De Open Cloud Alliantie is er. Zeven Nederlandse aanbieders maakten van soevereiniteit een inkoopgesprek.

Zeven Nederlandse aanbieders lanceerden op 1 april 2026 de Open Cloud Alliantie. De echte impact zit niet in techniek, maar in wat Nederlandse inkopers nu mogen opschrijven in een aanbesteding.

Op 1 april 2026 lanceerden zeven Nederlandse IT-aanbieders de Open Cloud Alliantie: KPN, Centric, Info Support, Intermax, Nebul, Previder en Uniserver. Hun manifest vraagt de Nederlandse overheid om soevereiniteit zwaar mee te wegen in clouddienstenaanbestedingen. De belangrijkste consequentie van die lancering is niet technologisch, maar taalkundig: het verandert wat een Nederlandse inkoper mag opschrijven in een aanbesteding.

TL;DR

  • De Alliantie is een vrijwillige coalitie van zeven Nederlandse cloudaanbieders, gelanceerd op 1 april 2026. ACM-goedgekeurd, gesteund door Stichting DINL en TNO, geen aparte juridische entiteit.
  • De primaire impact is de inkooptaal die hij activeert. Het DICTU toetsingsinstrument (januari 2026), de Visie Digitale autonomie van het kabinet (december 2025) en de Rijksbrede IT-Sourcingstrategie (februari 2026) gaven Nederlandse inkopers een raamwerk. De Alliantie levert het geloofwaardige Nederlandse antwoord.
  • Er is nog geen overheidsaanbesteding aan OCA-leden gegund. De daadwerkelijke clouddossiers van het Rijk in 2026 zijn de StackIT-raamovereenkomst (24 april, Duitse aanbieder) en de SSC-ICT-werkplek die van de public cloud af migreert.
  • AWS European Sovereign Cloud en Azure Local bestaan echt, maar kunnen de juridische dimensie van het DICTU-instrument niet structureel halen: Amazon, Inc. en Microsoft Corporation blijven Amerikaans, ongeacht waar de servers staan.
  • Voor de meeste workloads hoeft de Alliantie niet te winnen. Hij hoeft alleen te zorgen dat "we hebben een Nederlands soeverein alternatief overwogen" een verdedigbare regel in jouw aanbesteding wordt. Sinds 1 april is die regel gratis.

Inhoudsopgave

De zeven en wat ze daadwerkelijk verkopen

Behandel de Alliantie als zeven concurrerende bedrijven die het eens werden over één alinea positionering, niet als één product. Workload-fit is per aanbieder, niet collectief.

Aanbieder Belangrijkste aanbod Sterkste soevereiniteitsverhaal
KPN Soevereine VMware-private cloud (CloudNL); enterprise-netwerken Enterprise- en overheidsworkloads; staatsgeheim defensiewerk via de KPN + Thales-cloud van 9 april
Centric Government IT-outsourcing; volledige applicatieportefeuille naar eigen soevereine cloud in 2026; Mynte GOV-AI-platform Nederlandse gemeenten en provincies; het enige OCA-lid met een gemeentespecifiek datamodel
Info Support Maatwerkontwikkeling met managed deployment op soevereine infrastructuur Projecten waar ontwikkelcapaciteit gebundeld wordt met soevereine hosting
Intermax Soevereine IaaS; managed Kubernetes via dochter Guida, HAVEN-compliant Nederlandse publieke-sector Kubernetes met HAVEN-compliance
Nebul Private cloud, GPU-infrastructuur, soevereine AI-inferentie; ISO 9001, 22301, 27001, 27017, 27018, 27701, NEN 7510, SOC 2 Soevereine AI-workloads; sterkste certificeringsprofiel in de alliantie
Previder Colocation, VPS, managed hosting; NEN 7510-gecertificeerd Zorgdata en gereguleerde sectoren
Uniserver VPS, managed en hybrid cloud; ISO 27001 sinds 2015, NEN 7510 sinds 2016 MKB en mid-market soevereine hosting met gedocumenteerde exitstrategie

Een paar dingen die de tabel afvlakt en die er wel even bij moeten. De Alliantie is een marketingcoalitie, geen juridische entiteit. Er is geen stichting, geen coöperatie, geen gezamenlijk contractvehikel. Martijn Snoep van de ACM zegende de structuur juist omdat het concurrentiële coördinatie op beleid is, niet op prijs. De enige gedocumenteerde gezamenlijke afspraak is moreel: als een lid wordt overgenomen door een niet-Europese partij, springen de overige leden gezamenlijk bij om de dienstverlening over te nemen. Die afspraak leeft in persberichten. In publiek beschikbare juridische documenten vond ik hem niet terug.

