De gemeente Velsen deelt zorgen over digitale veiligheid en de afhankelijkheid van Amerikaanse technologie. Toch neemt de gemeente op dit moment geen directe maatregelen om die afhankelijkheid te verminderen. Het gaat om veelgebruikte systemen voor e-mail, documenten en cloudopslag in de gemeentelijke organisatie. Velsen wil eerst duidelijkheid over kosten, risico’s en Europese regels voordat het keuzes maakt.
Velsen wacht met ingrijpen
De gemeente erkent dat de inzet van Amerikaanse clouddiensten risico’s kan meebrengen voor privacy en continuïteit. Tegelijk weegt Velsen de noodzaak mee om de dienstverlening aan inwoners en ondernemers niet te verstoren. Grote wijzigingen in IT vragen voorbereiding, capaciteit en budget.
Een snelle overstap naar andere platforms zou leiden tot onderbrekingen, hogere kosten en trainingsbehoefte. Lopende contracten en koppelingen met bestaande systemen spelen ook een rol. Daarom kiest de gemeente er nu voor om eerst te onderzoeken welke opties haalbaar en verantwoord zijn.
Velsen volgt daarbij ontwikkelingen binnen gemeentelijke samenwerkingen en landelijke richtlijnen. De gemeente wil lessen trekken uit ervaringen van andere overheden. Pas daarna komt een eventuele koerswijziging in beeld.
Afhankelijkheid raakt dataveiligheid
Afhankelijkheid van grote technologiebedrijven raakt direct aan dataveiligheid en digitale soevereiniteit. Clouddiensten en kantoorsoftware verwerken gevoelige gegevens van inwoners, ondernemers en medewerkers. Juridische kaders buiten de EU, zoals de Amerikaanse CLOUD Act, vergroten de zorg dat data onder buitenlandse regels kan vallen.
Daarnaast speelt het risico van vendor lock-in, waarbij overstappen lastig en duur wordt. Integraties, eigen werkprocessen en maatwerk maken een migratie vaak complex. Daardoor groeit de drempel om alternatieven te kiezen, zelfs als de wens er is.
Vendor lock-in betekent dat een organisatie moeilijk kan wisselen van leverancier, omdat data, processen en integraties sterk aan één platform vastzitten.
Voor gemeenten komt daar nog de plicht bij om te voldoen aan de AVG, inclusief dataminimalisatie en passende beveiliging zoals versleuteling. Ook archief- en openbaarheidseisen vragen zorgvuldige omgang met opslag en toegang. Een verkeerde keuze kan leiden tot juridische risico’s en verlies van vertrouwen.
Europese regels sturen keuzes
De AVG blijft de basis voor dataverwerking door overheden. Het EU-US Data Privacy Framework, dat op het moment van schrijven geldt, biedt extra waarborgen voor doorgifte naar de VS. Toch moeten organisaties blijven toetsen of de gekozen diensten passend zijn voor het type gegevens en risico’s.
Daarnaast komt NIS2 eraan, de Europese cybersecurityrichtlijn die meer organisaties verplicht tot striktere beveiliging en toezicht. Nederland werkt aan de implementatiewet, maar het is op het moment van schrijven nog niet definitief hoe dit precies uitpakt voor gemeenten. De verwachting is wél dat eisen aan risicobeheer, meldplichten en leveranciersketens zwaarder worden.
Ook werkt Europa aan het EU Cybersecurity Certification Scheme for Cloud Services (EUCS). Dit certificaat moet duidelijk maken welk beveiligingsniveau een clouddienst biedt. Als EUCS ingaat, kan het inkopers helpen om platforms te selecteren die aan Europese normen voldoen.
Opties voor een soevereine cloud
Velsen kan op termijn kijken naar Europese of “soevereine” cloudopties. Zulke platforms beloven dat data binnen de EU blijft en onder Europese wet valt. Europese aanbieders en initiatieven, zoals Gaia-X, proberen hiervoor standaarden en samenwerkingen op te zetten.
Een overstap vraagt echter een realistische afweging. Europese alternatieven bieden soms minder functionaliteit of integraties dan grote Amerikaanse suites. Ook kunnen kosten, migratietrajecten en veranderbeheer zwaarder uitvallen.
Een tussenweg is een hybride aanpak: gevoelige gegevens in een Europese of eigen omgeving, en generieke samenwerkingstools in de publieke cloud. Open standaarden en exitclausules in contracten verkleinen het risico op lock-in. Zo blijft de deur open voor toekomstige keuzes, zonder de dienstverlening nu te ontwrichten.
Gevolgen voor inwoners en bedrijven
Voor inwoners draait het om bereikbare en veilige digitale dienstverlening, van aanvragen tot bezwaarprocedures. Betrouwbare systemen en heldere beveiliging voorkomen datalekken en verstoringen. Transparantie over opslaglocaties en datagebruik versterkt het vertrouwen.
Voor lokale bedrijven die met de gemeente samenwerken, kunnen strengere beveiligingseisen gaan gelden. Denk aan versleuteling, logging en afspraken over subverwerkers in de keten. Dit sluit aan bij Europese digitalisering en de gevolgen voor het bedrijfsleven: hogere eisen, maar ook heldere normen en gelijke spelregels.
Interne processen bij de gemeente moeten voldoen aan de AVG, inclusief dataminimalisatie en bewaartermijnen. Goede contracten, DPIA’s (gegevensbeschermingseffectbeoordelingen) en periodieke audits zijn daarbij essentieel. Zo blijft de organisatie aantoonbaar in controle, ook als technologie en regels veranderen.
Volgende stappen en tijdpad
Velsen kiest nu voor monitoren, onderzoeken en zorgvuldig afwegen. De gemeente volgt Europese regelgeving en Nederlandse richtlijnen die op het moment van schrijven in ontwikkeling zijn. Een concreet tijdpad voor eventuele aanpassingen is nog niet bekendgemaakt.
Wanneer de kaders duidelijker zijn, kan de gemeente scenario’s uitwerken met kosten-batenanalyses en risicobeoordelingen. Europese aanbestedingen voor nieuwe systemen kosten doorgaans maanden tot ruim een jaar. Daarom is vroegtijdige voorbereiding belangrijk, ook als er nog geen besluit is.
Intussen blijft de focus op beveiligingsbasismaatregelen, zoals patchmanagement, toegangsbeheer en encryptie. Ook wordt de afhankelijkheid van leveranciers in kaart gebracht, inclusief exitstrategieën. Zo kan Velsen sneller schakelen zodra de voorwaarden kloppen.