Op 18 februari 2026 publiceerde het ministerie van Justitie en Veiligheid een juridische analyse van Amazon's "European Sovereign Cloud" — een dienst die Amazon aanprijst als een veilig, in Europa gebaseerd alternatief voor zijn standaard Amerikaanse cloudaanbod. Drie dagen later was het rapport verdwenen. Het ministerie had het van de officiële overheidswebsite verwijderd.
De reden? Experts zeiden dat het de risico's onderschatte. Critici beschuldigden de afdeling Strategisch Leveranciersmanagement (SLM) van het ministerie — die cloudcontracten onderhandelt namens de gehele Nederlandse overheid — van tunnelvisie als het gaat om Amerikaanse Big Tech.
Het rapport werd uiteindelijk op 26 februari opnieuw gepubliceerd met een memo dat benadrukte dat het een puur juridisch onderzoek is, geen beleidsaanbeveling, en geen risicobeoordeling. De schade was echter al aangericht: het incident maakte pijnlijk duidelijk hoe verward Nederlandse instellingen zijn over de cloud waarvan ze afhankelijk zijn — en hoe hoog de inzet is geworden.
Wat het rapport eigenlijk zei
Het ministerie had de analyse laten uitvoeren door het Amerikaanse advocatenkantoor Greenberg Traurig. Hun conclusie: het is technisch mogelijk dat de Amerikaanse overheid toegang krijgt tot Nederlandse data of clouddiensten opschort via wetgeving en informele druk — maar ze achtten de kans klein dat dit daadwerkelijk zou gebeuren.
Een medewerker van de SLM-afdeling vatte het rapport vervolgens samen op LinkedIn en noemde het "zeer onwaarschijnlijk" dat de VS toegang zou krijgen tot Nederlandse overheidsdata. Het product zou "potentieel" aansluiten bij de Nederlandse visie op digitale soevereiniteit.
Critici waren niet onder de indruk. Het probleem is niet alleen de kans — het is de afhankelijkheid zelf. Zoals Tweede Kamerlid Barbara Kathmann van GroenLinks-PvdA het verwoordde: de SLM-afdeling heeft de bijnaam "het Nederlandse ministerie van Microsoft" verdiend. Europese bedrijven, zo stelt ze, zijn inmiddels gestopt met het dingen naar Nederlandse overheidsopdrachten.
De omvang van de Nederlandse afhankelijkheid
De verlegenheid van het ministerie staat in een context die iedereen die verantwoordelijk is voor gevoelige data in Nederland zou moeten alarmeren. Onderzoek van de NOS toonde aan dat 67% van de Nederlandse overheidsinstanties, zorginstellingen, scholen en vitale bedrijven verbonden is met ten minste één Amerikaanse clouddienst.
Van de 1.722 websites van Nederlandse overheids- of semi-overheidsinstanties maakte elke website gebruik van ten minste één Amerikaanse cloudprovider. Negen van de vijftien Nederlandse ministeries gebruiken Microsoft Teams of Webex voor interne communicatie — tools die draaien op Amerikaanse infrastructuur, potentieel toegankelijk voor Amerikaanse autoriteiten via de CLOUD Act.
De afhankelijkheid strekt zich uit tot kritieke systemen. DigiD — het identiteitsverificatiesysteem van de overheid dat door miljoenen Nederlanders wordt gebruikt — dreigde bijna in Amerikaanse handen te vallen toen beheerder Solvinity een Amerikaanse overname te verwerken kreeg. De deal kon alleen worden tegengehouden als die een bedreiging voor de nationale veiligheid vormt.
Waarom dit belangrijk is voor scholen en bijlesinstituten
Scholen zijn niet immuun. Nederlandse universiteiten, ziekenhuizen en overheidsinstanties hebben allemaal dezelfde afweging gemaakt: Amerikaanse clouddiensten adopteren vanwege hun gemak en kosten, de afhankelijkheid accepteren als een beheersbaar risico.
