Waarom Nederland een clouddeal sloot met de IT-tak van Lidl

Uit onderzoek van de NOS is eerder gebleken dat tweederde van de Nederlandse overheidswebsites afhankelijk is van ten minste één Amerikaanse clouddienst. Dat is de afhankelijkheid waar Nederland nu een einde aan wil maken, want vorige week kondigde de Nederlandse regering een overeenkomst aan met STACKIT, een Duitse cloudprovider die vooral bekendstaat om het draaiende houden van de systemen bij Lidl.

Verschillende landen en overheidsinstanties in Europa werken eraan om de afhankelijkheid van niet-Europese tech-providers te verminderen. Frankrijk kondigde aan dat werkstations van de overheid zullen overstappen van Windows naar het open-sourcebesturingssysteem Linux. De Deense steden Aarhus en Kopenhagen hebben ook afstand genomen van Microsoft en zijn overgestapt op de Duitse productiviteitssuite Nextcloud. Nederland heeft gekozen voor STACKIT.

Wat is STACKIT?

STACKIT is het cloud- en digitale merk van Schwarz Digits, de IT-divisie van de Schwarz Group, die ook eigenaar is van de winkelketens Lidl en Kaufland. De aanbieder positioneert zich als een onafhankelijke Europese hyperscaler (de definitie van een grootschalige aanbieder van clouddiensten) die een uitgebreid dienstenpakket aanbiedt, waaronder rekenkracht, opslag, netwerken en AI.

Momenteel exploiteert STACKIT vier datacenters in Duitsland en Oostenrijk, en is een vijfde faciliteit in aanbouw in Lübbenau, Duitsland. Deze fysieke aanwezigheid zorgt ervoor dat alle gegevensverwerking strikt binnen de Europese Economische Ruimte (EER) blijft en voldoet aan de hoogste normen van de Europese wetgeving inzake gegevensbescherming. Door zijn eigen infrastructuur te onderhouden, biedt STACKIT een mate van transparantie en controle die vaak moeilijk te bereiken is bij niet-Europese aanbieders.

De details van de Nederlandse overeenkomst

De overeenkomst tussen de Nederlandse overheid en STACKIT is een vrijwillig kader dat tot stand is gekomen via onderhandelingen door Strategic Supplier Management for Government (SLM Rijk). In tegenstelling tot een verplicht migratiedecreet fungeert dit kader als een inkoopinstrument. Het stelt individuele overheidsinstanties in staat om gebruik te maken van de diensten van STACKIT op basis van vooraf overeengekomen juridische en technische voorwaarden.

Deze voorwaarden omvatten essentiële waarborgen, zoals het recht om de aanbieder te controleren en de mogelijkheid om het contract te beëindigen als STACKIT onder de zeggenschap komt van een entiteit buiten de EER. De overeenkomst heeft betrekking op de STACKIT Public Cloud en maakt directe toegang of inkoop via lokale IT-dienstverleners mogelijk. Deze flexibiliteit is cruciaal voor een gedecentraliseerde overheidsstructuur, waar verschillende departementen uiteenlopende technische behoeften en migratietijdlijnen hebben.

Staatssecretaris voor Digitale Economie en Soevereiniteit Willemijn Aerdts verklaarde: "Digitale autonomie betekent dat we zélf keuzes kunnen maken uit een divers aanbod van aanbieders. Daarom is het belangrijk dat we de Europese markt stimuleren. Dat doen we met deze overeenkomst, waarmee Rijksorganisaties onder goede voorwaarden gebruik kunnen maken van clouddiensten van een Europese aanbieder."

De afhankelijkheid van Amerikaanse technologie aanpakken

De Nederlandse overheid ziet de overeenkomst met STACKIT als een manier om haar afhankelijkheid van Amerikaanse cloudproviders te verminderen en een haalbare weg naar digitale onafhankelijkheid te banen. Volgens de nieuwe overeenkomst moeten alle gegevens binnen de EER blijven, waardoor ze worden beschermd tegen buitenlandse surveillance of jurisdictieoverschrijding.

Beveiliging was een belangrijke factor bij de keuze voor STACKIT. Het platform heeft onlangs met succes een gegevensbeschermingseffectbeoordeling (DPIA) doorlopen, waarmee is bevestigd dat het voldoet aan de strenge Europese privacyregelgeving. Deze beoordeling is een cruciale vereiste voor elke aanbieder die met gevoelige overheidsgegevens werkt. Dankzij de ‘Partner First’-aanpak van STACKIT kan het bedrijf ook nauw samenwerken met lokale experts om ervoor te zorgen dat migraties voldoen aan specifieke beveiligingsprofielen.

STACKIT wint aan momentum

De drang om onafhankelijk te worden van Amerikaanse technologie is in 2025 alleen maar toegenomen, aangezien de onvoorspelbare houding van de huidige Amerikaanse regering ten opzichte van Europese bondgenoten regeringen in heel Europa ertoe heeft aangezet om opnieuw te bekijken hoeveel van hun kritieke infrastructuur op Amerikaanse servers staat — en daarmee onderworpen is aan de Amerikaanse wetgeving.

De Europese Commissie heeft onlangs STACKIT geselecteerd als een van de vier aanbieders voor een contract van 180 miljoen euro voor cloudinfrastructuur met een looptijd van zes jaar. Daarnaast heeft De Nederlandsche Bank ook een overeenkomst met het platform gesloten, wat de geschiktheid ervan voor de sterk gereguleerde financiële sector verder bevestigt.

Naarmate STACKIT zijn infrastructuur blijft uitbreiden, met inbegrip van de voltooiing van zijn vijfde datacenter, zal zijn capaciteit om complexe overheidstaken uit te voeren alleen maar toenemen. Voorlopig gaat het om een opt-in-kader, niet om een verplichting. Maar voor een continent dat al jaren debatteert over digitale soevereiniteit zonder er daadwerkelijk iets aan te doen, is zelfs een vrijwillige stap in deze richting opmerkelijk.