De zeven zijn ook niet "de" Nederlandse soevereine cloud. Leaseweb, aantoonbaar de grootste Nederlands-hoofdkantoorige aanbieder, kiest een eigen Europese soevereiniteitsroute via IPCEI-CIS en zit bewust niet in de Alliantie. SURF draait de hele academische en research-sector onder coöperatieve governance. Elk artikel dat het over "de OCA-zeven" heeft, moet je niet lezen als "de Nederlandse markt".

Waarom de lancering juist nu landde

De Alliantie heeft het soevereiniteitsgesprek niet uitgevonden. Hij liep een gang in die door vier documenten al verlicht was.

In januari 2025 publiceerde de Algemene Rekenkamer Het Rijk in de cloud: 67% van de kritieke clouddiensten van het Rijk had geen risicobeoordeling op papier en meer dan de helft draaide bij AWS, Microsoft of Google. Dat rapport was het parlementaire alarm.

In juni 2025 nam de Tweede Kamer een motie van Bruyning en Thijssen aan: in 2029 moet ten minste 30% van de overheidscloudopslag en -applicaties bij Nederlandse of Europese aanbieders draaien. Aangenomen door een Kamermeerderheid. Politiek significant, nog geen bindende wettelijke verplichting, maar bij aanbestedingen werken politieke signalen wel als forward guidance.

In december 2025 publiceerde het kabinet zijn Visie Digitale autonomie en soevereiniteit. Een van de aangekondigde maatregelen: "Cloudbeleid aanscherpen: veilige opslag van overheidsdata onder Europees recht."

In januari 2026 publiceerde DICTU het Toetsingsinstrument Soevereiniteit Clouddiensten v1.0.1: een scoringsrubriek over vijf dimensies (juridisch, data en AI, technologie, operationeel, menselijk) op een 0-4 schaal. Overgenomen door PIANOo en NOREA. Voor het eerst had een Nederlandse inkoper bij een cloudbid een officieel, citeerbaar raamwerk dat Amerikaanse corporate exposure als meetbare zwakte behandelde, niet enkel als alinea met zorgen.

In februari 2026 maakte de Rijksbrede IT-Sourcingstrategie "digitale strategische autonomie" tot formeel inkoopprincipe en richtte een Centre of Excellence voor inkoopexpertise in.

Het manifest van 1 april is het sectorantwoord op dat alles. Een alliantie van concurrenten die de week na de IT-Sourcingstrategie naar buiten komt is geen toeval. Het is een geloofwaardigheidssignaal richting de inkopers die nu met het DICTU-instrument in hun handen zitten. De timing was bewust.

Het concrete incident dat de urgentie scherp maakte: in november 2025 kondigde het Amerikaanse Kyndryl (een IBM-spinoff) aan Solvinity over te nemen, het Nederlandse bedrijf dat de infrastructuur achter DigiD beheert. De ACM keurde de overname op 26 februari 2026 goed. De Tweede Kamer nam een motie aan om het DigiD-contract niet te verlengen als de overname doorgaat. Burgers spanden rechtszaken aan. Die casus maakte voor inkopers ineens leesbaar wat witboeken nooit konden: een Nederlands bedrijf dat Nederlandse burger-identiteitsdata beheert kan via één corporate overname onder de Amerikaanse CLOUD Act komen te vallen.

De verschuiving in inkooptaal

Vóór december 2025 was "we hebben een Nederlandse soevereine aanbieder overwogen" een asterisk in een leveranciersselectierapport. Toelaatbaar. Vereiste een alinea verantwoording. Overleefde de kostenspreadsheet zelden.

