Overslaan en naar de inhoud gaan
Abonneer nu
Digitale Toekomst EU | Partner nieuws

Wat Nederland kan leren van Duitse soevereine cloudkeuzes

Lessen die Nederlandse bestuurders direct kunnen toepassen.

reichstag
Beeld: Getty Images

Meer van T-Systems

Terwijl de discussie over digitale soevereiniteit in Nederland nog volop loopt, maken Duitse overheidsinstanties al langer concrete keuzes voor Europese cloudoplossingen. Wat kunnen wij hier in Nederland van leren? Een rondgang langs referentieprojecten levert lessen op over hoe je soevereiniteit juridisch borgt, schaalbaar maakt en contractueel afdwingt. Lessen die ook voor Nederlandse bestuurders direct toepasbaar zijn.

Duitsland worstelt met dezelfde vragen over soevereiniteit, maar loopt in de uitvoering voor op Nederland. De reden: Duitsland is van nature sceptischer, heeft de schaalgrootte en kan meer investeren in het opbouwen van een degelijk digitaal ecosysteem en een passende governance die volledig losstaat van de Amerikaanse jurisdictie. Niet altijd probleemloos, maar wél met lessen die ook hier relevant zijn.

Schaalbaarheid als bestuurlijke opgave

Veel mensen willen er liever niet aan Corona herinnerd worden, maar de Duitse Corona-app biedt een van de meest instructieve casussen over cloudgovernance in de publieke sector. Het Bundesministerium für Gesundheit in Duitsland koos voor T Cloud Public (wat destijds Open Telekom Cloud heette), een Europese hyperscaler met datacenters in Duitsland, Nederland en Zwitserland als fundament voor hun Corona app.

Wat deze casus bijzonder maakt, is de combinatie van factoren waarmee elke overheidsbestuurder vroeg of laat te maken krijgt: piekbelasting van miljoenen gebruikers, maximale politieke zichtbaarheid én expliciete compliance-eisen zoals BSI C5, vergelijkbaar met de BIO in Nederland. De technische infrastructuur hield stand, maar de bestuurlijke les zit in hoe dat mogelijk werd gemaakt: niet door te vertrouwen op de belofte van "autoscaling", maar door schaalbaarheid contractueel en technisch te borgen, inclusief SLA's, auditrechten en transparante kostenstructuren.

Voor Nederland geldt hetzelfde: bij crisisapplicaties moet grip op kosten en prestaties vooraf zijn vastgelegd, niet achteraf worden opgeëist.

Platformkeuze is slechts het begin

Deelstaat Sachsen-Anhalt migreerde tijdens de coronapandemie delen van zijn onderwijsportaal naar T Cloud Public. Op het hoogtepunt van de lockdowns liep het gebruik op tot tientallen miljoenen toegangsmomenten per dag, de schaalbaarheid bleek geen probleem. Toch leerde een analyse door compliance-officers iets opmerkelijks: niet alle componenten draaiden op hetzelfde platform. Videodiensten en notificaties bleken hun eigen verwerkers en subverwerkers te hebben. Dit is een patroon dat in vrijwel elke complexe digitale omgeving terugkeert. De platformkeuze is één laag. De kracht van het in kaart brengen van de volledige keten, inclusief alle subverwerkers, gaf duidelijkheid over het werkelijke risicoprofiel en maakte zichtbaar waar aanvullende contractuele afspraken of technische maatregelen nodig waren. Dus, kijk niet alleen naar de cloud-laag, maar ook naar de diensten die er op draaien.

Van rechtbank tot investeringsbank

GeFa is een federaal initiatief voor één uniform digitaal platform voor alle Duitse rechtbanken en openbaar ministeries, een moderne applicatie voor circa honderdduizend gebruikers, ter vervanging van versnipperde deelstaatoplossingen. Het programma maakt gebruik van soevereine cloudtechnologie, T Cloud Public, en past AI toe voor zaak- en dossierbeheer. Normen als ISO 27001 en BSI C5 zijn daarbij een inhoudelijke eis. In de rechtsstaat is vertrouwelijkheid van gegevens immers geen optie maar een grondrecht.

