nl
Webshop
nl
Webshop
Ga terug
De nieuwe gids is uit
Klaar om de digitale transitie gestructureerd aan te pakken en samen de digitale weg in te slaan?
Terug naar overzicht
Actueel Waarom digitale autonomie geen overbodige luxe meer is

Waarom digitale autonomie geen overbodige luxe meer is

Jeroen Krikke over de soevereine cloud in het funderend onderwijs

Dit artikel gaat over digitale soevereiniteit in de breedte: wat het inhoudt, waarom het juridisch en technisch relevant is voor jouw school of stichting, en hoe je er stapsgewijs naartoe kunt werken. De keuze voor soevereiniteit raakt aan veel meer dan alleen de samenwerk- en documentomgeving. Maar juist in die omgeving wordt dagelijks veel gevoelige data verwerkt en is de relevantie extra zichtbaar. 

  1. Wat zien we gebeuren in de markt?
  2. Wat verstaan we eigenlijk onder soeverein?
  3. Hoe verhoudt soeverein zich tot de persoonlijke gegevens van medewerkers en leerlingen?
  4. Wat zegt de wetgeving over digitaal (soeverein) onderwijs?
  5. Wat zijn de kosten van een soevereine cloudoplossing?
  6. Ik overweeg een soevereine strategie, wat kan ik doen?

Het geluid uit het funderend onderwijs

Steeds vaker horen we van schoolbesturen en IT-managers in het funderend onderwijs dat ze nadenken over alternatieven voor de grote Amerikaanse cloudplatforms. De aanleidingen lopen uiteen: bij de een speelt privacy de hoofdrol, bij de ander de continuïteit van de dienstverlening, en bij weer een ander de spanning tussen Europese regelgeving en de Amerikaanse CLOUD Act.

Een aanleiding die de laatste tijd zwaarder gaat wegen, is de prijs. Bij soevereine alternatieven krijg je iets aanvullends wat als erg waardevol wordt ervaren:

Ben je ontevreden, dan kun je overstappen zonder dat je productomgeving daaronder hoeft te lijden. Dat geeft scholen onderhandelingsruimte die er bij de hyperscalers feitelijk niet is.

Wat de aanleiding ook is, digitale soevereiniteit staat inmiddels stevig op de agenda van veel besturen.  

Wat is een soevereine cloud eigenlijk?

Een soevereine cloud verwijst naar cloudinfrastructuur waarbij gegevens worden opgeslagen en verwerkt binnen een juridisch en geografisch gedefinieerd domein, met volledige controle over toegang, beheer en wetgeving. In de Europese context betekent dat meestal dat data wordt opgeslagen:

  • Binnen de EU,
  • Onder Europees recht,
  • Bij een aanbieder die niet valt onder de reikwijdte van Amerikaanse wetgeving als de CLOUD Act,
  • Onder Europese democratische controle.

Vooral dat laatste punt is cruciaal. Zelfs als data wordt opgeslagen in een Nederlands of Duits datacenter, zijn Amerikaanse bedrijven in beginsel verplicht te voldoen aan verzoeken van Amerikaanse autoriteiten op basis van de CLOUD Act. Dat staat op gespannen voet met de AVG en creëert een fundamentele juridische dubbelzinnigheid die je als verwerkingsverantwoordelijke moeilijk kunt wegverklaren.

Hoe zit dat met de persoonlijke gegevens van leerlingen en medewerkers?

Scholen zijn onder de AVG verwerkingsverantwoordelijke voor de persoonsgegevens van leerlingen (inclusief minderjarigen) én medewerkers. Dat brengt vergaande verplichtingen met zich mee: een rechtmatige grondslag, doelbinding, dataminimalisatie en de essentiële borging van passende technische en organisatorische maatregelen.

De Autoriteit Persoonsgegevens heeft de afgelopen jaren meerdere onderwijsinstellingen aangesproken op hun datapraktijken. De verwachting is dat de handhaving intensiever zal worden, mede onder invloed van de vernieuwde Europese toezichtssamenwerking.

Een ongemak dat we al langer voelen

Eerlijk gezegd is dit gevoel van wringen niet nieuw. Schoolbesturen en IT-managers worstelen al jaren met de spanning tussen de praktische bruikbaarheid van de grote platforms. Daarbij leeft het besef dat de juridische en politieke onderbouwing eigenlijk niet helemaal klopt voor het funderend onderwijs. Lang ontbrak er een volwassen alternatief, en zolang dat zo bleef, voelde pragmatiek vaak als de enige werkbare optie. Het is een ongemak dat veel bestuurders herkennen, maar waar weinigen iets mee konden.

