De risicogedreven aanpak van Ede naar digitale autonomie

De Nederlandse overheid is nu echt wakker geschud over het vergroten van haar digitale onafhankelijkheid. In mei 2025 kopte iBestuur ‘Rol Microsoft bij Amerikaanse sancties 'ernstige wake up call', boven een artikel over hoe de hoofdaanklager van het Internationaal gerechtshof (ICC) in Den Haag opeens niet meer bij zijn e-mail kon. De betreffende Microsoft-server zou zijn afgesloten in opdracht van de Amerikaanse overheid. Microsoft zelf ontkent deze versie van het verhaal, maar een wake-up call was het wel degelijk. Koen Wortmann van de VNG noemde het voorval in zijn inleiding en zei: 'Dit was het moment waarop we beseften dat de geopolitieke context is verschoven en we te afhankelijk zijn geworden van grote technologiebedrijven.'

Nieuws dichtbij

De ochtend van het congres werd ook bekend dat de TU Delft en andere Nederlandse universiteiten op de zwarte lijst staan van de staat Florida vanwege het verbreken van de banden met de staat Israël. Bedrijven die gevestigd zijn in die Amerikaanse staat mogen geen producten meer leveren aan deze instituten. Het nieuws leidde tot gemompel in de zaal: dit kwam wel heel dichtbij. 'De risico’s zijn het afgelopen jaar echt veranderd', zei Wortmann. 'En afhankelijkheden van ict-leveranciers doorkruizen alle lagen in de tech-stack, de digitale infrastructuur van de gemeentelijke organisatie.'

NDS

Voor gemeenten die de urgentie voelen en willen handelen, zijn er drie vlakken waar afhankelijkheid het meest telt: werkpleksoftware, software voor identificatie en toegang, en platformhosting van gemeentespecifieke software. Even een keuze maken is er echter vaak niet bij. Zo wil Overheidsdatacenter Noord (ODC Noord) wel leveren aan gemeenten, maar is het afhankelijk van een ministerieel besluit (Amvb) om niet in strijd te zijn met de Wet Markt en Overheid. Wortmann is op dat vlak hoopvol over de potentie van de Nederlandse digitaleringsstrategie (NDS). 'De NDS is overheidsbreed en biedt een opening voor het rijk om te blijven leveren aan gemeenten.' De NDS heeft zes prioriteiten die allemaal een raakvlak hebben met digitale autonomie, maar Wortmann legde de nadruk op de cloud: 'We leunen er allemaal op en bewegen daar steeds meer heen.'

Afhankelijkheid

Erik Dolle is CIO van de gemeente Ede. Hij begon zijn verhaal over een risicobenadering van digitale autonomie met de disclaimer dat Ede tevreden is over de ict-leveranciers die ze heeft. De gemeente heeft geen kritiek op de Microsoft-producten die zij gebruikt, maar is er net als veel andere overheidsorganisaties, wel heel afhankelijk van geworden. Los daarvan speelt de vraag hoe Ede meer regie krijgt over haar data en software, omdat steeds meer cruciale processen draaien op de cloud en/of als software-as-a-service (SaaS). Daarbij groeit de strategische waarde van data en staan publieke waarden onder druk.

Drie soorten risico’s

Digitale afhankelijkheid brengt risico’s met zich mee in concentratie, continuïteit en vertrouwelijkheid. Concentratierisico gaat over de vraag hoeveel van de ict rust op één of een handvol grote partijen? Recente incidenten met Odido en CloudFlare maakten maar weer eens duidelijk hoe kwetsbaar systemen zijn wanneer ze uitvallen bij storing in één onderdeel (single points of failure). Continuïteitsrisico gaat over de vraag hoe zeker gemeenten zijn dat hun digitale dienstverlening doorgaat. Vertrouwelijkheidsrisico stelt de vraag: wie kan er echt bij onze data? Dolle: 'Dat gaat niet alleen over hacks en datalekken maar ook over welke data buiten de eigen jurisdictie liggen, bijvoorbeeld omdat ze worden gebruikt in het trainen van grote taalmodellen (LLM’s).'

Cloudbewegingen

Uit een peiling onder leden van het CIO Beraad bleek dat de zorg bij veel gemeentelijke CIO’s vooral zit in de alomtegenwoordigheid van Microsoft, van identiteitsmanagement en informatiebeheer tot en met e-mail en hosting. Bij verstoringen en hacks kan die afhankelijkheid leiden tot het niet kunnen leveren van diensten. “Gemeenten zouden moeten nadenken hoe erg zij die afhankelijkheid vinden,” zei Dolle. Ondertussen zetten gemeenten in heel Nederland kleine stapjes naar de digitale autonomie, bijvoorbeeld met pilots voor een andere identity provider en onderzoeken naar het hosten van applicaties bij meerdere providers die onder Europese wetgeving vallen.

Ede werkt aan een proof-of-concept (PoC) om data op te slaan in Nextcloud. 'Ons doel van de PoC is om geen data meer op te slaan in de cloudomgevingen van Amerikaanse leveranciers', zei Dolle. Hij vervolgde: 'Wij kiezen voor een risicogedreven aanpak. Wij denken dus vooral goed na over wat we moeten doen om risico’s op organisatiebrede verstoringen en misbruik van onze data te voorkomen. Met compliance en gebruiksgemak als belangrijke aandachtspunten.'Hij riep andere gemeenten op om via het kennisnetwerk ervaringen te delen, ook over gesprekken die zij voeren met leveranciers over alternatieve hostingpartners.

Investeren

Wat betreft bestuurlijke beslissingen of de beslissingen door bestuurders, zei Wortmann dat het diversificeren van de technologie-stack een politiek argument kan zijn. 'Wellicht zijn jullie bestuurders gevoelig voor de boodschap om meer te investeren in Europa en/of Nederlandse cloudproviders. Waarmee zij helpen de markt te stimuleren en investeren in onze eigen verdienvermogen.'

Volgende meetup: 21 januari

Het Kennisnetwerk Data en Samenleving is een community van ruim 4.500 ambtenaren die kennis delen over digitale vraagstukken. Op 21 januari is de volgende meet-up, over hoe gemeenten werken aan datakwaliteit binnen hun organisatie.

Word lid via kennisnetwerkdata.pleio.nl