Hoe je cloudafhankelijkheid bestuurbaar maakt

Ook voor financiële instellingen gaat cloudstrategie nu over soevereiniteit

  • Blog
  • 30 jun 2026
Ad van der Graaff

Ad van der Graaff

Partner FS data & technology, PwC Netherlands

Mimoent Haddouti

Mimoent Haddouti

Partner cybersecurity, resilience & privacy, PwC Netherlands

Voor financiële instellingen is afhankelijkheid van mondiale cloudproviders voorlopig een realiteit. Volledige onafhankelijkheid is op dit moment niet haalbaar en kan, als ambitie, zo omvangrijk worden dat zij besluitvorming eerder vertraagt dan versnelt.

Maar dat betekent niet dat financiële instellingen geen regie kunnen voeren. Binnen bestaande afhankelijkheden is wel degelijk sturing mogelijk: door beter inzicht te creëren, risico’s te spreiden, controlemechanismen te versterken en concrete terugvalopties te organiseren. Onder invloed van geopolitieke ontwikkelingen, economische afwegingen, regelgeving zoals DORA en toenemende cyberdreigingen ontwikkelt digitale soevereiniteit zich daarmee tot een strategisch bestuursvraagstuk. Oftewel: ‘dependent by default, sovereign by design’.

Kun je jouw cloudafhankelijkheid blijven besturen?

Voor banken, verzekeraars en andere financiële instellingen gold cloudafhankelijkheid lange tijd vooral als een operationeel gegeven. Zolang diensten beschikbaar waren, kosten beheersbaar bleven en innovatie werd ondersteund, bleef het gesprek grotendeels beperkt tot sourcing, architectuur en inkoop.

Die benadering volstaat niet langer. Nu kritieke diensten, dataplatforms, beveiligingstools en AI-capaciteit zich concentreren bij een klein aantal aanbieders, verschuift de vraag. Niet óf die afhankelijkheid bestaat, maar of je haar kunt blijven besturen.

Uitgaven technologie kunnen de afhankelijkheid versterken

Omdat de afhankelijkheden van de cloud, data en AI samen groeien, concentreert het opschalen van deze capabiliteiten de uitgaven bij een klein aantal mondiale aanbieders. Dat versterkt hun omzet, marges en vermogen om te investeren in onderzoek en ontwikkeling, en vergroot op termijn de kloof met Europese alternatieven. Voor financiële instellingen betekent dit dat keuzes voor aanbieders niet langer alleen commercieel zijn. Ze bepalen ook toekomstige overstapkosten, onderhandelingsmacht en terugvalopties. 

Digitale soevereiniteit kan daarom het best worden gezien als een gedisciplineerde manier om keuzevrijheid te behouden. Als Europa een deel van deze uitgaven kan verleggen naar Europese partijen, kan dat voldoende zijn om de technologiesector nieuw leven in te blazen en productiviteitsvoordelen te realiseren.

Digitale soevereiniteit verdient aandacht op bestuursniveau

Digitale soevereiniteit verdient daarom aandacht op bestuursniveau. Vier ontwikkelingen zijn de aanjagers daarvan.

