De Nederlandse Digitalisering Strategie (NDS) stuurt op digitale soevereiniteit, publieke controle, open standaarden en federatieve samenwerking. Tegelijkertijd versnelt de publieke sector haar adoptie van public cloud, vaak richting een klein aantal dominante, niet-Europese platforms. Daardoor ontstaat een bestuurlijke spanning: je moderniseert sneller, maar je bouwt ook systemische afhankelijkheden op die lastig terug te draaien zijn. 
De Algemene Rekenkamer zette in januari 2025 een harde reality check neer. Het Rijk heeft beperkt zicht op clouddiensten, bij ongeveer twee derde van de belangrijkste clouddiensten ontbreken verplichte risicoafwegingen, en van ruim een kwart is zelfs het type cloud niet bekend. Dit maakt continuïteit, soevereiniteit en exit-strategie een governanceprobleem, geen technisch detail. 
In de praktijk groeit een “Microsoft-tenzij” patroon. M365 fungeert als breekijzer, vervolgens trekt identity (Entra ID) de rest van het ecosysteem mee. Dit verklaart waarom uitvoeringsorganisaties, zoals de Belastingdienst, doorgaan met M365 ondanks politieke en soevereiniteitszorgen, omdat functionele alternatieven niet gelijkwaardig worden geacht. 
De kern van de afhankelijkheid zit niet alleen in contracten, maar in een dependency stack. Identity is de keystone, daarna volgen PaaS, data gravity, SaaS-proces-lock-in, en kennis- en cultuur-lock-in. Als je identity, processen en data eenmaal verweven zijn met één platform, wordt “exit” organisatorisch en financieel bijna onhaalbaar. Bovendien vergroot concentratie het systeemrisico: één verstoring raakt niet één organisatie, maar een groot deel van de overheid.
Soevereiniteit blijft intussen dubbelzinnig. Microsoft bouwt EU Data Boundary en “sovereignty features” zoals Data Guardian, en Confidential Computing kan technisch risico mitigeren. Echter, dit verandert de juridische realiteit niet volledig, Amerikaanse jurisdictie kan via CLOUD Act alsnog relevant blijven, zoals ook publiek is besproken rond verklaringen onder ede in Frankrijk. 
Governance schuift daardoor van vertrouwen naar verificatie. BIO2 sluit aan op ISO 27001:2023 en 27002:2022 en vraagt risicogerichte sturing, terwijl NIS2 (via de Cyberbeveiligingswet) naar verwachting in Q2 2026 ingaat en bestuurdersaansprakelijkheid en ketenverantwoordelijkheid aanscherpt. Dit dwingt tot een operating model waarin inkoop, juridisch, security, architectuur en FinOps één stuurcyclus vormen, met continue compliance en meetbare exit-ready controls. 
De strategische vraag voor bestuurders is daarom scherp: welke digitale kernfuncties wil je onder publieke regie houden, welke afhankelijkheden accepteer je expliciet, en waar eis je aantoonbare exitbaarheid, identity-ontkoppeling en sleutelbeheer buiten de provider?
djimit123
yusukeshimizu
taka_aki
teba_eleven
oracle4engineer
fullkaiten
yutosatou_kit
kazuhitotakahashi
kaminashi
you
scotthsieh825
antimon2
honzajavorek
watany
aarron
sarafernandez
garrettdimon
jonoalderson
aleyda
maltzj
samlambert
paigeccino
akademiya2063