Voor bijlesinstituten is de vraag concreter. Wanneer je Microsoft Teams of Zoom gebruikt voor lessen, loopt de video, audio, chat en sessiedata van je leerlingen via Amerikaanse infrastructuur. Onder de Amerikaanse CLOUD Act kunnen autoriteiten providers dwingen die data af te staan — ongeacht waar de servers fysiek staan. Het maakt niet uit of het datacenter in Amsterdam of Dublin staat als het bedrijf in de Verenigde Staten is opgericht.
De Oostenrijkse zaak liet zien dat dit niet hypothetisch is. Toen Microsoft het e-mailaccount van de aanklager van het Internationaal Strafhof blokkeerde na Amerikaanse sancties, toonde het precies aan hoe een Amerikaans bedrijf gedwongen kan worden om op te treden tegen Europese gebruikers — zonder dat een Europese instelling kon ingrijpen. Voor scholen is de parallel duidelijk: studentdata bij Amerikaanse providers valt uiteindelijk onder Amerikaans recht, wat het contract ook zegt.
De AVG vereist dat scholen weten waar hun data naartoe gaat, wie het beheert en welk recht van toepassing is. Het gebruik van Amerikaanse platforms schendt de AVG niet automatisch, maar creëert een complexiteitslaag die EU-gehoste platforms volledig vermijden.
Nederlandse alternatieven bestaan — en werken
Het goede nieuws, zo vertelden tech-ondernemers de Tweede Kamer in januari 2026, is dat alternatieven beschikbaar zijn. Volgens Wido Potters van de Nederlandse cloudprovider BIT kunnen Nederlandse en Europese aanbieders zo'n 80% dekken van wat Amerikaanse bedrijven momenteel leveren — inclusief dataopslag, software en e-mailsystemen.
De beweging wint terrein. Meerdere fracties in de Tweede Kamer — waaronder D66, VVD, CDA en GroenLinks-PvdA — hebben de urgentie erkend en concrete actie geëist. Er zijn moties aangenomen die de overheid opdragen de afhankelijkheden in kaart te brengen, exitstrategieën te ontwikkelen voor Amerikaanse clouddiensten en Europese bedrijven voorrang te geven bij aanbestedingen.
De overgang zal niet van de ene op de andere dag plaatsvinden. Nederlandse gemeenten, scholen en zorginstellingen hebben jarenlang werkprocessen opgebouwd rondom Microsoft en Google. Overstappen kost tijd, budget en omscholing. Maar de politieke en beveiligingsdruk houdt niet op — en organisaties die nu beginnen met plannen, hebben meer opties dan degenen die afwachten.
Wat bijlesinstituten vandaag kunnen doen
Voor een bijlesinstituut is het afhankelijkheidsprobleem veel beter op te lossen dan voor een ministerie of een ziekenhuis. Je runt geen DigiD. Je geeft lessen, beheert roosters en communiceert met leerlingen en ouders. Dat is oplosbaar met Europese tools.
Bij Simpleclass hebben we een videoconferentieplatform gebouwd specifiek voor Nederlandse bijlesinstituten, volledig gehost in de EU — met servers in Nederland en Frankrijk. We vallen niet onder de Amerikaanse CLOUD Act. De sessiedata van je leerlingen raakt nooit aan Amerikaanse infrastructuur. De AVG-compliance is geen vinkje dat we achteraf hebben ingevuld — het zit ingebakken in waar en hoe de data wordt opgeslagen.
De cloudverlegenheid van de Nederlandse overheid is een symptoom van hoe diep Amerikaanse tech zich heeft ingebed in Europese instellingen — en hoe moeilijk het is alternatieven te zien wanneer je al jaren in hetzelfde ecosysteem zit. Voor scholen en bijlesinstituten is de uitweg korter dan het lijkt. Je hoeft alleen een platform te kiezen dat nooit onderdeel is geweest van de Amerikaanse cloud.