Digitale autonomie raakt drie fundamenteel verschillende risicocategorieën. Elk vraagt om een andere afweging en een andere aanpak. Wie ze door elkaar haalt, neemt verkeerde maatregelen tegen de verkeerde dreiging.
1. Privacyrisico
Overheidsorganisaties verwerken de meest gevoelige persoonsgegevens die er zijn: belastingaangiften, uitkeringsgegevens, medische indicaties, verblijfsstatus, juridische dossiers. Dit zijn gegevens die burgers toevertrouwen aan de overheid in de verwachting dat ze worden beschermd.
Het privacyrisico zit niet alleen in hacks en datalekken. Het zit ook in de juridische kwetsbaarheid van data die onder buitenlandse jurisdictie valt. De CLOUD Act creëert een permanent potentieel inzagerecht voor de Amerikaanse overheid in data die door Amerikaanse providers wordt verwerkt.
De CLOUD Act is daarin niet het enige instrument. In mei 2026 deelden Microsoft en andere techbedrijven namen van medewerkers van de Autoriteit Consument en Markt (ACM) en de Autoriteit Persoonsgegevens met een commissie van het Amerikaanse Huis van Afgevaardigden, die onderzoek doet naar de Europese handhaving van de Digital Services Act. De rechtsgrondslag was geen CLOUD Act-verzoek maar een parlementaire dagvaarding. E-mails, notulen en uitnodigingen werden overhandigd met namen van Nederlandse ambtenaren die niet waren geanonimiseerd. Staatssecretaris Aerdts noemde de situatie ’ontzettend onwenselijk’.
Wat dit incident toevoegt aan het beeld: de gedeelde informatie zat in Microsofts eigen zakelijke systemen, niet in systemen die Microsoft namens de Nederlandse overheid beheert. De betrokken ambtenaren hadden zelf geen data bij Microsoft opgeslagen, ze hadden deelgenomen aan overleggen waar ook Microsoft bij was. Het laat zien dat de extraterritoriale bevoegdheden van de VS verder reiken dan cloudopslag alleen.
2. Continuïteitsrisico
Overheidsprocessen mogen niet stoppen. Uitkeringen moeten worden uitbetaald, vergunningen moeten worden verleend, de belasting moet worden geheven. Een overheidsorganisatie die haar primaire processen heeft uitbesteed aan een buitenlandse leverancier, is kwetsbaar voor storingen die buiten haar eigen invloedssfeer liggen.
De vraag is niet of een leverancier uitvalt, dat is statistisch zeker bij voldoende lange tijdshorizon, maar of je als organisatie een plan B hebt dat werkt voordat de schade onherstelbaar is. De Algemene Rekenkamer constateerde in januari 2025 dat bij 84 van de 126 belangrijkste public clouddiensten van het Rijk geen risicoafweging was gemaakt. Twee derde dus. De Rekenkamer waarschuwt expliciet dat de mogelijke schade de samenleving kan ontwrichten.
Maar technische storingen zijn niet het enige risico. Een cloudafhankelijkheid geeft een buitenlandse partij ook een potentieel drukmiddel. In mei 2025 blokkeerde Microsoft de toegang tot het officiële e-mailaccount van de hoofdaanklager van het Internationaal Strafhof in Den Haag, nadat de Amerikaanse overheid sancties had opgelegd. Microsoft was juridisch verplicht te voldoen, zonder tussenkomst van een Nederlandse rechter. Het ICC heeft naar aanleiding hiervan besloten Microsoft 365 volledig te verlaten.
Als laatste is er nog een continuïteitsrisico: de overname. In november 2025 kondigde het Amerikaanse IT-bedrijf Kyndryl een bod aan op het Nederlandse Solvinity, dat onder meer de infrastructuur achter DigiD beheert, goed voor 16,5 miljoen gebruikers. Het Bureau Toetsing Investeringen (BTI) startte een onderzoek onder de Wet Vifo. In mei 2026 adviseerde het BTI de overname volledig te verbieden; staatssecretaris Aerdts nam dat advies over, “ter bescherming van het publieke belang.”
De casus is illustratief op twee manieren. Ten eerste: een als Nederlands ervaren leverancier kan via een transactie binnen weken in een buitenlands eigendomsregime terechtkomen, met alle juridische gevolgen van dien. Ten tweede: de Wet Vifo biedt de overheid een instrument om dat te blokkeren, maar dat instrument werkt alleen als er actief toezicht is en als soevereiniteitsrisico’s tijdig worden gesignaleerd. Zonder change-of-control-clausules in contracten en zonder een actief investeringstoetsingsregime is een overheidsorganisatie bij zo’n transactie niet alleen passagier, maar ook bagage.
3. Systeemrisico
Als grote delen van de overheidskolom op dezelfde infrastructuur draaien, wordt een kwetsbaarheid in één product een kwetsbaarheid van de hele overheid. Digitale monocultuur is geen hypothetisch gevaar: de aanval op Kaseya VSA in 2021 trof duizenden organisaties tegelijk. En in juli 2024 legde een foutieve update van beveiligingssoftware CrowdStrike luchthavens, ziekenhuizen en overheidsorganisaties wereldwijd plat. Niet door een aanval, maar door één gedeelde afhankelijkheid in de toeleveranciersketen.
Het concentratierisico heeft twee gezichten. Het directe: als één cloudleverancier uitvalt of wordt aangevallen, worden alle organisaties die daarvan afhankelijk zijn tegelijk geraakt. En het subtielere: zelfs organisaties die zelf niet worden aangevallen, kunnen worden meegesleurd via een gemeenschappelijke leverancier of component.
Dit blog is onderdeel van de Intermax-whitepaper Digitale autonomie voor de overheid (2026). Het volledige whitepaper is hier te downloaden.