De soevereiniteitsparadox die al tien jaar in je la ligt

Binnen de Nederlandse discussie over cloudsoevereiniteit zit een obsessie. Die obsessie heet ‘hyperscaler’. Maar de grootste soevereiniteitskloof zit niet in de cloud. Die zit in het outsourcingscontract dat al tien jaar in je la ligt.

In elke bestuurskamer, tijdens elk congres en in elk adviesrapport klinkt dezelfde vraag: hoe houden we controle over onze data en infrastructuur als die draaien op platforms van Amerikaanse techgiganten?

Het is een legitieme vraag, maar het is niet de eerste vraag die je zou moeten stellen. Want veel organisaties die zich zorgen maken over de soevereiniteitsrisico's van AWS, Azure of Google Cloud, hebben een minstens zo groot soevereiniteitsprobleem dat veel dichterbij zit. Een probleem dat niet nieuw is, maar dat niemand hardop benoemt: de outsourcingprovider.

Onze overtuiging is dat de grootste soevereiniteitskloof bij veel Nederlandse organisaties niet in de cloud zit. Die zit in de relatie met de provider, die de infastructuur, de data, de identiteiten en de veiligheidscontroles beheert; vastgelegd in contracten die een dreigingslandschap reflecteren dat niet meer bestaat.

De sleutels zijn allang overgedragen

Laten we eerlijk zijn over wat outsourcing in de praktijk betekent. Vijf tot tien jaar geleden heeft een groot deel van het Nederlandse bedrijfsleven de operatie van hun lokale IT-omgevingen overgedragen aan gespecialiseerde – vaak buitenlandse - providers. De businesscase was helder: focus op je kern, laat de IT-operatie over aan een partij die dat efficiënter kan. In ruil daarvoor kreeg de provider verregaande controle over de technische omgeving.

Kijk nu eens naar wat er destijds feitelijk is overgedragen:

• Infrastructuur. De provider heeft in veel gevallen het recht over de infrastructuur en hoe deze wordt gemanaged en gebruikt.
• Veiligheidscontroles. Firewallconfiguraties, patchmanagement, incidentrespons, monitoring. De operationele verdedigingslinie is volledig gedelegeerd, met SLA's (service level agreements) als enige sturingsinstrumenten.
• Identiteitsbeheer. De provider beheert wie toegang heeft tot welke systemen. Als organisatie heb je beperkt zicht op wie er op welk moment toegang heeft.
• Sleutelbeheer. Encryptiesleutels, certificaten, beveiligingsprotocollen; de mechanismen die bepalen wie data kan lezen, wijzigen of verplaatsen. Als de provider deze beheert, is de vraag: waar staat je data secundair? Een relevantere vraag is: wie kan erbij?

De test om te kijken of deze soevereiniteitsriscio’s ook voor jouw organisatie gelden, is simpel: als je morgenochtend van outsourcingprovider moet wisselen (door een cyberincident, een contractgeschil of een strategische koerswijziging), kun je dat? Heb je de technische en operationele controle om de transitie te maken zonder maanden van verstoring?

Bij de meeste organisaties is 'nee’ het eerlijke antwoord. Dan kun je zeggen dat er geen sprake meer is van outsourcing, maar van soevereiniteitsverlies.

Een soevereiniteitsrisico ‘in slow motion’

Deze situatie verergert door een dynamiek die we zelden benoemen, maar die structureel voorkomt. De kenmerken van die dynamiek zijn:

• Procurement onderhandelt tot op het bot. De focus ligt op kostenreductie. De provider wint op prijs, niet op innovatiecapaciteit of wendbaarheid.
• De provider heeft geen prikkel om te vernieuwen. Nieuwe technologie kan SLA's onder druk zetten. Modernisering kan doelstellingen in gevaar brengen. De rationele strategie: lever precies wat het contract voorschrijft, niet meer.
• Het dreigingslandschap evolueert. Het contract niet. Ransomware-as-a-service, ‘zero-day-exploits' die naar ‘zero-minute-exploits' zijn versneld, aanvallen op de toeleveringsketen, aanvallen op basis van identiteit; al deze dreigingen stonden niet in het contract dat je tien geleden hebt getekend.
• Beide partijen zitten vast. De organisatie kan niet bewegen, omdat het contract het niet toelaat. De provider kan niet bewegen, omdat het contract het niet beloont. Het resultaat: een bevroren relatie in een wereld die elke maand gevaarlijker wordt.

Wij zien dit niet als marktdynamiek, maar als een soevereiniteitsrisico ‘in slow motion’.

Zwakste schakel is niet de technologie, maar het governancemodel

Dit is geen theorie. In 2025 werd een retailbedrijf getroffen door een cyberaanval met directe gevolgen voor de bedrijfsvoering. De reactie was even opmerkelijk als onthullend: het bedrijf beëindigde het outsourcingscontract met de provider.