Dat plaatje is de afgelopen jaren wezenlijk veranderd. Europese open source-platforms zijn volwassen geworden. Ze worden ook actief doorontwikkeld voor zakelijk en onderwijsgebruik. In deze context zorgt de combinatie van een sterke productpartner als Nextcloud met een implementatie- en beheerpartij als Cloudwise ervoor dat scholen op zowel functioneel als juridisch vlak helemaal goed zitten. Het oude argument 'er is geen werkbaar alternatief' gaat eenvoudigweg niet meer op. 

NIS2, ESF en de bredere compliance-context

Naast de AVG treedt de NIS2-richtlijn steeds prominenter op de voorgrond. Primair en voortgezet onderwijs worden vooralsnog niet als 'essentiële entiteit' aangemerkt. Toch valt een deel van de onderwijsinfrastructuur wel binnen de scope van sectoren die als belangrijk worden geclassificeerd. Dat is met name het geval bij grotere besturen en samenwerkingsverbanden. En daar komt bij dat verzekeraars en samenwerkingspartners als gemeenten en zorginstanties NIS2-compliance steeds vaker als voorwaarde hanteren.

NIS2 stelt eisen aan onder andere:

  • Risicobeheer en beveiligingsbeleid,
  • Incidentrapportage (binnen 24 uur bij significante incidenten),
  • Beveiliging van de toeleveringsketen, inclusief cloudproviders.

Europese aanbestedingen en inkoopprocessen

Naast het bovengenoemde hebben we ook nog te maken met het European Sovereignty Framework (ESF). Dit kader is nadrukkelijk bedoeld om soevereiniteit als criterium in te bedden in Europese aanbestedingen en inkoopprocessen. Het zal naar verwachting steeds vaker als referentiekader opduiken bij grotere onderwijsaanbestedingen. Voor schoolbesturen betekent dat: soevereiniteit is niet alleen een interne afweging, maar wordt ook een formeel onderdeel van hoe je leveranciers selecteert.

Goed om in het achterhoofd te houden: voor sommige sectoren werkt de EU nu al aan voorstellen om de soevereiniteitseisen uit het ESF om te zetten in hardere wetgeving. Met andere woorden, advies wordt verplichting (Techspot, 2026). Het onderwijs valt op dit moment nog niet onder deze plannen, maar de richting is helder. Voor besturen die nu een meerjarige IT-strategie opstellen, is het een reëel signaal om in de afweging mee te nemen.

Een soevereine cloudstrategie versterkt je positie op al deze punten, omdat je meer controle hebt over de keten en duidelijker kunt aantonen waar data zich bevindt en wie er toegang toe heeft.

En kan dat dan voor een betaalbare prijs?

Een soevereine cloudstrategie is niet per definitie goedkoper dan de huidige situatie. Op licentieniveau is dat vaak wél het geval, maar daar staan andere investeringen tegenover. De juiste vraag is dan ook niet wat het kost, maar welke total cost of ownership (TCO) én total cost of risk (TCR) ermee gepaard gaan.

Kostenpost

Toelichting

Licenties Europese alternatieven
Voor samenwerking, bestandsopslag, documentbewerking en beveiligde communicatie zijn inmiddels volwassen Europese softwarepakketten beschikbaar. De licentiekosten liggen over het algemeen een stuk lager dan bij de huidige Amerikaanse aanbieders. Wel moet je rekening houden met aanvullende kosten voor hosting en beheer, die bij hyperscalers vaak in het pakket zitten. Veel van deze oplossingen zijn open source. Dat betekent minder vendor lock-in en op termijn meer flexibiliteit en onderhandelingsruimte.
Hosting bij Europese providers
De data kan worden ondergebracht bij datacenters die volledig onder Europese jurisdictie vallen. Bij Europese hostingpartijen zijn de kosten bij grotere afname over het algemeen concurrerend met de hyperscalers, zeker wanneer de verborgen kosten van egress-verkeer en aanvullende diensten worden meegerekend.
Beheercapaciteit
Een overstap vraagt om meer intern of extern beheer dan bij een kant-en-klare cloudoplossing. Dat betekent investeren in kennis, in een beheerteam of in een externe partner die de omgeving draaiend houdt. Het is een structurele investering, maar wel een die meer grip geeft op de eigen infrastructuur en je minder afhankelijk maakt van één leverancier.
Implementatie en migratie
De overgang zelf vraagt om een eenmalige investering in implementatie: het overzetten van data, het inrichten van integraties en het aanpassen van werkprocessen. Door dit gefaseerd aan te pakken, bijvoorbeeld per afdeling of per type dienst, kun je de kosten en de operationele impact goed beheersbaar houden.
Adoptie en gebruikersbegeleiding
Een vaak onderschatte post. De Europese alternatieven werken prima, maar net iets anders dan medewerkers en leerlingen gewend zijn. Goede instructie, gerichte communicatie en korte training zijn essentieel om de overstap soepel te laten verlopen en het rendement van de nieuwe omgeving snel zichtbaar te maken.
Vermeden boetes en incidenten
Tegenover de kosten staan baten die lastig exact te becijferen zijn, maar wel degelijk reëel. Bij ongewijzigd beleid bestaat er een structureel risico op toezichtsmaatregelen, boetes onder de AVG en reputatieschade bij een datalek of een verzoek van een buitenlandse overheid. Dat risico verdwijnt niet met de status quo; het wordt alleen uitgesteld.

