ECP Deelnemersspecial: 'Regie terugpakken in de cloud: van debat naar beslissingskracht'

• Strategische digitale autonomie

09-04-2026

Digitale autonomie en cloudsoevereiniteit staan hoog op de agenda van overheden, marktpartijen en kennisinstellingen. Tegelijk is het speelveld druk en versnipperd. Visies, initiatieven en oplossingen volgen elkaar in hoog tempo op, terwijl organisaties nu al concrete keuzes moeten maken over architectuur, governance, contracten, data en afhankelijkheden. Precies in die spanning organiseerde ECP op 9 april de deelnemersspecial ‘Regie terugpakken in de cloud: van debat naar beslissingskracht’. Niet om het debat nog eens over te doen, maar om de stap te zetten van analyse naar keuzes. ECP bracht daarvoor beleid, toezicht, praktijk en markt bij elkaar rond één centrale vraag: wat is een realistische routekaart voor regie op cloud?

Op die vraag kwam tijdens de middag geen blauwdruk naar voren, maar wel degelijk een richting. De meest realistische routekaart bleek geen alles-of-niets benadering, maar een stapsgewijze aanpak: begin risicogedreven, maak onderscheid tussen kritische en niet-kritische processen, organiseer bewust waar controle en exit-opties nodig zijn, en benut publieke inkoopkracht en samenwerking om Europese alternatieven op te bouwen. Daarmee verschoof het gesprek zichtbaar van principiële stellingname naar handelingslogica.

Die inzet klonk ook door in de opening van Marjolijn Bonthuis, die vanuit ECP het belang benadrukte van verbinden, samenwerken en het verder brengen van een debat dat in veel organisaties nog tussen urgentie en handelingsverlegenheid in hangt. Kees Verhoeven, als dagvoorzitter, zette de toon door de discussie bewust weg te trekken van simplificaties. Hij benadrukte dat het vraagstuk niet geholpen is met nieuwe kampen of karikaturen, maar met een gesprek over vrije keuze, afhankelijkheden en reële alternatieven. Daarmee gaf hij meteen een belangrijke lens mee voor de rest van de middag: regie op cloud vraagt niet om slogans, maar om scherpte in analyse én respect voor de complexiteit van het vraagstuk.

Wat tijdens de bijeenkomst steeds opnieuw zichtbaar werd, is dat digitale autonomie en cloudsoevereiniteit geen zwart-witvraagstukken zijn. Het gaat niet simpelweg om vóór of tégen hyperscalers, of om een snelle beweging van Amerikaans naar Europees. Het vraagstuk is veel gelaagder: het gaat over geopolitiek, marktmacht, publieke waarden, uitvoerbaarheid en de vraag hoeveel regie organisaties daadwerkelijk willen en kunnen organiseren. ECP positioneerde zich daarbij nadrukkelijk in haar eigen rol: agenderend en verbindend, met als doel om samenhang aan te brengen en perspectieven bijeen te brengen waar het debat anders snel vastloopt in reflexen en tegenstellingen.

Setting the scene: Wat doet Europa, wat doen andere lidstaten, wat kunnen wij?

Een eerste belangrijke lijn was de geopolitieke urgentie. Cloudsoevereiniteit werd niet neergezet als een ideologisch project of een pleidooi om de publieke cloud abrupt af te zweren. De kern is dat overheden en organisaties hun publieke taak betrouwbaar, bestuurbaar en continu moeten kunnen uitvoeren, óók onder veranderende geopolitieke omstandigheden. Juist daarom is alleen kijken naar individuele juridische of technische beheersbaarheid te beperkt. Zoals Lokke Moerel (Tilburg University & Morrison Foerster) scherp stelde: “Op het niveau van één organisatie zijn de soevereiniteitsrisico’s vaak te overzien, maar als elke organisatie vervolgens een Amerikaanse aanbieder kiest komt er nooit een serieuze Europese cloudindustrie op gang.” Daarmee verschoof de discussie van het niveau van de individuele businesscase naar het bredere vraagstuk van collectieve afhankelijkheid, Europese marktvorming en strategische handelingsvrijheid. Haar bijdrage maakte ook duidelijk dat het risico inmiddels niet alleen meer over vendor lock-in gaat, maar steeds vaker ook over lock-out, geopolitieke druk en de vraag of Europa zelf voldoende alternatief vermogen ontwikkelt.