Een vergelijkbaar verhaal speelt bij de publieke investeringsbank van Schleswig-Holstein, die koos voor Nextcloud op T Cloud Public van T-Systems. BaFin-eisen, Europese datalokatie en auditbaarheid waren expliciet onderdeel van de afweging. Certificeringen als BSI C5 en ISO 27001 werden niet als vanzelfsprekend geaccepteerd, maar vertaald naar concrete contractvereisten: logging, incidentrapportage, auditmogelijkheden en heldere afspraken over sleutelbeheer.

Beide casussen laten hetzelfde zien: soevereiniteit is ook in de meest gevoelige domeinen operationeel haalbaar, mits bestuurders bereid zijn de juiste eisen te stellen én die te vertalen naar toetsbare contractcriteria.

Tips voor Nederlandse bestuurders

Onze ervaring in Duitsland laat patronen zien die direct vertaalbaar zijn naar de Nederlandse situatie.

  1. Vraag bij piekbelasting om concrete stresstests en kostenplafonds, beloften over schaalbaarheid alleen zijn onvoldoende.
  2. Eis bewijsstukken én vertaal die naar auditrechten en rapportageverplichtingen voor compliance doeleinden.
  3. Breng de volledige verwerkingsketen in kaart, want platformkeuze alleen zegt onvoldoende over het werkelijke risicoprofiel.
  4. Zorg dat de gekozen Europese cloud oplossing qua functionaliteit zo dicht mogelijk bij de functionaliteit zit van de cloudoplossingen waarmee IT-ers gewend zijn te werken.

Open standaarden: noodzakelijk, maar niet voldoende

Duitse organisaties zoals IHK München, Hochschule Bonn-Rhein-Sieg en de gemeente Kirchheim unter Teck maken soevereiniteit concreet via open tooling, Kubernetes, meerdere availability zones binnen Duitsland en integratie met eigen identity- en accessmanagement. Open standaarden verminderen leveranciersafhankelijkheid, maar nemen die niet volledig weg. Wie future-proof wil zijn, moet dat vanaf dag één als expliciete exitstrategie implementeren en een overdraagbaarheidsplan in het architectuur- en contractontwerp opnemen. In het plan leg je afspraken vast over dataportabiliteit, escrow-regelingen en heldere migratieprocedures.

Cloud vraagt om regie én vertrouwen

De kern van wat de Duitse referentieprojecten leren: publieke cloudkeuzes zijn niet primair technisch van aard. Ze zijn ook bestuurlijk. Schaalbaarheid, compliance en soevereiniteit zijn geen losse thema's, maar samen het fundament van digitale publieke infrastructuur. Wie die infrastructuur benadert zoals fysieke infrastructuur, met redundantie, toezicht, veiligheid, transparantie en langetermijnbeheer, vergroot de digitale wendbaarheid èn het publieke vertrouwen. En dat is uiteindelijk de kern van elke digitale transformatie in de Nederlandse publieke sector.

Frank Stavenuiter

Frank Stavenuiter is Chief Technology Officer en lid van het Management Team van T-Systems Nederland. Hij helpt organisaties en partners bij vraagstukken rondom digitale soevereiniteit.

Vragen?
Neem gerust contact op.

T-Systems

Over T-Systems

Europese partner voor soevereine cloud, AI en digitale continuïteit.

Lees meer van T-Systems

Lees meer

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.

Inloggen

Melden als ongepast

Door u gemelde berichten worden door ons verwijderd indien ze niet voldoen aan onze gebruiksvoorwaarden.

Schrijvers van gemelde berichten zien niet wie de melding heeft gedaan.
(advertentie)

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in