(On)bewust afhankelijk: risicomanagement in de cloudmarkt van 2026

De cloudmarkt van 2026 staat onder toenemende druk door twee ontwikkelingen die elkaar versterken: geopolitieke spanningen en de explosieve groei van AI. De toenemende politieke onvoorspelbaarheid vanuit de VS zet de dominante positie van Amerikaanse hyperscalers in een nieuw licht. Wat gebeurt er bijvoorbeeld wanneer toegang tot een platform wordt beperkt, prijzen veranderen of juridische controle over data onder buitenlandse wetgeving valt? Tegelijkertijd concentreert het AI-tijdperk enorme hoeveelheden rekenkracht, investeringen en infrastructuur bij een klein aantal (voornamelijk Amerikaanse) spelers. De cloudplatforms van hyperscalers worden daardoor krachtiger dan ooit, en de afhankelijkheid van Nederlandse organisaties groeit mee.

Organisaties die verantwoordelijk zijn voor de kritische infrastructuur van Nederland – zoals energie, water, spoor of digitale overheidsdiensten – hebben nu te maken met een governance-vraag. Hoe maak je cloudkeuzes op basis van realistisch risicomanagement, in plaats van alleen op onrust?

De afhankelijkheidsdiscussie

Laten we beginnen met iets wat in het huidige debat te snel wordt vergeten: er is niets mis met het gebruik van Amerikaanse cloudplatformen. Integendeel. Ze zijn volwassen, schaalbaar, betaalbaar en efficiënt. En de bedrijven achter deze cloudplatformen, zoals Microsoft Azure of AWS, zijn betrouwbaar. Een doemscenario waarbij zij morgen opeens een hele cloudregio afsluiten is onwaarschijnlijk.

De vraag is dus niet ‘zijn Amerikaanse bedrijven onbetrouwbaar?’ maar ‘in hoeverre laat je een externe partij invloed uitoefenen op jouw continuïteit, data of strategische bewegingsvrijheid?’ Hoewel deze vraag altijd relevant is geweest, hebben recente ontwikkelingen hem bovenaan de prioriteitenlijst van de boardroom gezet.

Soevereiniteit is een ontwerpvraag

Afhankelijkheid van cloudleveranciers kent in ieder geval vier verschillende dimensies:

1. Juridisch & compliance. Onder welke jurisdictie valt jouw data? Zijn er wetten – zoals de Amerikaanse Cloud Act – die buitenlandse autoriteiten in staat stellen toegang tot jouw gegevens te eisen? En wat bepalen contractuele verplichtingen over jouw bewegingsvrijheid?

2. Technisch. Als de leverancier of het platform uitvalt of van eigenaar wisselt, in hoeverre valt dan ook jouw bedrijfsvoering om? Hoe portabel zijn jouw workloads, en hoe realistisch zijn migratiescenario’s?

3. Operationeel. Wat is de impact van een (tijdelijke) verstoring op jouw dienstverlening? Welke alternatieven zijn er beschikbaar, en hoe snel kun je daarop overschakelen?

4. Economisch. Hoe zwaar weegt afhankelijkheid mee in aanbestedingen en leverancierskeuzes, ten opzichte van prijs en kwaliteit?

Al deze dimensies kwamen concreet samen bij de overname van de infrastructuurpartner achter DigiD. Toen Nederlandse IT-dienstverlener Solvinity werd overgenomen door het Amerikaanse Kyndryl – een overname die overigens nog in onderzoek is – had de Tweede Kamer opeens te maken met zorgen op alle vier de vlakken. Van datasoevereiniteit en continuïteit tot portabiliteit van workloads en de vraag of exitclausules ooit waren opgenomen. Maar even belangrijk was de governance-vraag die erdoor ontstond: wie is verantwoordelijk voor het toezicht op een vitale dienst als de eigenaar wisselt? Voor publieke diensten als DigiD is maatschappelijk vertrouwen minstens zo relevant als de technische werkelijkheid.