  1. Strategisch gewicht van technologieaanbieders
    De eerste betreft geopolitieke ontwikkelingen. Relaties die vroeger vooral commercieel van aard leken, krijgen steeds meer strategisch gewicht. Technologieaanbieders opereren in een context waarin sancties, handelsbeleid, cybersecurityzorgen en extraterritoriale wetgeving een grotere rol spelen. Dat betekent niet dat verstoring onvermijdelijk is, of dat bestaande aanbieders niet langer geschikt zijn. Het betekent wel dat toegang tot diensten, ondersteuning en regie over kritieke digitale functies niet onder alle omstandigheden vanzelfsprekend zijn.
  2. Europa loopt achter
    De tweede is structureel: Europa loopt achter als het gaat om digitale infrastructuur. Europese alternatieven zijn in opkomst, maar bieden op veel terreinen nog niet dezelfde schaal, functionele diepgang of toegang tot innovatieve partijen in het ecosysteem als de hyperscalers. De vraag is dus niet of die afhankelijkheid op korte termijn volledig verdwijnt, maar waar zij aanvaardbaar is en waar aanvullende waarborgen nodig zijn.
  3. Wet- en regelgeving
    De derde ontwikkeling is wet- en regelgeving, zoals de Digital Operational Resilience Act (DORA). Financiële instellingen moeten kunnen aantonen hoe zij regie houden op technologierisico’s vanuit derde partijen, ook wanneer sprake is van ketens van aanbieders en onderaannemers. Dit raakt aan uiteenlopende dossiers, zoals toegangsbeheer, encryptiesleutels, logging, controleerbaarheid, exit-afspraken en de voorbereiding op verstoringen in de digitale infrastructuur.
  4. Cyberdreigingen
    De laatste ontwikkeling is cybersecurity. Dreigingen nemen in intensiteit toe, onder meer door vijandige aanvallen op kritieke infrastructuur en technologische ontwikkelingen als AI-ondersteunde aanvallen. Veel geavanceerde securitycapaciteiten worden geleverd door een beperkt aantal, vaak niet-Europese aanbieders. Dat biedt schaal en innovatiekracht, maar vergroot ook de afhankelijkheid. Digitale soevereiniteit vraagt daarom niet om het vermijden van deze technologieën, maar om het bewust organiseren van waar je data opslaat, wie toegang heeft en hoe kritieke processen beschermd blijven wanneer omstandigheden veranderen.

Behandel digitale soevereiniteit als een reeks keuzes

Zelfs als je rekening houdt met alle vier ontwikkelingen, ontspoort het debat over digitale soevereiniteit vaak. Te vaak wordt digitale soevereiniteit neergezet als een alles-of-nietskeuze: blijven we op mondiale cloudplatforms of stappen we eruit? Voor de meeste financiële instellingen zijn beide uitersten onaantrekkelijk. Een brede exit is duur, traag en kan innovatie afremmen. Tegelijkertijd is het evenmin verdedigbaar om kritieke afhankelijkheden onvoldoende te begrijpen, beperkt te testen en nauwelijks te beheersen. Zinvoller is om digitale soevereiniteit te benaderen als een reeks keuzes in terugkerende cyclus, niet als één eindtoestand: inzicht krijgen, routes kiezen, stresstesten en maatregelen implementeren.  

De eerste stap is inzicht. Breng per kritieke of belangrijke bedrijfsfunctie in kaart van welke aanbieders, diensten, regio’s en besturingslagen deze afhankelijk is, inclusief onderliggende aanbieders en opensourcetools die nu buiten beeld blijven. Het doel is niet alleen een inventaris, maar vooral begrip krijgen over waar afhankelijkheid de grootste kwetsbaarheid creëert. Waar zit concentratierisico, supplychainrisico of lock-in? Welke onderliggende aanbieders zijn onvoldoende zichtbaar? En welke onderdelen zijn het lastigst te verplaatsen, te herstellen of te besturen als omstandigheden veranderen?

Dat inzicht wordt pas echt waardevol als het zich richt op capabiliteiten in plaats van losse technologie. Denk niet alleen aan bedrijfsfuncties, maar ook aan technische functies zoals identiteits- en toegangsmanagement, sleutelbeheer, logging, herstelbare back-ups, klantdataplatforms, digitale kanalen en AI-diensten. Juist deze capabiliteiten bepalen vaak of een instelling bestuurbaar en weerbaar blijft. Komen ze onder druk te staan, dan volgt de dienstverlening.

Geef vervolgens elke capabiliteit een soevereiniteitsscore op twee lenzen: autonomie en continuïteit enerzijds, én bescherming tegen ongewenste toegang anderzijds. Beoordeel daarnaast de functionele toepassing van beschikbare alternatieven.  