Interview: digitale autonomie & publieke waarden

Daarmee kwam meteen een tweede spanning op tafel: cloudsoevereiniteit gaat niet alleen over de herkomst van technologie, maar ook over de waarden en afhankelijkheden die ermee samenhangen. In het gesprek met Jantien Borsboom (PublicSpaces) werd benadrukt dat “made in Europe” op zichzelf nog geen afdoende antwoord is. Ook Europese technologie moet immers worden beoordeeld op de publieke waarden die zij ondersteunt of juist onder druk zet. Democratie, transparantie en verantwoordelijkheid kwamen daarbij nadrukkelijk naar voren als waarden die niet pas achteraf, maar vanaf het begin moeten worden meegewogen in ontwerp, inkoop en governance. De vraag is dus niet alleen welke cloud je gebruikt, maar ook welke samenleving en publieke ruimte je met die keuzes mede vormgeeft. Dat verbreedde het gesprek van infrastructuur naar publieke verantwoordelijkheid.

Stap voor stap naar digitale autonomie in de cloud

Een derde belangrijke lijn was economisch van aard. De afhankelijkheid van niet-Europese cloudspelers is in de loop van vele jaren opgebouwd. Dat maakt duidelijk waarom deze situatie niet met één besluit of één aanbesteding is te kantelen. Paul de Bijl (Autoriteit Consument & Markt) plaatste dit in termen van marktmacht en coördinatieproblemen. Europese aanbieders kunnen moeilijk opschalen zonder voldoende vraag, terwijl die vraag uitblijft zolang hun aanbod onvoldoende schaal en functionaliteit heeft om breed als alternatief te fungeren. Dat is precies waarom de markt het niet vanzelf oplost. Zijn boodschap was dan ook dat de overheid hier niet alleen een toezichthoudende of beleidsmatige rol heeft, maar ook een richtinggevende en activerende. Zoals hij het formuleerde: “De route naar digitale soevereiniteit vereist een krachtige coördinatie en sturing vanuit de overheid, vanuit een gezamenlijke Europese aanpak.” In zijn bijdrage zat daarmee ook een concrete handelingsrichting: begin stapsgewijs, bundel vraag, creëer zekerheid voor Europese aanbieders en zet de overheid in als launching customer om de sneeuwbal aan het rollen te brengen. Daarmee werd de routekaart van de middag ook bestuurlijk scherper: regie op cloud vraagt niet alleen om technische keuzes binnen organisaties, maar ook om collectieve marktordening en langjarige publieke sturing.

Digitale soevereiniteit in de praktijk

De praktijkbijdrage van Geert-Willem Haasjes (Capgemini) liet zien hoe organisaties zelf met digitale soevereiniteit aan de slag kunnen. De spreker maakte duidelijk dat soevereiniteit geen kwestie is van een simpele ja-of-nee-keuze. Het gaat er vooral om dat organisaties bewust bepalen waar zij zelf de regie willen houden, keuzevrijheid willen behouden en moeten kunnen overstappen als dat nodig is. Daarbij noemde hij verschillende punten waarop die ruimte nu onder druk staat, zoals buitenlandse toegang tot data, afhankelijkheid van één aanbieder, beperkte overstapmogelijkheden, de concentratie van data en AI, en ongelijke juridische verhoudingen.

De kracht van zijn bijdrage was dat hij dit niet alleen op hoofdlijnen besprak, maar ook vertaalde naar concrete vragen voor bestuur en inrichting van de organisatie. Volgens hem moeten organisaties goed nadenken over hun architectuur, de aansturing van systemen, data en versleuteling, de benodigde kennis in de eigen organisatie en hun bredere leveranciersstrategie. Zijn hoofdboodschap was helder: volledige soevereiniteit is in de praktijk vaak niet haalbaar, maar bewuste afhankelijkheid wel.

