Lobbyisten van Microsoft, Amazon Web Services, Google Cloud en Palantir voeren hun invloed op in Brussel en Den Haag. Ze willen soepelere regels voor cloud en data, terwijl Europa strengere eisen voorbereidt. Dit speelt in 2025 rondom publieke diensten en defensieprojecten in de EU en Nederland. De inzet is digitale soevereiniteit en wie de spelregels bepaalt; Europese digitalisering heeft gevolgen voor het bedrijfsleven.
Lobby rond Europese cloudregels
Grote techbedrijven richten zich op regels voor cloudbeveiliging en data-toegang in de EU. Het gaat onder meer om het Europese Cloud Services Schema (EUCS), de Data Act en de Digital Markets Act. EUCS moet een uniform keurmerk voor cloudveiligheid worden, maar details zijn op het moment van schrijven nog in discussie. Lobbyisten waarschuwen voor hogere kosten en vertraging als eisen te strikt worden.
De Data Act verplicht aanbieders tot makkelijke overstap tussen clouddiensten. Dit heet portabiliteit en moet lock-in voorkomen. Cloudbedrijven vragen om langere overgangstermijnen en heldere technische standaarden. Europese toezichthouders willen juist dat overstappen snel en betaalbaar kan.
Ook speelt data-toegang door buitenlandse wetgeving, zoals de Amerikaanse CLOUD Act. Die wet kan data van Europese klanten raken als die bij een Amerikaans bedrijf staat. Na het Schrems II-arrest zijn extra waarborgen nodig, zoals standaardclausules en versleuteling. Bedrijven gebruiken dat argument om hun beveiliging te benadrukken en uitzonderingen te vragen in sectorregels.
Druk op publieke diensten
De lobby richt zich sterk op de overheid, zorg en onderwijs. Deze sectoren verwerken veel gevoelige gegevens en moeten voldoen aan de AVG. De AVG eist dataminimalisatie en versleuteling, en legt de verantwoordelijkheid bij de verwerkingsverantwoordelijke. Leveranciers beloven compliance, maar opdrachtgevers blijven eindverantwoordelijk.
In Nederland spelen daarbij ook de BIO-standaard voor informatiebeveiliging en aanbestedingsregels. Instellingen willen moderne digitale dienstverlening, maar vrezen afhankelijkheid van één platform. Contracten over sleutelbeheer en datalokalisatie worden daarom belangrijker. Gemeenten en ministeries kiezen vaker voor multi-cloud en open standaarden.
Defensie en veiligheidsdiensten vragen extra garanties, zoals soevereine sleutelbeheersing. Daarbij blijft de vraag wie toegang kan afdwingen, ook buiten de EU. Technische oplossingen als end-to-endversleuteling helpen, maar lossen juridisch risico niet volledig op. Beleidskeuzes bepalen uiteindelijk of data buiten bereik van derden blijft.
Souvereiniteit versus snelheid
Cloud maakt digitale diensten snel schaalbaar. Dat is aantrekkelijk voor overheden en bedrijven die kosten willen beheersen. Tegelijk groeit de afhankelijkheid van enkele wereldwijde platforms. Digitale soevereiniteit betekent keuzevrijheid, controle en continuïteit, ook in een crisis.
Europa werkt aan alternatieven en samenwerking. Voorbeelden zijn GAIA-X en het IPCEI Cloud/Edge-programma, die Europese interoperabiliteit en open interfaces stimuleren. Deze initiatieven vragen tijd en investeringen. Lobbyisten benadrukken intussen dat bestaande platforms direct beschikbaar en bewezen zijn.
Voor Nederland ligt de balans tussen innovatie en controle centraal. Eigen hosting is vaak duur en minder flexibel. Volledige uitbesteding kan risico’s vergroten bij storingen, prijswijzigingen of geopolitieke druk. Een mix van publieke, private en soevereine cloudopties wordt daarom gangbaar.
“De cloud is het huren van rekenkracht en opslag via internet, waarbij data en software op externe servers draaien in plaats van op eigen computers.”
Wetgeving zet grenzen
De AI-verordening (AI Act) legt eisen op aan risicovolle AI-systemen, zoals algoritmen in publieke dienstverlening. Leveranciers moeten transparantie en toezicht regelen, met extra plichten voor hoge risico’s. Dat raakt cloudplatforms die AI-diensten aanbieden aan Europese klanten. Op het moment van schrijven werken toezichthouders aan uitvoeringsrichtsnoeren.
NIS2 verplicht essentiële en belangrijke organisaties tot strengere cyberbeveiliging. Dit raakt zowel aanbieders van clouddiensten als hun afnemers. Incidentmelding, risicobeheer en ketenverantwoordelijkheid worden aangescherpt. Contracten moeten daarom duidelijk vastleggen wie waarvoor verantwoordelijk is.
De Digital Services Act en Digital Markets Act beperken marktmacht en ondoorzichtige praktijken. Voor grote platforms gelden extra plichten rond toegang tot data en interoperabiliteit. Dat moet concurrentie en keuze vergroten, ook in de cloud. Bedrijven zoeken tegelijk naar ruimte om hun diensten winstgevend te houden.
Nederland zoekt eigen koers
De Nederlandse overheid werkt aan kaders voor veilig en soeverein gebruik van cloud, op het moment van schrijven onderdeel van de rijksbrede digitaliseringsstrategie. Belangrijke keuzes gaan over sleutelbeheer, datalokalisatie en exit-plannen. Exit-plannen beschrijven hoe je weg kunt bij een leverancier zonder dienstonderbreking. Dit verkleint lock-in en kosten bij overstap.
Onderwijs en onderzoek gebruiken community cloud-diensten via samenwerkingsverbanden zoals SURF. Zulke voorzieningen combineren schaalvoordeel met Europese opslag en afspraken over data. Voor organisaties met strengere veiligheidseisen blijven maatwerk en on-premises opties nodig. Zo ontstaat een gelaande aanpak per risicoprofiel.
Voor bedrijven en instellingen is het advies nuchter en praktisch. Classificeer data op gevoeligheid en kies de passende cloudlaag. Leg in contracten vast wie sleutels beheert en hoe audit plaatsvindt. Test jaarlijks of overstappen technisch en juridisch mogelijk is.
Transparantie over lobby nodig
De kern van het debat is zicht op invloed en belangen. Openbaar maken van lobbycontacten en technische onderbouwing helpt beleid en vertrouwen. Europese instellingen vergroten daarom het register voor belangenvertegenwoordiging. Nederland kan dit versterken bij inkoop en wetsvoorbereiding.
Heldere effectanalyses voorkomen dat regels innovatie remmen of risico’s onderschatten. Dat geldt bij EUCS, AI Act en NIS2, maar ook bij nationale inkoopkaders. Betrek daarbij zowel leveranciers als publieke gebruikers en onafhankelijke experts. Zo blijft de discussie over digitalisering feitelijk en toetsbaar.
De inzet is duidelijk: veilige, betaalbare en betrouwbare digitale diensten in Europa. Cloud blijft daarbij onmisbaar, maar niet tegen elke prijs. Met transparante lobby, strakke beveiliging en echte keuzemogelijkheden kan Europa regie houden. Dat is in het belang van overheid, burgers en het bedrijfsleven.