Nederlandse hogescholen en universiteiten heroverwegen hun afhankelijkheid van Microsoft. Instellingen onderzoeken nu of onderwijs en onderzoek kunnen draaien zonder Microsoft 365, Teams en Azure. De discussie speelt in Nederland en Europa door zorgen over kosten, privacy en wetgeving. Het raakt direct aan Europese digitalisering en de gevolgen voor onderwijs en bedrijfsleven.
Instellingen heroverwegen Microsoft
Op campus en thuis draait veel samenwerking op Microsoft 365. E-mail, documenten en vergaderen gaan via Outlook, Word en Teams. Veel ICT-beheer leunt bovendien op Azure en Entra ID, het identiteitsplatform van Microsoft.
Besturen vragen zich af of deze afhankelijkheid nog past bij hun publieke taak. Ze willen meer grip op data, kosten en risico’s. Ook willen ze kunnen kiezen uit meerdere leveranciers.
De vraag is niet alleen technisch, maar ook strategisch. Wat betekent een overstap voor onderwijslogistiek, onderzoekssamenwerking en beveiliging? En hoeveel tijd en geld kost het om dit goed te doen?
Kosten en licenties stijgen
Licentiekosten voor cloudpakketten veranderen regelmatig. Abonnementen verschuiven naar duurdere bundels met extra beveiligingsfuncties. Dit zet onderwijsbegrotingen onder druk, op het moment van schrijven bij meerdere instellingen.
Ook de manier waarop producten worden aangeboden verandert. In Europa is Teams losgekoppeld van Office na mededingingskritiek. Voor instellingen betekent dat opnieuw keuzes maken en contracten herzien.
Daar komt bij dat beveiliging niet gratis is. Geavanceerde functies zitten vaak in de hoogste licenties. Instellingen moeten bepalen welke risico’s zij accepteren en wat zij echt nodig hebben.
AVG dwingt tot datagrijp
De Algemene verordening gegevensbescherming (AVG) stelt eisen aan dataminimalisatie, versleuteling en bewaartermijnen. Onderwijsinstellingen voeren DPIA’s uit om privacyrisico’s in kaart te brengen. Zij sluiten verwerkersovereenkomsten en richten instellingen privacyvriendelijk in.
Datastromen naar de VS blijven gevoelig. Het EU–VS Data Privacy Framework is nu het geldende mechanisme, op het moment van schrijven. Toch kijken instellingen naar aanvullende waarborgen vanwege de Amerikaanse CLOUD Act en het Schrems II-verleden.
Praktisch betekent dit: waar mogelijk Europese datacenters, end-to-end-versleuteling en duidelijke rolverdeling tussen verwerker en verwerkingsverantwoordelijke. Ook logging en toegangsbeheer moeten op orde zijn. Dit vraagt tijd en specifieke expertise.
Alternatieven bestaan, met haken
Er zijn open-source en Europese alternatieven voor samenwerken in de cloud. Denk aan Nextcloud voor opslag en delen, met Collabora of OnlyOffice voor documenten. Voor chat en video zijn Matrix/Element en BigBlueButton of Jitsi opties.
Identiteitsbeheer kan buiten Entra ID, bijvoorbeeld met open standaarden zoals SAML en OpenID Connect via federaties. In Nederland speelt SURF een centrale rol in afspraken, inkoop en identiteit. Daarmee is federatieve toegang tot tools van meerdere leveranciers mogelijk.
Toch zijn er beperkingen. Bestandsuitwisseling met .docx en macro’s blijft een knelpunt. En niet elk alternatief biedt dezelfde integratie of beveiligingsfuncties als de Microsoft-stapel.
Migreren vraagt regie en tijd
Een overstap begint met een inventarisatie van processen, data en risico’s. Welke applicaties zijn kritisch en welke kunnen direct vervangen? Waar ontbreekt nog functionaliteit en wat kan tijdelijk hybride blijven?
Daarna volgen datamigratie, trainingen en support. Open bestandsformaten zoals ODF helpen om vastlopen in één leverancier te voorkomen. Afspraken over retentie en eigenaarschap van data horen in het contract.
“Vendor lock-in is de afhankelijkheid van één leverancier, waardoor overstappen duur of moeilijk wordt.”
Ook aanbesteding en beveiliging tellen mee. Instellingen toetsen leveranciers aan ISO 27001 en SURF-beveiligingsafspraken. Pentests, exit-clausules en duidelijke servicelevels verkleinen de risico’s.
Europese regels sturen keuzes
Europese mededingingstoezichthouders kijken naar bundeling van samenwerkingssoftware. Dat leidt tot aanpassingen in pakketten en prijzen, zoals bij Teams en Office. Het maakt ruimte voor concurrentie en keuzevrijheid.
De Data Act bevat ‘cloud switching’-regels die het wisselen van aanbieder moeten vereenvoudigen. Dit moet op termijn migratiekosten en technische barrières verlagen. Voor onderwijsinstellingen kan dat lock-in verder beperken.
NIS2 brengt strengere eisen voor beveiliging en incidentmelding, op het moment van schrijven in nationale implementatie. En de AI-verordening legt transparantie-eisen op aan generatieve functies zoals Microsoft Copilot. Dit alles maakt dat instellingen hun digitale strategie opnieuw uitlijnen, met meer aandacht voor autonomie en compliance.