij Amerikaanse cloudproviders, ongeacht waar data fysiek is opgeslagen. Dit botst met de GDPR-vereisten voor bescherming van persoonsgegevens. Voor gemeenten met gevoelige burgerdata vormt dit een juridisch risico aldus het onderzoek.
Van de 20 meest gebruikte zakelijke applicaties binnen gemeenten draait 54 procent op Amerikaanse cloudproviders. Bij 33,3 procent loopt het dataverkeer mogelijk via de Verenigde Staten. Voor kritische en high-impact applicaties ligt het percentage iets lager. Daarbij draait 40 procent op Amerikaanse infrastructuur.
Schaduw-AI volledig Amerikaans
Bij AI-tools is de situatie opvallender. De 20 meest gebruikte AI-applicaties binnen gemeenten worden allemaal gehost in de Verenigde Staten. ChatGPT van OpenAI is de populairste tool, ondanks dat veel gemeenten formeel beleid hebben voor Microsoft Copilot.
De tools worden structureel ingezet voor schrijven, analyseren en bewerken van content, niet alleen voor experimenten. Dit roept vragen op over hoe gemeenten omgaan met gevoelige informatie die via deze platforms wordt verwerkt.
MindYourPass heeft een interactieve kaart ontwikkeld waarop gemeenten, beleidsmakers en journalisten kunnen zien waar applicaties draaien. De kaart toont cloudhostinglocaties en welke gemeentelijke webapplicaties daar daadwerkelijk worden gebruikt op basis van loginverkeer.
Methodologie en vervolgstappen
Het onderzoek baseerde zich op geanonimiseerde data van 20 Nederlandse gemeenten. Daarbij werden in totaal 1.964.128 loginmomenten geanalyseerd van 12.527 verschillende applicaties. Van 12.170 applicaties kon het IP-adres worden vastgesteld. Om achter de geografische locaties te komen maakte MindYourPass gebruik van de diensten van ipinfo.com.
Merijn de Jonge, CEO van MindYourPass, benadrukt dat ook bij kritieke systemen buitenlandse afhankelijkheden een rol spelen. “Het aandeel dat in de Verenigde Staten wordt gehost ligt lager, namelijk 40 procent. Tegelijkertijd betekent dit dat ook bij systemen die direct raken aan primaire processen en gevoelige data, buitenlandse afhankelijkheden een rol spelen.”