Na de Visie van december, het DICTU-instrument van januari en het manifest van 1 april is "we hebben een Nederlands soeverein alternatief geëvalueerd" een regel die zichzelf verdedigt. De redeneerketen waar een inkoper nu naar kan wijzen:

  1. Beleid. De gepubliceerde visie van het kabinet behandelt datasoevereiniteit als staatsprioriteit.
  2. Methode. Het DICTU-instrument is de gepubliceerde, door PIANOo onderschreven scoringsrubriek.
  3. Aanbod. De Alliantie levert een benoemde, publieke lijst aanbieders die schoon scoren op de juridische dimensie.

Die keten bestond een jaar geleden niet als samenhangend geheel. Elk onderdeel bestond fragmentarisch. Wat er in april 2026 veranderde, is dat de keten verdedigbaar is op het niveau van de inkoopcommissie zonder dat juridisch advies hem uit primaire bronnen hoeft samen te stellen.

Hier moet het verhaal wel eerlijk worden. Critici binnen het inkoopvak benoemen al structurele problemen met dit raamwerk. Martin van Leeuwen van Epikouros Consulting betoogde op 7 april in DutchITChannel dat het DICTU-instrument een structurele asymmetrie veroorzaakt: bidders zijn meestal Managed Service Providers die Azure of AWS doorverkopen, en zo'n Nederlandse MSP kan perfect scoren op de menselijke en operationele dimensies en alsnog zakken op de juridische dimensie omdat het onderliggende platform Amerikaans is. Zijn stelling: level 4-5 vereisen op juridische dimensies sluit meer dan 70% van de markt uit. Dat is een echte kritiek, geen marketingklacht.

De eerlijke lezing: het vocabulaire is verdedigbaar, maar de rubriek is nog aan het kalibreren. Inkopers die het DICTU-instrument als harde uitsluitingsgrond inzetten, snijden hun biedersveld dramatisch in. Het gebruiken als gewogen score in plaats van als gate is de versie die een eventueel bezwaar overleeft.

Waar de Alliantie past en waar niet

Waar de workload-fit echt is:

  • Zorgdata en andere NEN 7510-workloads. Previder, Uniserver en Nebul hebben de certificering.
  • Nederlandse publieke-sector Kubernetes. Intermax via Guida is HAVEN-compliant, de Nederlandse overheidsstandaard voor platform-onafhankelijke Kubernetes-hosting.
  • Gemeentespecifieke applicaties. Centric is het enige OCA-lid met een op gemeenten afgestemde applicatieportefeuille en het enige dat publiekelijk heeft toegezegd zijn volledige portefeuille in 2026 naar de eigen soevereine cloud te brengen.
  • Soevereine AI-inferentie. Nebul draait NVIDIA-gecertificeerde GPU-clusters en markeert expliciet EU-only dataverwerking. Het Mynte-platform van Centric richt zich specifiek op overheids-AI.
  • Workloads waar CLOUD Act-exposure de diskwalificerende factor is. Alle zeven leden zijn NL-geïncorporeerd zonder Amerikaanse moeder. Dat is het structurele voordeel dat geen enkele hyperscaler-sovereign-wrapper kan evenaren.

Waar het minder of niet past:

  • Wereldwijde CDN. Geen van de zeven heeft een CDN-footprint buiten Nederland. Met opzet. Voor globaal verdeelde content heb je een gelaagde architectuur nodig met de soevereine aanbieder voor de origin en een niet-OCA CDN voor de delivery.
  • Managed AI-diensten op hyperscalerbreedte. Nebul heeft GPU-inferentie, Centric heeft Mynte voor gemeenten. Geen van beide haalt de catalogusbreedte van Azure OpenAI Service of AWS Bedrock. Bert Hubert vatte het samen in Computer Weekly: "Europese bedrijven verkopen hout, terwijl klanten kant-en-klaar meubilair willen." Voor managed AI specifiek is dat terecht.
  • Serverless compute en database-as-a-service-breedte. Geen Lambda-equivalent. Geen Aurora-equivalent.
  • Echte multi-region intercontinentale redundantie. Nederland-gerichte datacenters betekent geen intercontinentaal failoververhaal.

