Begin juli kwam het antwoord, in drie. Eerst de Kamerbrief over de Verkenning soevereine overheidsclouddienst met de Notitie Verkenning Overheidsbrede Soevereine Clouddiensten, twee dagen later de Herziening rijksbreed cloudbeleid 2026 met bijbehorende Kamerbrief. En op 8 juli kwam VNG met de handreiking Eisen aan gemeentelijke cloudvoorzieningen.
Samen kiezen ze precies de richting waar mijn vorige blog op eindigde. Soevereiniteit is meetbaar. Het Rijk én VNG maken er beleid van. Drie gezichtspunten, één boodschap. Gemeenten: bereid je voor!
Gemeenten zijn essentiële entiteiten
"In de eerste plaats is bedrijfscontinuïteit essentieel", zo zegt het document over gemeentelijke cloudvoorzieningen. En dat is te verwachten. Want in het rijksbrede cloudbeleid, in sectie 4.3, en dat begint zo: "Het is ongewenst dat er voor kritieke processen een mogelijk beïnvloeding [sic] van buiten de EU kan plaatsvinden." Organisaties die binnen de categorie essentiële entiteiten van de Cyberbeveiligingswet vallen, wordt daarom afgeraden "om voor hun primaire proces of onderdelen daarvan, gebruik te maken van diensten van leverancier die (deels) onder een jurisdictie van buiten de EU of de EER valt."
Lees die passage nog een keer. Gemeenten, provincies, waterschappen. Alle drie zijn onder de Cyberbeveiligingswet, die op 15 augustus 2026 in werking treedt, essentiële entiteiten, zoals de NCTV opsomt. Het advies raakt dus rechtstreeks jouw kerntaken.
En het blijft niet bij een advies op afstand. Het cloudbeleid voor gemeenten stelt voor gegevens met een hoge vertrouwelijkheid, zoals het sociaal domein, minimale soevereiniteitseisen. Lees je de drie documenten samen, dan ontstaat één samenhangende, digitale overheid.
Bereid je voor met een risicoafweging
Hoe bereid je je daarop voor? Het beleid geeft zelf het instrument. Op basis van de BasisBeveiligingsNiveau's (BBN) stel je een risicoafweging op. En dat doe je voor alle primaire taken van jouw organisatie. Voor een gemeente is dat burgerzaken. Dat zijn de belastingen, het sociaal domein, de financiële administratie. Precies de dienstverlening die Centric levert.
De risicoafweging stelt naast de vertrouwde vragen over beveiliging en privacy nu ook de ongemakkelijke. Valt de leverancier onder een buitenlandse jurisdictie? Hoe groot is de afhankelijkheid van één partij? En wat gebeurt er als de dienst er morgen ineens niet meer is?
Mijn advies is simpel. Pas die risicoafweging nu al toe op je eigen portfolio. Kijk per toepassing welk soevereiniteitslabel past en neem dat mee bij elke aanbesteding. Het EU Cloud Sovereignty Framework geeft je daarvoor de meetlat, voor bestaande contracten net zo goed als voor nieuwe.
Eén boodschap
Wie het hele beleid doorleest, ziet geen losse verzameling regels maar één lijn.
- De risicoafweging weegt jurisdictie en leveranciersafhankelijkheid mee.
- Opslag en verwerking blijven binnen de EER.
- Bijzondere persoonsgegevens horen bij voorkeur niet in de publieke cloud.
- De brondata van basisregistraties blijven buiten de publieke cloud.
- E-mail en documenten horen bij voorkeur niet in de publieke cloud: werkplekdiensten van de overheid gelden voortaan als nationaal belang.
Al die bepalingen zeggen hetzelfde. Voor de processen die Nederland draaiende houden, is afhankelijkheid van niet-Europese jurisdicties niet langer acceptabel. Dat het Rijk daaraan begint zonder extra middelen en met een overgangstermijn van vier jaar, zorgt wellicht voor een rustige start. Maar de richting is duidelijk. En als gemeente kun je met het cloudbeleid gewoon zelf stappen zetten.
