Een gemeente rondt een aanbesteding af. De leverancier positioneert zich als een Nederlandse cloudpartij: soeverein, betrouwbaar, Europees. Het contract wordt getekend. Een jaar later volgt de aankondiging dat een Amerikaans bedrijf de leverancier overneemt.
De gemeente staat dan voor een lastig bestuurlijk en juridisch vraagstuk. De data staat nog steeds op Nederlandse servers, maar het zeggenschap is verschoven. Contractueel is uitstappen niet vanzelfsprekend. Het aanbestedingsproces is correct verlopen en de leverancier voldeed aan alle eisen.
Wat ontbrak, was één cruciale vraag: welke afspraken zijn vastgelegd over eigendomswisselingen en zeggenschap?
Dit scenario deed zich voor bij de gemeente Amsterdam met Solvinity1. En het staat niet op zichzelf. Het is een terugkerend patroon waar gemeenten rekening mee moeten houden. Twee risico’s, één blinde vlek. Digitale soevereiniteit kent twee dimensies die in de praktijk vaak als één worden behandeld, terwijl ze elk hun eigen dynamiek meebrengen.
De eerste betreft eigendom. Wie bezit de leverancier en onder welk rechtsstelsel valt deze partij? Een overname kan dit van de ene dag op de andere veranderen, zonder dat de dienstverlening wordt onderbroken. Operationeel lijkt er niets te veranderen, maar de juridische en governance context verschuift wel. Vaak wordt dit pas zichtbaar bij berichtgeving, terwijl contractueel weinig ruimte bestaat om te sturen.
Het tweede is locatie. Waar staat uw data fysiek en via welke infrastructuur wordt deze verwerkt? Dat lijkt eenvoudiger te beantwoorden, maar ook hier verschuiven dingen buiten het zicht van de opdrachtgever. Begin 2026 migreerde overheidsautomatiseerder Xxllnc componenten van zijn anonimiseringssoftware van de Nederlandse cloudprovider TransIP naar AWS. De software ondersteunt overheden bij het anonimiseren van documenten voor privacy- en compliancedoeleinden. De migratie leidde tot discussie, maar ging niet gepaard met een contractwijziging richting afnemende gemeenten2. De leverancier nam een architectuurbeslissing. De locatie van gevoelige overheidsdocumenten verschoof daarmee van Nederlandse naar Amerikaanse infrastructuur, zonder dat gemeenten daar actief voor hadden gekozen. Dit is geen uitzonderlijke situatie, maar een structureel kenmerk van een markt waarin leveranciers hun eigen cloudstrategie bepalen.
Wat de GIBIT 2025 wel en niet regelt
De Vereniging van Nederlandse Gemeenten (VNG) publiceerde in maart 2026 de vernieuwde GIBIT 2025, de gemeentelijke inkoopstandaard voor IT. Deze versie brengt duidelijke verbeteringen: open source wordt de norm voor maatwerksoftware, data blijft ook na contractbeëindiging in handen van de gemeente en recente EU-wetgeving zoals de AI Act is verwerkt. Dat zijn relevante stappen vooruit.
Maar de soevereiniteitsvraag bij aanbesteding valt er nog buiten. Wie heeft feitelijke toegang tot uw data? Onder welke jurisdictie valt de leverancier? Wat zijn de exitcondities bij een overname? En welke afspraken gelden bij eigendomswijzigingen of infrastructuurmigraties? Dit zijn geen standaard inkoopcriteria binnen GIBIT 2025. Bovendien geldt dat binnen het Europese aanbestedingsrecht leverancies niet kunnen worden uitgelsoten op basis van nationaliteit. De juridische speelruimte is daarmee beperkt.
Het Rijk hanteert voor deze vragen een apart instrument: het DICTU Toetsingsinstrument Soevereiniteit Clouddiensten. De kernvraag daarvan is eenvoudig: kunt u als gemeente dezelfde soevereiniteitsvragen beantwoorden voor uw eigen contracten die het Rijk zichzelf stelt? Vrijwel geen gemeente doet dat systematisch.
Geen eenmalige check, maar een continu aandachtspunt
Digitale soevereiniteit is geen vraag die u eenmalig beantwoordt bij een aanbesteding. Eigendomsstructuren van leveranciers veranderen, infrastructuurkeuzes verschuiven en afhankelijkheden ontwikkelen zich in de tijd. Een Europese cloudprovider van vandaag kan morgen onder buitenlands eigendom vallen. Een applicatie die nu op Nederlandse servers staat, kan volgend kwartaal op Amerikaanse servers van Amazon of Microsoft AWS draaien, op basis van een beslissing die uw leverancier intern neemt.
Dat vraagt om twee structurele maatregelen. Ten eerste: een actueel beeld van uw applicatielandschap: per leverancier, per contract, per cloudlocatie, onderliggende infrastructuur en de actuele eigendomsstructuur. Ten tweede: een werkwijze om dit overzicht continue bij te houden, zodat wijzigingen tijdig worden gesignaleerd en beoordeeld voordat ze onomkeerbaar zijn.
Gemeenten die dit inzicht hebben, voeren het gesprek met leveranciers vanuit regie en positie. Gemeenten zonder dit overzicht signaleren verschuivingen vaak pas achteraf, wanneer nieuws duidelijk maakt dat de context inmiddels is veranderd.
Heeft uw gemeente een actueel beeld van waar uw data staat en wie daar zeggenschap over heeft?