Het is belangrijk om te beseffen dat het gebruik van een externe leverancier hier niet per se het probleem is, maar het ontbreken van een contractuele exitstrategie wél. Een exitstrategie is daarbij meer dan een clausule op papier: het gaat om een uitgewerkt en getest migratiepad, met een bekende tijdlijn en concrete alternatieven.

Risico’s expliciet maken

Het voorbeeld van DigiD laat zien wat er gebeurt wanneer afhankelijkheid en de bijkomende risico’s niet expliciet worden gemaakt. Welke risico’s je accepteert is een ontwerpvraag die vóór het aangaan van een samenwerking moet worden beantwoord. In de cloudcontext betekent dit dat organisaties moeten kijken naar vragen als:

Hoe groot is de operationele schade als een leverancier (tijdelijk) uitvalt?
Hoe snel kan de dienstverlening veranderen door een overname of contractwijziging?
Is het risicoprofiel van de leverancier rondom wetgeving, dataverwerking en geopolitieke context acceptabel?

Risico is daarbij een simpele formule: kans × impact. Je kunt de risico’s van een afhankelijkheid bepalen en de impact minimaliseren. Impliciete, ondoordachte afhankelijkheid is risicovol. Expliciete afhankelijkheid, met exitstrategieën, portabele workloads en contractuele borgingen, is beheersbaar.

Kritische infrastructuur vraagt andere spelregels

Voor veel organisaties is het bepalen van acceptabele risico’s een strategische afweging. Voor organisaties die verantwoordelijk zijn voor de kritische infrastructuur van Nederland gelden echter andere regels. Bij hen is een verstoring niet slechts een bedrijfsprobleem, maar een maatschappelijk risico.

De overheid werkt aan kaders voor de digitale weerbaarheid voor kritische sectoren. Dat is noodzakelijk en logisch, maar zulke trajecten kosten tijd. Mijn advies? Wacht er niet op. Binnen de huidige kaders is al veel mogelijk: aanbestedingen kunnen eisen stellen aan datalocatie, juridische entiteit en exitclausules. Contracten kunnen migratiepaden vastleggen. Architecturen kunnen worden ontworpen met redundantie buiten één hyperscaler. Met een multi-cloud- of hybride architectuur kunnen organisaties hun kritieke onderdelen buiten een hyperscaler plaatsen.

De kennis en de oplossingen zijn in Nederland al aanwezig. Om ze toe te passen hoef je niet te wachten op Den Haag.

Afhankelijkheid als strategische keuze

Geopolitieke onrust en de razendsnelle opmars van AI zullen de komende jaren niet verdwijnen. Juist daardoor wordt afhankelijkheid gezien als strategische ontwerpkeuze in plaats van een noodzakelijk kwaad. Een cloudvolwassen organisatie handelt niet reactief op geopolitieke onrust, maar heeft de juiste vragen al beantwoord. Vandaar dat de huidige discussie zo waardevol is. Niet omdat hyperscalers plotseling onbetrouwbaar zijn geworden, maar omdat organisaties expliciet moeten nadenken over een vraag die jarenlang impliciet bleef: hoe gaan we met onze afhankelijkheid om?

Dit is een ingezonden bijdrage van Conclusion Mission Critical. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.

Blijf op de hoogte, abonneer!

SAS-analytics zit steeds korter op Snowflake, Databricks en Fabric

Alleen de VS en China kunnen nu kiezen voor een soevereine cloud

Full-stack AI klinkt leuk, de realiteit van IT-omgevingen is complexer

Cisco's 102.4 terabit chip supercharges AI data centers

Cisco doubled down on compute for the AI and edge era

Why observability is critical for AI code generation success

How Cisco's AI Canvas is revolutionizing network troubleshooting

Zo onderhandel je met cybercriminelen – als laatste redmiddel

Zo kapen criminelen ongemerkt je netwerkverkeer

De AI die duizenden kwetsbaarheden vond

Infosecurity Europe

.NEXT On Tour Amsterdam

Oxygenate

VivaTech

GITEX AI EUROPE 2026

GOTO Copenhagen 2026

API-security is cruciaal voor het beschermen van de digitale omgeving

Platform engineering als versneller van de energietransitie

Het pakketprobleem in de logistiek; van claims naar kostenbesparing