De aanval legde bloot wat in rustige tijden onzichtbaar bleef: de afhankelijkheid van de outsourcingprovider was een structurele kwetsbaarheid die pas zichtbaar werd op het moment dat het ertoe deed: toen snelheid van handelen, operationele controle en directe toegang tot systemen het verschil maakten tussen beperkte schade en operationele ontwrichting.

De andere cyberaanval in hetzelfde jaar vertelt een vergelijkbaar verhaal. Afhankelijkheden in de toeleveringsketen - waaronder outsourcing - creëren kwetsbaarheden die zich pas manifesteren als het te laat is. De zwakste schakel is niet de technologie; de zwakste schakel is het governancemodel eromheen.

De paradox die om eerlijkheid vraagt

Deze voorbeelden zijn geen uitzonderingen. Ze laten zien wat er gebeurt als de illusie van controle wordt getest door de realiteit. Nederlandse organisaties voeren intensieve gesprekken over digitale soevereiniteit in de context van de cloud. Over dataresidentie, over de Cloud Act, over Europese alternatieven. Die gesprekken zijn belangrijk en noodzakelijk. Maar diezelfde organisaties hebben hun lokale omgevingen jaren geleden overgedragen aan (offshore-)outsourcingproviders en daarmee feitelijk al afstand gedaan van de controle die ze nu in de cloud proberen te beschermen.

Drie vragen voor de bestuurstafel

De consequentie is oncomfortabel, maar helder. Voordat je soevereiniteit in de cloud adresseert, moet je enkele vragen eerlijk beantwoorden.

1. Wie beheert feitelijk onze identiteiten en sleutels? En wat gebeurt er als die relatie morgen eindigt?
   
   Niet wie het contract heeft getekend. Wie heeft de operationele controle? Als het antwoord ‘de provider’ is, en er geen contractueel en technisch mechanisme is om die controle snel over te nemen, is dát je eerste soevereiniteitsuitdaging.
2. Reflecteert ons outsourcingscontract het dreigingslandschap van vandaag, of dat van het jaar waarin het werd getekend?
   
   Vraag specifiek naar een wendbare cybertechnologie, incidentrespons en herstelprocedures bij een ransomware-aanval. Naar de ruimte om zelf in te grijpen bij een ‘zero-day’. Naar de cybersecurity-afspraken. Als het contract vijf jaar oud is en sindsdien niet inhoudelijk is herzien, beschermt het je niet. Het legt je vast.
3. Wat kost het ons - reëel, niet theoretisch - om morgen van provider te wisselen?
   
   Tijd, operationele verstoring, kennisverlies, juridische complexiteit. Dit getal bepaalt je kwetsbaarheid én je onderhandelingspositie. Als niemand in de organisatie het kent, is dat op zichzelf een teken dat de afhankelijkheid groter is dan je denkt.  

Bekijk relaties voor outsourching hetzelfde als die voor cloud

De weg vooruit is niet om outsourcing af te schaffen. Dat is niet realistisch en niet wenselijk. Outsourcing kan waarde leveren, mits de soevereiniteitsbalans klopt. De weg vooruit is om outsourcingsrelaties door exact dezelfde soevereiniteitslenzen te bekijken als cloudrelaties.

• Breng per relatie in kaart wie welke sleutels bezit. Niet op basis van het contract, maar op basis van de feitelijke technische realiteit. Identiteiten, encryptie, veiligheidscontroles, operationele toegang; wat is gedelegeerd, wat is overdraagbaar en wat is feitelijk onlosmakelijk verbonden met de provider?
• Toets elk contract aan het actuele dreigingslandschap. Past het preventie- en incidentresponsmodel bij de dreigingen van vandaag? Heb je contractuele ruimte voor snelle aanpassing? Kun je bij een crisis zelf ingrijpen of ben je afhankelijk van de provider om de eerste stap te zetten?
• Maak soevereiniteit een kerncriterium bij procurement. Doe dat niet als een bijlage, maar als selectiecriterium bij contractering, beoordeling en verlenging. De goedkoopste provider is niet de veiligste. En de veiligste is niet per definitie de duurste, maar wel degene die je de verantwoordelijkheid zou moeten geven.
• Stel dezelfde vragen die je aan je hyperscaler stelt. Wie beheert de infrastructuur? Wie heeft operationele controle? Hoe afhankelijk ben ik van deze ene partij? Als je die vragen wel stelt aan je hyperscaler maar niet aan je outsourcingprovider, heb je een blinde vlek die groter is dan het probleem dat je probeert op te lossen.

De huidige soevereiniteitsdiscussie is te smal

De soevereiniteitsdiscussie in Nederland is momenteel te smal. Ze richt zich op de cloud, terwijl de afhankelijkheden die er het meest toe doen voor veel organisaties niet in de cloud zitten, maar in outsourcingrelaties die al jaren als vanzelfsprekend worden beschouwd.

Dit is het tweede deel van een blogserie over cloudsoevereiniteit. Het eerste deel ging over 'de botsing die niemand benoemt’: de strategische clash tussen soevereiniteit en AI-versnelling.