Wat in het contract staat, is afdwingbaar. Hieronder vijf stappen die overheidsorganisaties kunnen zetten om security en autonomie via aanbesteding te borgen.
Stap 1: Breng je afhankelijkheden in kaart
Een Business Impact Analyse (BIA) is voor de meeste overheidsorganisaties al verplicht, vanuit de BIO2, NIS2 of interne continuïteitsnormen. Daarin breng je in kaart hoe erg het is als een systeem 24 uur, 72 uur of een week niet beschikbaar is, en welke processen prioriteit hebben bij herstel. Als je die analyse al hebt gedaan: goed. Maar er is één dimensie die in een standaard-BIA vrijwel altijd ontbreekt.
Een klassieke BIA gaat uit van technische verstoringen: storingen, aanvallen, menselijke fouten. Wat ontbreekt is de geopolitieke risicolaag: wat als de dienst niet uitvalt door een technisch probleem, maar omdat een buitenlandse leverancier onder politieke of juridische druk staat? Wat als een Amerikaans bedrijf verplicht wordt dienstverlening te staken, of als escalerende spanning tussen landen leidt tot beperkingen in de digitale toeleveranciersketen?
Loop je bestaande BIA daarom opnieuw langs met deze aanvullende vraag per kritiek systeem: is de continuïteit van dit systeem afhankelijk van een partij die buiten Nederlandse of Europese jurisdictie valt, en wat is de impact als die partij wegvalt, niet door een storing, maar door een politieke beslissing?
Aandachtspunt: een volledige afhankelijkheidsanalyse vraagt capaciteit die bij kleinere gemeenten en uitvoeringsorganisaties niet altijd beschikbaar is. Organisaties die dit niet zelfstandig kunnen uitvoeren, kunnen aansluiten bij gezamenlijke VNG-trajecten of de BIO2-risicoklassificatie als startpunt gebruiken. Het doel is bewuste keuzes, niet een perfect register op dag één.
Stap 2: Classificeer op basis van het drielagenmodel
Gebruik het drielagenmodel als ordeningsprincipe. Maak een portfolio-overzicht van alle systemen, ingedeeld op laag. Dit overzicht vormt de basis voor de cloudstrategie én voor aanbestedingseisen.
Stap 3: Bouw eisen in bij aanbesteding
Voorbeeldeisen bij aanbesteding zijn: data wordt opgeslagen op servers binnen de EER, contractueel vastgelegd; de leverancier kan een actueel overzicht verstrekken van alle sub-processors; er is een exit-strategie met data-export in open formaat bij beëindiging contract; er is een notificatieplicht bij verzoeken van buitenlandse autoriteiten; er is een change-of-control-clausule bij ongewenste overname; en NIS2-compliance is aantoonbaar voor de gehele leveranciersketen.
Voor gemeenten die verder willen gaan dan contractuele eisen, biedt Haven+ een concreet vertrekpunt. Haven+ is een referentiearchitectuur en set open-source componenten ontwikkeld binnen de Common Ground-beweging, met gemeente Utrecht als launching customer, en wordt via Digilab (BZK) uitgebouwd tot landelijke standaard. Het bouwt voort op de Haven Kubernetes-standaard en voegt de services toe die je nodig hebt om applicaties volledig provider-onafhankelijk te draaien: monitoring, database-beheer, security en identity management. Nederlandse aanbieders zoals Previder zijn al Haven-compliant. Door Haven-conformiteit op te nemen als aanbestedingseis, verklein je vendor lock-in structureel. Niet als papieren clausule, maar als technische randvoorwaarde.
Aandachtspunt: strikte autonomie-eisen bij aanbesteding kunnen het aanbod van geschikte leveranciers verkleinen en de kosten verhogen. Een gedifferentieerde aanpak is verstandig: hanteer de zwaarste eisen voor laag-1-systemen (kritieke processen), en meer flexibele criteria voor laag-3-systemen (niet-kritieke bedrijfsvoering).
Stap 4: Sluit aan bij de NDS-structuur
Individueel sta je als gemeente of provincie niet sterk tegenover een techgigant met honderden miljarden omzet. Collectief wel. De NDS biedt de structuur om gezamenlijk in te kopen en gezamenlijk soevereiniteitseisen te formuleren. Maak gebruik van de VNG-kanalen en de Thorbecketafel.
Aandachtspunt: collectieve trajecten via de NDS-structuur kennen langere doorlooptijden dan individuele beslissingen. Voor organisaties met een contract dat op korte termijn verloopt, is het praktischer om de NDS-standaarden als richtlijn mee te nemen in de eigen aanbesteding, zonder te wachten op volledige collectieve besluitvorming.
Stap 5: Test je offline-scenario’s
Plan minimaal tweemaal per jaar een oefening waarbij kritieke systemen gesimuleerd worden uitgeschakeld. Hoe lang functioneert de organisatie zonder het primaire systeem? Oefening is de enige manier om papieren continuïteitsplannen te toetsen aan de werkelijkheid.
Dit blog is onderdeel van de Intermax-whitepaper Digitale autonomie voor de overheid (2026). Het volledige whitepaper is hier te downloaden.