Het rapport van de Algemene Rekenkamer is geconstrueerd vanuit een impliciet maar bepalend uitgangspunt: dat afhankelijkheid van publieke cloudinfrastructuur een vast gegeven is. Dat uitgangspunt maakt een beoordeling van digitale soevereiniteit principieel onmogelijk, omdat soevereiniteit veronderstelt dat afhankelijkheid normatief en analytisch ter discussie wordt gesteld. Wanneer afhankelijkheid als axioma wordt aangenomen, kan beleid slechts gericht zijn op beheersing binnen die afhankelijkheid, niet op het veiligstellen van afdwingbare zeggenschap (Angelier, 2024).
In januari 2025 publiceerde de Algemene Rekenkamer het rapport Het Rijk in de cloud. Het rapport is zorgvuldig opgebouwd, bestuurlijk correct van toon en geschreven met de expliciete intentie om meer grip te krijgen op het toenemende gebruik van publieke clouddiensten door de rijksoverheid.
Juist daarom is de conclusie onontkoombaar: het gaat wéér mis in het fundament. Niet omdat de analyse slordig is, niet omdat risico’s worden genegeerd, maar omdat het rapport vertrekt vanuit een conceptueel fout uitgangspunt. En wanneer het uitgangspunt onjuist is, kan de perceptie niet kloppen — en zal de raadgeving onvermijdelijk tekortschieten.
Het Rijk in de cloud richt zich primair op de vraag hoe het Rijk controle kan houden over cloudgebruik via governance, coördinatie, toezicht en risicobeheersing (Algemene Rekenkamer, 2025). Cloudgebruik wordt daarbij gepresenteerd als een feitelijke realiteit, waarvoor bestuurlijke kaders moeten worden aangescherpt.
De centrale vraag is impliciet: hoe organiseren we grip op een bestaande afhankelijkheid?
Wat niet wordt gevraagd, is fundamenteel: of deze afhankelijkheid wenselijk en aanvaardbaar is voor vitale overheidsfuncties. Controle over gebruik wordt verward met soevereine zeggenschap. Daarmee analyseert het rapport niet soevereiniteit, maar het management van afhankelijkheid.
Opvallend is dat het rapport nergens expliciet definieert wat onder digitale soevereiniteit wordt verstaan. In plaats daarvan wordt gewerkt met begrippen als:
Dit lijkt pragmatisch, maar is bestuurlijk problematisch. Definities bepalen het analytisch kader en daarmee de beleidsuitkomst. Wanneer een kernbegrip niet scherp wordt gedefinieerd, optimaliseert beleid onvermijdelijk het bestaande in plaats van het gewenste (van Eeten & Mueller, 2013).
Eerder onderzoek laat zien dat het ontbreken van een expliciete definitie van digitale soevereiniteit leidt tot beleidskaders die afhankelijkheid normaliseren en optimaliseren, in plaats van zeggenschap veiligstellen (Angelier, 2024).
Digitale soevereiniteit is geen eigenschap van technologie of processen, maar een machtsrelatie. Zij bestaat uitsluitend wanneer een overheid exclusieve en afdwingbare zeggenschap heeft over haar data, systemen en cryptografische sleutels, zodanig dat geen externe actor — staat, onderneming of juridisch regime — toegang of gedrag kan afdwingen, direct noch indirect (Floridi, 2020; Angelier, 2024).
Deze definitie is strikt, maar noodzakelijk. Soevereiniteit is geen gradueel volwassenheidsniveau. Zij is binair en manifesteert zich uitsluitend onder juridische of politieke druk. Waar dwang mogelijk is, bestaat geen soevereiniteit.
Het rapport van de Algemene Rekenkamer hanteert deze definitie niet en kan soevereiniteit daardoor ook niet toetsen.
De meest fundamentele tekortkoming van Het Rijk in de cloud is dat afhankelijkheid van publieke cloudplatforms als uitgangspunt wordt genomen. De analyse vertrekt vanuit de aanname dat cloudgebruik een gegeven is, en dat de beleidsopgave vooral bestaat uit betere coördinatie en governance.