Een hybride aanpak als realistische route

Een big bang-migratie naar een volledig soevereine cloudomgeving is voor de meeste scholen onrealistisch. Zoiets zou ik dan ook niet adviseren. Een hybride architectuur als startpunt biedt meer perspectief.

  • Classificeer data naar gevoeligheid. Leerlingvolgsystemen, zorgdossiers en bijzondere persoonsgegevens horen in een soevereine omgeving. Algemene productiviteitstoepassingen voor leraren kunnen voorlopig in bestaande omgevingen blijven.
  • Scheid identiteitsbeheer van applicatiedata. Met een soevereine identity provider als COOL voorkom je dat je volledig afhankelijk bent van het account-ecosysteem van één (in veel gevallen Amerikaanse) aanbieder. Dat geeft veel meer flexibiliteit als je later applicaties wilt vervangen of toevoegen.
  • Maak soevereiniteit een gunningscriterium. Bij nieuwe aanbestedingen of contractverlengingen: laat het European Sovereignty Framework expliciet meewegen als toetsingskader. Dat geeft je inkooptraject een onderbouwde basis, ook richting accountant en toezichthouder.
  • Documenteer je gegevensverwerkingen opnieuw. Een soevereine cloudmigratie vormt een goed moment om je verwerkingsregister te actualiseren en AVG-compliance structureel in te bedden in je architectuurkeuzes.

Soevereiniteit als architectuurprincipe

Digitale soevereiniteit is een technisch en juridisch architectuurprincipe dat steeds meer gewicht krijgt in de risicoafweging van onderwijsinstellingen. Maar we hebben te maken met een combinatie van AVG-verplichtingen, CLOUD Act-spanning, het European Sovereignty Framework, NIS2-eisen en toenemend politiek bewustzijn rond strategische afhankelijkheden. Dat maakt het voor IT-managers in het funderend onderwijs urgent om dit thema op de agenda te zetten.

Voor de samenwerk- en documentomgeving, waar per definitie veel gevoelige data samenkomt, heeft Cloudwise samen met Nextcloud al een stevige basis neergezet. Met een soevereine samenwerk- en documentomgeving op basis van Nextcloud en een soevereine login via COOL. Samen bieden die een realistisch pad naar meer controle, minder juridisch risico en een robuustere digitale infrastructuur voor de scholen die jij beheert. Partijen als Nextcloud en Cloudwise vallen volledig onder Europese democratische controle en zijn gehouden aan álle Europese regelgeving. Voor schoolbesturen maakt dat het verhaal aanzienlijk eenduidiger.

We vertellen je graag meer over dit onderwerp tijdens onze round table op 3 juni over de soevereine cloud voor het onderwijs. Aanmelden kan nog steeds; graag tot binnenkort!

Sluit aan bij onze round table over de soevereine cloud

Geen eenrichtingsverkeer, maar een open dialoog met collega-bestuurders over visie en uitvoering. Schuif aan en wissel ervaringen uit over data-soevereiniteit.

Denk met ons mee

Wist u dat uw browser verouderd is?

Om de best mogelijke gebruikerservaring van onze website te krijgen raden wij u aan om uw browser te upgraden naar een nieuwere versie of een andere browser. Klik op de upgrade button om naar de download pagina te gaan.

Upgrade hier uw browser
Ga verder op eigen risico