Jouw gemeentedata staat bij Big Tech. Hoe erg is dat?

Microsoft Teams is overal. In gemeentehuizen, op laptops van ambtenaren, op telefoons van wethouders. Om te videobellen, te chatten, documenten te delen. En daarachter hangen SharePoint, OneDrive en een hele sliert andere diensten. Het werkt prima. Niemand klaagt.

Totdat je je afvraagt: waar staat onze data eigenlijk? En wie kan er bij?

De afgelopen maanden merk ik dat bij veel gemeenten wordt nagedacht over die vraag. Niet omdat ze ineens een hekel hebben aan Microsoft... Of aan Google, Amazon of Oracle.

Maar omdat ze zich realiseren dat ze hun data hebben toevertrouwd aan Amerikaanse bedrijven. En dat die bedrijven, hoe betrouwbaar ook, uiteindelijk onder Amerikaanse wetgeving vallen.

Waarom is datasoevereiniteit ineens zo belangrijk?

Er zijn verschillende redenen waarom gemeenten dit nu oppakken. De AVG is er natuurlijk al jaren, maar de uitvoering daarvan krijgt alleen maar meer aandacht. Europa werkt aan strengere regelgeving rond digitale soevereiniteit. En de geopolitieke situatie maakt het vertrouwen in Amerikaanse techbedrijven niet groter.

Maar er speelt ook iets praktisch. Gemeenten merken dat ze afhankelijk zijn geworden van één leverancier. Voor bijna alles. En afhankelijkheid betekent dat je niet zelf bepaalt wat er gebeurt met je systemen en je data.

Daarnaast groeit het besef dat data van burgers beschermd moet worden. Niet alleen omdat het moet van de wet, maar ook omdat het vertrouwen van burgers afhangt van hoe gemeenten met hun gegevens omgaan.

Wat Big Tech belooft…

Microsoft, Google, Amazon en Oracle beloven allemaal dat ze datasoevereine oplossingen kunnen bieden. Microsoft heeft bijvoorbeeld zijn EU Data Boundary afgerond, waarbij Europese data binnen Europa blijft. Oracle biedt een soevereine cloud voor de EU. Met servers in Frankfurt en Madrid, beheerd door Europese juridische instanties. Google heeft vergelijkbare constructies.

Dat klinkt best geruststellend. Servers in Europa, beheerd door Europese teams, met contractuele garanties dat data de EU niet verlaat zonder toestemming.

…En wat de wet zegt

Maar er is een juridisch probleem dat niet zo makkelijk op te lossen is.

De Patriot Act uit 2001 geeft Amerikaanse autoriteiten al jaren bevoegdheden om data op te vragen bij Amerikaanse bedrijven, ook als die data buiten de VS wordt opgeslagen. Volgens ICT-juristen kan de FBI met deze wet gegevens opeisen van Amerikaanse cloudaanbieders, zelfs wanneer het gaat om data van Europese klanten die onder de AVG valt.

De CLOUD Act uit 2018 gaat nog verder. Dankzij deze wet, officieel de Clarifying Lawful Overseas Use of Data Act, kunnen Amerikaanse autoriteiten bedrijven dwingen data te overhandigen, ongeacht waar die data fysiek staat. Het Nationaal Cyber Security Centrum (NCSC) concludeerde in een onderzoek dat ook Europese bedrijven en data die volledig in Europa wordt verwerkt, onder bepaalde omstandigheden onder deze wetgeving kunnen vallen.

Microsoft gaf in juni 2025 in de Franse Senaat toe dat het bedrijf datasoevereiniteit in Europa niet volledig kan garanderen als de Amerikaanse overheid met een beroep op de CLOUD Act toegang zou eisen. Anton Carniaux, directeur publieke zaken van Microsoft Frankrijk, benadrukte dat Microsoft "een zeer rigoureus systeem" heeft om verzoeken te analyseren en ongegronde verzoeken af te wijzen. Maar de harde realiteit blijft: als de Amerikaanse overheid met een gerechtelijk bevel komt, moet een Amerikaans bedrijf daaraan voldoen.

Het probleem zit hem in de extraterritoriale werking van deze wetten. Zelfs als je data op een server in Amsterdam staat, en die server wordt beheerd door een Europese dochteronderneming, dan nog valt het moederbedrijf onder Amerikaanse jurisdictie.