Daarmee is die richting direct de meetlat waarlangs je elke leverancier mag leggen. Inclusief Centric.
Waar sta je?
Dan de vraag die elke gemeente zichzelf moet stellen: waar sta ik zelf, met mijn huidige diensten? Voor klanten van Centric kan ik die vraag beantwoorden langs precies de punten die het beleid aanscherpt. Vijf van onze zeventien hoofdproducten hebben vandaag al soevereiniteitslabel A, de overige twaalf label B. (Zie ook mijn eerdere blog: soevereiniteit meetbaar maken) En onze ambitie is alle diensten van Centric Digitale Overheid op niveau A in 2028.
Basisregistraties
Neem de basisregistraties. Het rijksbrede cloudbeleid bepaalt dat de brondata van registraties zoals de BRP niet in een publieke cloud worden beheerd (sectie 5.4 rijksbreed cloudbeleid), zodat de beschikbaarheid in eigen hand blijft. Bij Centric Burgerzaken en Centric BAG is dat vandaag al zo. De brondata draaien in onze soevereine cloud, in Nederlandse datacenters, onder eigen regie.
Bijzondere persoonsgegevens
Of neem het sociaal domein. Daar zijn gezondheids- en andere bijzondere persoonsgegevens eerder regel dan uitzondering, en juist die verwerking wil het beleid niet in de publieke cloud (sectie 4.6 rijksbreed cloudbeleid en soevereiniteitsniveau S2 gemeentelijke cloudbeleid). Precies daarom leveren we die dienstverlening soeverein, op de plek waar de lat het hoogst ligt. Of het nu gaat om de eDiensten voor de burger of de back-office. Veilig in onze soevereine cloud.
E-mail, documenten en werkplek
En dan e-mail en documentopslag. Ook die staan er nu bij als bij voorkeur niet in de publieke cloud (sectie 4.5 rijksbreed cloudbeleid), vanwege de enorme hoeveelheid overheidsinformatie die erin samenkomt. Bij onze diensten met label A is dat geregeld. Met label B groeien we daar binnen een paar jaar naartoe, sneller dan de vier jaar die de staatssecretaris het Rijk nu geeft.
Blijft over de werkplek zelf, de meest ingrijpende overstap omdat ze het werk van elke medewerker raakt. Daarvoor ontwikkelen we samen met Nextcloud een soevereine digitale werkplek voor de Nederlandse publieke sector, zodat je die transitie stap voor stap maakt, in eigen tempo.
Soeverein: binnen en buiten de overheidscloud
Komt de soevereine overheidscloud daar niet aan te pas? Zeker wel. En de keuze van het kabinet voor een eigen, zo soeverein mogelijke cloud in de overheidsdatacenters verdient waardering. Het is nog even de vraag hoe die overheidscloud eruit gaat zien, maar de gedachtegang sluit aan bij waar wij als medeoprichter van de Open Cloud Alliantie voor staan, vastgelegd in het OCA-manifest: open source, open standaarden en Europese regie. Maar wees realistisch over het tijdpad. De eerste pilot-applicaties draaien eind dit jaar, opschalen gebeurt pas tussen 2028 en 2030, en de financiering werkt het kabinet in een volgende fase uit. Wachten is daarom geen strategie. Zet nu stappen, nog voor de overheidscloud er is. Met de huidige diensten van Centric zit je al goed. Wie nu op een soevereine ondergrond staat, heeft straks de kortste weg naar wat er nog komt.
In september publiceren we een uitgebreide onderbouwing van onze soevereiniteitsscores, per dienst, langs de meetlat van het EU Cloud Sovereignty Framework. Dan kan iedereen toetsen of we waarmaken wat we hier claimen.
Meer weten over de soevereine werkplek? Kijk op de gemeentelijke werkomgeving van Centric of stuur me een bericht. Ik ben benieuwd welk soevereiniteitsniveau jouw gemeente kiest.