Ook liet hij zien dat organisaties nu al praktische stappen kunnen zetten. Denk aan het scheiden van kritische en minder kritische systemen, zorgen dat data en systemen verplaatsbaar blijven, het spreiden van diensten over meerdere aanbieders, het verkennen van Europese cloudalternatieven, samenwerking met andere partijen en het voorbereiden van noodscenario’s. Daarbij noemde hij ook de mogelijkheid om een organisatie zo in te richten dat in een crisissituatie snel kan worden teruggeschakeld naar de meest noodzakelijke kernprocessen (Minimal Viable Company).

Juist in die bijdrage werd de centrale vraag misschien wel het meest praktisch beantwoord. Een realistische routekaart begint niet met één eindbeeld, maar met ontwerpkeuzes per domein: welke data, processen en functies zijn zo kritisch dat extra soevereiniteitsmaatregelen nodig zijn, en waar is een lichtere aanpak verantwoord? Dat maakt regie op cloud minder tot een abstract ideaal en meer tot een bestuurlijke ontwerpopgave.

Gesprekstafel: van analyse naar handelingsperspectief

De gesprekstafel sloot daar goed op aan. Die maakte zichtbaar dat dit vraagstuk uiteindelijk niet alleen om analyses vraagt, maar om keuzes in tempo, prioritering en samenwerking. Welke systemen zijn zó kritisch dat je daar eerst moet beginnen? Waar kun je stapsgewijs ervaring opbouwen? Hoe voorkom je dat urgentie blijft steken in debat, zonder dat je vervalt in simplificaties? De panelleden brachten daar verschillende accenten in aan, maar de rode draad was eensluidend: er is geen one size fits all, maar er is wel degelijk handelingsperspectief. Matthieu van Amerongen (Nebul) vatte dat economisch samen: “Europa heeft geen technische uitdaging welke we juridisch op kunnen lossen. Europa heeft een economische uitdaging (en kans).” En Aart Jochem (Centric) maakte het praktisch: “Versterken van digitale soevereiniteit waar dat nodig is kan, nu al.” Ook Simon Besteman (Dutch Cloud Community) bracht een nuttige relativering in met de observatie dat soevereiniteit geen aan-uitknop is, maar een reis die in stappen moet worden doorlopen. Annemarie Costeris (Microsoft) bracht daar vanuit Microsoft een belangrijk aanvullend perspectief in: regie op cloud gaat niet alleen over waar systemen of data staan, maar ook over autonomie, controle en wendbaarheid. Voor organisaties en overheden is het minstens zo relevant hoe snel zij kunnen schakelen, uitwijken en continuïteit kunnen borgen als omstandigheden veranderen. Daarmee bracht zij nadrukkelijk het perspectief van weerbaarheid en handelingsvermogen in de praktijk in. Samen leverde dat geen afvinklijst op, maar wel een duidelijk handelingskader: werk gefaseerd, differentieer naar risico, organiseer samenwerking en durf nu al te beginnen waar dat kan.

Conclusie

Wat daarmee boven de bijeenkomst kwam hangen, was misschien wel de belangrijkste conclusie: de vraag is niet meer óf regie op cloud nodig is, maar hoe organisaties daar nu concreet werk van maken. Het debat verschuift van principiële posities naar ontwerpkeuzes, risicoprofielen, investeringsbesluiten en samenwerking. Minder symboliek, meer afweging. Minder abstractie, meer toepassing. Precies daar zit ook de kracht van de rol die ECP in deze bijeenkomst heeft gepakt. Marjolijn Bonthuis onderstreepte in haar afsluiting dat ECP juist in dit roerige speelveld de handschoen wil oppakken: niet door één oplossing te claimen, maar door partijen bij elkaar te brengen, het gesprek op feiten te voeren en vervolg te organiseren. Daarmee kreeg de bijeenkomst ook een duidelijke uitnodiging mee: dit was geen eindpunt, maar een volgende stap in een gesprek dat nu vooral om verdieping én actie vraagt.

Want afwachten is intussen ook gewoon een keuze.

Onderdeel van de ECP-reeks digitale autonomie

De bijeenkomsten in deze reeks worden door ECP georganiseerd, als deelnemersbijeenkomst met partners uit het publieke en private domein of in samenwerking met het ministerie van Economische Zaken en Klimaat. De inzichten uit de bijeenkomst worden meegenomen in het verdere werk van ECP rond digitale autonomie en in vervolgactiviteiten binnen deze reeks.