NoveuNOVEU
InloggenDemo aanvragen →
Terug naar blog
Soevereiniteit2026-02-018 min leestijd

Waarom Microsoft geen veilige optie is voor de overheid

Nederlandse overheden zijn massaal afhankelijk van Microsoft 365 voor e-mail, documenten en samenwerking. Maar er zijn fundamentele juridische en technische redenen waarom deze afhankelijkheid problematisch is. Dit artikel analyseert de feiten — zonder verkooppraatjes, maar met de urgentie die het onderwerp verdient.

De US Cloud Act: het kernprobleem

Microsoft Corporation is een Amerikaans bedrijf, gevestigd in Redmond, Washington. Daarmee valt het onder de jurisdictie van de Amerikaanse overheid, inclusief de Clarifying Lawful Overseas Use of Data Act (CLOUD Act) uit 2018.

De CLOUD Act bepaalt dat Amerikaanse technologiebedrijven verplicht zijn om data te overhandigen aan Amerikaanse opsporings- en inlichtingendiensten, ongeacht waar die data fysiek is opgeslagen. Een Microsoft datacenter in Amsterdam of Dublin verandert daar niets aan. De data mag zich op Europese bodem bevinden — de juridische zeggenschap ligt in Washington.

Dit is geen theoretisch risico. Volgens het Transparency Report van Microsoft ontving het bedrijf in 2023 meer dan 55.000 verzoeken van Amerikaanse overheidsinstanties om klantgegevens. Bij een aanzienlijk deel van deze verzoeken mag Microsoft de klant niet eens informeren dat de data is opgevraagd.

Schrems II en de gevolgen

In juli 2020 oordeelde het Europees Hof van Justitie in de zaak Schrems II dat het EU-VS Privacy Shield ongeldig was. De kern van het oordeel: de surveillance-wetgeving van de Verenigde Staten biedt onvoldoende bescherming voor de persoonsgegevens van EU-burgers.

Hoewel er inmiddels een nieuw EU-US Data Privacy Framework (DPF) is vastgesteld, waarschuwen privacyexperts en organisaties als NOYB dat ook dit framework juridisch kwetsbaar is. De onderliggende Amerikaanse surveillance-wetgeving — met name Section 702 van de Foreign Intelligence Surveillance Act (FISA) — is namelijk niet fundamenteel gewijzigd.

Voor overheidsorganisaties die werken met gevoelige burgergegevens, politie-informatie, of beleidsdocumenten is dit een onacceptabel risico.

BIO en NIS2: de Nederlandse context

De Baseline Informatiebeveiliging Overheid (BIO) is het normenkader voor informatiebeveiliging bij alle Nederlandse overheden. De BIO is gebaseerd op ISO 27001/27002 en stelt expliciete eisen aan de controle over data:

- **Datalocatie**: De organisatie moet weten waar data wordt opgeslagen en verwerkt - **Toegangsbeheer**: Alleen geautoriseerde personen mogen toegang hebben tot gegevens - **Logging en monitoring**: Alle toegang moet worden gelogd en controleerbaar zijn - **Leveranciersmanagement**: De organisatie moet risico's van externe leveranciers beheersen

Bij Microsoft 365 is het voor een gemeente of ministerie praktisch onmogelijk om volledig aan deze eisen te voldoen. De cryptografische sleutels worden beheerd door Microsoft. De logging is beperkt tot wat Microsoft beschikbaar stelt. En de ultieme zeggenschap over de data ligt bij een Amerikaans bedrijf.

NIS2 versterkt deze problematiek door supply chain beveiliging als expliciete eis op te nemen. Organisaties moeten kunnen aantonen dat hun toeleveranciers — inclusief cloudproviders — aan dezelfde beveiligingsnormen voldoen.

DPIA's en waarschuwingen

Het is veelzeggend dat de Nederlandse overheid zelf herhaaldelijk Data Protection Impact Assessments (DPIA's) heeft laten uitvoeren op Microsoft-producten. De resultaten waren consistent zorgwekkend:

- In 2022 constateerde Privacy Company acht hoge privacyrisico's bij het gebruik van Microsoft Teams, OneDrive en SharePoint Online - Diagnostische gegevens werden naar de VS gestuurd zonder adequate transparantie - Microsoft wijzigde meermaals eenzijdig de verwerkingsvoorwaarden

De rijksoverheid heeft sindsdien mitigerende maatregelen geëist, maar fundamentele problemen — zoals de jurisdictiekwestie — zijn niet oplosbaar via contractuele afspraken.

Het alternatief: Europese soevereine infrastructuur

De oplossing is niet om terug te gaan naar on-premises servers in de kelder. De oplossing is om gebruik te maken van clouddiensten die wél volledig onder Europese jurisdictie vallen.

Dat betekent: - **Europees eigenaarschap**: Geen Amerikaans moederbedrijf dat onder de CLOUD Act valt - **Datalocatie op Nederlands grondgebied**: Met contractuele en technische garanties - **Eigen sleutelbeheer**: De organisatie beheert haar eigen cryptografische sleutels - **Volledige logging**: Alle toegang en verwerkingen zijn inzichtelijk en controleerbaar - **Open standaarden**: Geen vendor lock-in door propriëtaire formaten

Europese alternatieven voor de kerncomponenten van Microsoft 365 bestaan en zijn volwassen: Grommunio of Zimbra voor e-mail en agenda, Nextcloud voor bestanden en samenwerking, Jitsi of BigBlueButton voor videoconferenties, en LibreOffice of Collabora Online voor documentbewerking.

Conclusie

De afhankelijkheid van Microsoft 365 binnen de Nederlandse overheid is een strategisch risico dat niet met contractuele maatregelen kan worden opgelost. De juridische realiteit van de CLOUD Act, de herhaalde waarschuwingen uit DPIA's, en de eisen van BIO en NIS2 wijzen allemaal in dezelfde richting: overheden die hun zorgplicht serieus nemen, moeten de transitie naar soevereine Europese alternatieven plannen en uitvoeren.

Dit is geen kwestie van óf, maar van wanneer.

Meer weten?

Ontdek hoe Noveu je kan helpen met compliance en digitale soevereiniteit.

Neem contact op