Daarmee worden alternatieven die wél uitgaan van soevereine zeggenschap — zoals eigen infrastructuur of strikt nationale of Europese oplossingen voor vitale functies — conceptueel uitgesloten.
Wanneer afhankelijkheid niet normatief wordt bevraagd, ligt de uitkomst van de analyse feitelijk al vast. Dit maakt het rapport analytisch gesloten en beleidsmatig voorspelbaar.
Hoewel het rapport aandacht besteedt aan informatiebeveiliging, blijft een cruciaal element opvallend vaag: cryptografische sleutelcontrole.
Het rapport stelt niet expliciet de vragen:
Zonder exclusieve en juridisch niet-afdwingbare sleutelcontrole blijft encryptie een beveiligingsmaatregel, geen soevereiniteitsinstrument. Cryptografie verplaatst pas macht wanneer sleutelbeheer volledig buiten bereik van externe dwang valt (Angelier, 2024).
Het rapport benadrukt het belang van exit-strategieën. Dat klinkt prudent, maar zonder machtsanalyse blijft dit een papieren exercitie.
De kernvraag ontbreekt: wat gebeurt er wanneer een leverancier niet mág meewerken aan exit, bijvoorbeeld door buitenlandse wetgeving, sancties of politieke druk?
Zolang niet wordt vastgesteld of een exit onder dwang daadwerkelijk uitvoerbaar is, blijft zij een bestuurlijke geruststelling in plaats van een reële optie. Een exit-strategie zonder analyse van juridische afdwingbaarheid is beleidsmatig betekenisloos (Angelier, 2024).
Het Rijk in de cloud is geen ondeugdelijk rapport. Het is zorgvuldig, coherent en bestuurlijk correct. Juist daarom is de tekortkoming ernstig.
Wat ontbreekt, is:
Zonder deze elementen blijft het rapport steken in het optimaliseren van een situatie die mogelijk fundamenteel onwenselijk is.
Het rapport van de Algemene Rekenkamer laat zien dat de overheid wéér wordt geadviseerd vanuit een verkeerd uitgangspunt. Niet door onkunde, maar door een diepgewortelde bestuurlijke reflex om afhankelijkheid te managen in plaats van te bevragen.
Zonder juiste definitie blijft perceptie verkeerd.
Zonder juiste perceptie blijft raadgeving falen.
En zolang de raadgeving faalt, zal digitale soevereiniteit een beleidsillusie blijven.
Dit is geen technisch probleem. Het is een fundamentele fout in denken — en die herhaalt zich opnieuw.
Algemene Rekenkamer (2025). Het Rijk in de cloud. Available at: https://www.rekenkamer.nl/site/binaries/site-content/collections/documents/2025/01/15/het-rijk-in-de-cloud/Het+Rijk+in+de+cloud.pdf
Angelier, V. (2024). Digital sovereignty as an enforceable power relation. SSRN preprint.
Available at: https://orcid.org/0009-0009-1830-5180
Floridi, L. (2020). The fight for digital sovereignty: What it is, and why it matters.
Philosophy & Technology, 33(3), pp. 369–378. Available at: https://link.springer.com/article/10.1007/s13347-020-00423-6
Swire, P. and Hemmings, J. (2021). Mutual legal assistance in an era of globalization.
NYU Journal of International Law and Politics, 53(4). Available at: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2728478
van Eeten, M. and Mueller, M. (2013). Where is the governance in Internet governance?
New Media & Society, 15(5), pp. 720–736. Available: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2808759
Europol (2024). Call for action: urgent plan needed to transition to post-quantum cryptography. Available at: https://www.europol.europa.eu/media-press/newsroom/news/call-for-action-urgent-plan-needed-to-transition-to-post-quantum-cryptography-together
Hier kan je reageren op onze artikelen en een inhoudelijke bijdrage leveren. Lees ook even onze huisregels.
Om te reageren dien je eerst aan te melden.
Reageer je voor de eerste keer? Registreer je dan hier.