Open source als serieus alternatief

Gelukkig zijn er alternatieven. Open source-oplossingen zoals Nextcloud bieden file sharing en samenwerking op een manier die je kunt vergelijken met OneDrive en SharePoint. Voor communicatie zijn er opties als Mattermost en Rocket.Chat, beide als zelfstandige alternatieven voor Teams te gebruiken. Voor videobellen kun je kijken naar Jitsi. En voor complete samenwerkingsomgevingen bestaan Europese aanbieders die dezelfde functionaliteit bieden als de grote Amerikaanse platformen.

Het voordeel? Je kunt deze oplossingen hosten waar je wilt. Op je eigen servers. Bij een Nederlandse hostingprovider. Bij een Europese cloudaanbieder zonder Amerikaanse banden. Jij bepaalt waar de data staat en wie er toegang toe heeft.

Maar laten we wel eerlijk blijven: het is niet zo simpel als het klinkt. Microsoft Teams werkt. Iedereen kent het. De integratie met andere tools is naadloos. Overstappen betekent verandering, training, aanpassingen in werkprocessen. En ik weet ook wel dat niet iedere open source-oplossing net zo gebruiksvriendelijk is als die van de grote commerciële partijen.

Moet je morgen dan maar stoppen met Teams?

Moet je morgen stoppen met Teams? Of je Azure- of AWS-licentie de deur uit doen?
Nee. Maar je zou wel moeten nadenken over welke data je bij Big Tech hebt staan en hoe belangrijk het is om die te beschermen.

Er zijn gemeenten die een hybride aanpak kiezen. Ze gebruiken Microsoft voor reguliere communicatie en niet-gevoelige documenten, maar bewaren vertrouwelijke informatie op eigen servers of bij Europese aanbieders. Andere kiezen ervoor om bepaalde afdelingen of processen al over te zetten naar alternatieven, als proef.

De kunst is om bewuste keuzes te maken. Welke data is echt gevoelig? Wat zijn de risico's als een buitenlandse overheid toegang zou krijgen? En wat weegt dat op tegen het gemak van de huidige oplossing?

Voor sommige gemeenten is het antwoord duidelijk: alle burgerdata hoort op Europese servers onder Europese jurisdictie. Voor anderen ligt de afweging genuanceerder. Maar de discussie voeren is al een stap vooruit.

Hoe wij ernaar kijken

Bij WeAreFrank! zien we dit vraagstuk dagelijks. Gemeenten komen naar ons toe omdat ze willen systemen willen integreren, moderniseren en koppelen. En steeds vaker begint het gesprek met de vraag: hoe behouden we de controle over onze eigen data?

Ons antwoord is simpel: gebruik open source. Niet omdat closed source per definitie slecht is, maar omdat open source je vrijheid geeft. De vrijheid om zelf te beslissen waar je software draait. De vrijheid om de code aan te passen als dat nodig is. De vrijheid om niet vast te zitten aan één leverancier.

Het Frank!Framework dat wij ontwikkelen, werkt overal. Op je eigen servers, in een Europese cloud, of zelfs bij een Amerikaanse provider als je dat zou willen. Maar het punt is: jij bepaalt het. Niet wij. En zeker niet een Amerikaans concern dat uiteindelijk moet luisteren naar zijn eigen overheid.

We geloven in transparantie. Daarom is onze code open. Zodat je precies kunt zien wat er gebeurt. Zodat je niet hoeft te vertrouwen op beloftes, maar zelf kunt controleren.

En we geloven in een eerlijk businessmodel. Geen vendor lock-in waarbij je gevangen zit zodra je eenmaal begint. Geen licentiekosten die elk jaar stijgen. Gewoon eerlijke dienstverlening waarbij je betaalt voor de waarde die we leveren, niet voor het feit dat je geen kant meer op kunt.

De keuze is aan jou

Big Tech is niet slecht. Microsoft, Google en Amazon bouwen uitstekende producten. Maar ze opereren binnen een juridisch kader dat hen dwingt te luisteren naar hun eigen overheid. En die overheid is niet de Nederlandse.

De vraag is niet of je alles moet veranderen. De vraag is of je bewust nadenkt over welke data je waar neerlegt. Over welke afhankelijkheden je acceptabel vindt. Over wie uiteindelijk de macht heeft over de digitale infrastructuur van je gemeente.

Interesse in onze visie op open source en datasoevereiniteit? Neem contact met ons op.