De tweede stap is het kiezen van een route per bedrijfs- en technische functie. In de praktijk ontstaat bijna altijd een mix. Sommige maatregelen zijn in vrijwel elk scenario verstandig (no-regret): continu zicht op digitale afhankelijkheden, meer regie op identiteits- en toegangsmanagement en sleutelbeheer, onafhankelijke logging en betere verplaatsbaarheid van data en geselecteerde workloads. Voor de meest gevoelige bedrijfsfuncties komt daar een strategische keuze bovenop zonder dat je de hele cloudstrategie hoeft om te gooien: een terugvaloptie op stand-by naast het huidige model, of gerichte herpositionering naar een meer soeverein alternatief waar de functionele toepassing en businesscase dat rechtvaardigen.

De derde stap is het stresstesten van die keuzes tegen toekomstscenario’s. Wat als geopolitieke spanningen afnemen en mondiale aanbieders aantrekkelijk blijven? Wat als Europese alternatieven sneller volwassen worden? En wat als geopolitieke escalatie de toegang tot bepaalde diensten of ondersteuningsmodellen minder voorspelbaar maakt? Het doel is, juist omdat de toekomst niet te voorspellen is, te voorkomen dat een soevereiniteitsaanpak slechts werkt in één denkbaar scenario.

Ook voor financiële instellingen gaat cloudstrategie nu over soevereiniteit

Cloudgebruik blijft onmisbaar

Deze benadering erkent dat afhankelijkheid hoort bij moderne digitale bedrijfsmodellen. Maar zij maakt ook duidelijk wanneer afhankelijkheid een strategische zwakte wordt: als die onzichtbaar is, slecht wordt bestuurd of niet te begrenzen valt onder druk.

Dat is relevant, omdat financiële instellingen hun digitale vernieuwing vaak niet kunnen vertragen. Data, data-analyse en kunstmatige intelligentie worden steeds belangrijker voor klantbediening, operationele efficiëntie en concurrentiekracht. Innovatieve spelers staan klaar om het marktaandeel van de gevestigde partijen te veroveren, en trappen minder op de ‘soevereiniteitsrem’ voor wat betreft cloudgebruik.

Hoe meer groei de cloud mogelijk maakt, hoe belangrijker de kwaliteit van het afhankelijkheidsbeheer wordt. Als kritieke onderdelen zich blijven concentreren bij een klein aantal externe aanbieders, moet helder zijn waar de regie ligt en welke opties overblijven als omstandigheden veranderen.

Maak digitale soevereiniteit een terugkerend onderwerp

Digitale soevereiniteit raakt strategie, weerbaarheid, naleving en keuzevrijheid op de lange termijn. Als bestuurder hoef je vandaag geen groot soevereiniteitsprogramma te starten met een abstract ideaal van volledige onafhankelijkheid. Maar je moet het onderwerp wel structureel maken in plaats van incidenteel. Dat betekent: criteria voor soevereiniteit meenemen in sourcing-, architectuur- en investeringsbesluiten, prioriteit geven aan no-regretmaatregelen voor de meest kritieke functies en bepalen waar een terugvaloptie ‘op stand-by’ gerechtvaardigd is.

Voor financiële instellingen is de kernvraag niet of zij afhankelijk zijn van mondiale technologieaanbieders. Dat is voorlopig grotendeels onvermijdelijk. De echte vraag is of ze die afhankelijkheden goed besturen.  

Ontdek hoe je regie houdt op je cloudstrategie

Download onze whitepaper ‘Dependent by default, sovereign by design’

Over de auteurs

Ad van der Graaff
Ad van der Graaff

Partner FS data & technology, PwC Netherlands

Ad is partner data & technologie bij PwC Nederland. Hij heeft diverse business- en technologietransformaties aangestuurd, zowel binnen als buiten de financiële sector, met een focus op het verbeteren van de business-IT-levering en de ontwikkeling van platforms.
Mimoent Haddouti
Mimoent Haddouti

Partner cybersecurity, resilience & privacy, PwC Netherlands

Mimoent is partner cybersecurity, resilience & privacy en heeft ruime ervaring met het opzetten en aansturen van cybersecurity- en risicomanagement in complexe, gereguleerde omgevingen. Ze focust op strategische vraagstukken rond digitale soevereiniteit en de risico’s die voortkomen uit technologische afhankelijkheden.
Volg ons