Rijksoverheid stapt over op Europese cloud
Op 23 april 2026 tekende de Rijksoverheid een raamovereenkomst met het Duitse cloudplatform STACKIT. Op het eerste gezicht een IT-inkoopbericht. Wie doorleest, herkent iets anders: een juridisch statement over data, soevereiniteit en afhankelijkheid. En dat raakt elke juridische organisatie die met gevoelige dossiers werkt.
Wat is er precies afgesproken?
De deal legt vast onder welke voorwaarden Rijksorganisaties clouddiensten van STACKIT kunnen afnemen. Drie punten springen juridisch in het oog.
Ten eerste de dataopslag: alle data blijft binnen de Europese Economische Ruimte. Ten tweede het auditrecht. De Rijksoverheid kan controleren of STACKIT zich aan de afspraken houdt, en dat is in cloudcontracten allesbehalve vanzelfsprekend. Ten derde, en dat is misschien wel het interessantst voor juristen, de beëindigingsclausules. Als STACKIT in handen komt van een partij buiten de EER, kan het contract worden beëindigd. Hiermee wordt een scenario geadresseerd dat in de markt zelden expliciet wordt geregeld: de overname van een Europese leverancier door een Amerikaanse of Aziatische partij.
Er zijn geen afnameverplichtingen. Rijksorganisaties kunnen van het raamcontract gebruikmaken, maar hoeven dat niet. De onderhandelingen werden gevoerd door SLM Rijk, zodat individuele organisaties niet elk afzonderlijk aan tafel hoeven.
Waarom nu? De schaduw van de Cloud Act
De timing is geen toeval. De politieke en juridische onrust rond Amerikaanse clouddiensten groeit al jaren. De US Cloud Act geeft Amerikaanse autoriteiten toegang tot data die onder controle staan van Amerikaanse bedrijven, ongeacht waar die data fysiek staan. Ook als een Azure-datacenter in Amsterdam draait, blijft de moedermaatschappij onderworpen aan Amerikaans recht.
Daar komt Schrems II bovenop. Sinds de uitspraak van het Europese Hof in 2020 moeten organisaties die persoonsgegevens laten verwerken buiten de EU aanvullende waarborgen treffen. In de praktijk betekent dat uitvoerige Transfer Impact Assessments, aanvullende contractclausules, en regelmatig terugkerende discussies over wat wel en niet mag.
De STACKIT-deal neemt dat hele blok weg. Binnen de EER, onder Europees recht, met auditrecht: dat is juridisch veel schoner.
Wat betekent dit voor jouw praktijk?
Voor juridische teams is dit relevanter dan een willekeurig inkoopbericht. De meeste advocatenkantoren en compliance-afdelingen draaien op Amerikaanse clouddiensten. Microsoft 365 voor mail en documenten, iManage of NetDocuments voor dossierbeheer, en steeds vaker AI-tools die via Amerikaanse infrastructuur werken. Daar zit cliëntcommunicatie in, dossiers, onderzoeksdata, strategiedocumenten.
De geheimhoudingsplicht verdraagt zich slecht met extraterritoriaal toezicht. Dat wordt zelden hard gemaakt, want in de praktijk vraagt een Amerikaanse autoriteit niet zomaar om het dossier van een Nederlandse strafzaak. Maar de juridische realiteit is wel dat de mogelijkheid er is. En toezichthouders, cliënten en raden van bestuur gaan daar steeds scherpere vragen over stellen.
De Rijksoverheid zet nu de toon. Wanneer de overheid zelf kiest voor Europese leveranciers vanwege digitale soevereiniteit, wordt het voor kantoren en juridische afdelingen moeilijker om die discussie te blijven vermijden. Helemaal als het gaat om overheidsdossiers of werk in gereguleerde sectoren.
AI maakt de vraag scherper
Juist door AI wordt de soevereiniteitsvraag urgenter. Wie een juridisch model traint of prompt op cliëntdossiers, verstuurt gevoelige informatie naar een model dat ergens draait. Waar die "ergens" is, en wie daar juridisch bij kan, is geen detail. Het is een fundamentele vraag over de vertrouwelijkheid van jouw praktijk.
Daar is geen simpel antwoord op. Niet alle Europese alternatieven zijn volwaardig, en niet elke AI-toepassing laat zich probleemloos verplaatsen naar een Europese stack. Maar de vraag negeren is geen optie meer.
De juridische agenda voor de komende maanden
Drie vragen verdienen nu een plek op jouw agenda. Waar staat jouw cliënt- en dossierdata precies, en onder welk rechtsregime? Wat gebeurt er contractueel als jouw cloudleverancier wordt overgenomen door een partij buiten de EER? En hoe verhoudt jouw AI-strategie zich tot de groeiende verwachting van Europese dataverwerking?
De STACKIT-deal is geen wondermiddel. Europese clouds hebben hun eigen beperkingen, en de markt is nog volop in ontwikkeling. Maar het signaal is helder: digitale soevereiniteit is definitief van IT-onderwerp naar juridisch onderwerp verhuisd. Wie dat nu oppakt, loopt voor op de rest.