Voor elke workload die zowel gereguleerde soevereiniteit als wereldwijde delivery nodig heeft, is het realistische antwoord in 2026 een gelaagde architectuur, geen enkel OCA-contract.

Het tegenbod van de hyperscalers

Het eerlijke tegenargument: AWS, Microsoft en Google hebben het afgelopen jaar allemaal soevereine offerings uitgerold die je niet zomaar kunt wegwuiven.

AWS European Sovereign Cloud ging live op 15 januari 2026, eerste Regio in Brandenburg. Een Netherlands Local Zone is aangekondigd. De launch behaalde SOC 2, C5 en zeven ISO-certificeringen binnen enkele maanden. Operationeel door een Duitse rechtspersoon met EU-resident personeel. Serieuze engineering.

Microsoft heeft soevereine capaciteiten uitgerold over de Europese Azure-regio's, plus Microsoft 365 Local en Azure Local voor disconnected operations. Het Kadaster draait al op Azure Local.

Maar er is één onderdeel dat geen engineering verandert: AWS, Inc., Microsoft Corporation en Google LLC blijven Amerikaans geïncorporeerd. Een juridische analyse van Greenberg Traurig, samengevat in Consultancy.nl, concludeerde dat AWS European Sovereign Cloud "mogelijk verenigbaar" is met de Nederlandse Visie Digitale autonomie "maar dat aspecten nog gedefinieerd moeten worden". Juristentaal voor: de juridische dimensie van het DICTU-instrument komt vandaag niet schoon door, en zal vermoedelijk op geen enkele score boven 3 komen totdat ofwel het beleidskader wordt aangescherpt ofwel AWS de moeder-dochterrelatie herstructureert.

Voor Nederlandse inkopers die tegen het DICTU-instrument scoren, is dat onderscheid geen voetnoot. Het is de bepalende factor. Het is ook de structurele reden waarom de zeven Alliantie-leden überhaupt gehoord worden. De hyperscalers kunnen elke dimensie matchen behalve degene die engineering niet kan repareren.

Aanbestedingsmatrix: marketingantwoord versus structureel antwoord

Schrijf of toets je in 2026 hosting-RFP's? Dan is dit een matrix die een marketing-soevereiniteitsclaim scheidt van een structurele. De vragen zijn de bijdrage; pas de scoringsschaal aan op je eigen praktijk.

Dimensie Wat je vraagt Marketingantwoord Structureel antwoord
Eigendomsstructuur Waar is de uiteindelijke moeder geïncorporeerd? Zit er ergens in de keten een Amerikaans-geïncorporeerde entiteit met custodial control? "Wij zijn EU-gebaseerd" Benoemde uiteindelijke moeder, incorporatieland en een schone eigendomsketen in het bid
Eigendomswisseling Als de moeder wordt overgenomen door een niet-EU-partij, welke contractuele of technische bescherming garandeert continuïteit? "Wij informeren je" Gedocumenteerde buyout-, overdracht- of escrowclausule met benoemde opvolger of escrow-agent
Personeel-jurisdictie Welk personeel heeft administratieve toegang tot je systemen, waar wonen ze en op welke standaard (BIO, AIVD A/B/C) zijn ze gescreend? "Ons personeel woont in de EU" Benoemde jurisdictie per rol, benoemde screeningsstandaard, audit logs beschikbaar
Sleutelbeheer Wie houdt de encryptiesleutels voor data at rest? Kan de aanbieder technisch je data lezen zonder jouw actie? "Encrypted at rest" Klantgecontroleerde sleutels in EEA bewaard; aanbieder kan niet ontsleutelen zonder klantactie
Subverwerker-stack Welke subverwerkers gebruikt de aanbieder? Zijn er Amerikaans-geïncorporeerde bij? "AVG-conforme subverwerkers" Benoemde subverwerkerslijst met jurisdictie per subverwerker en een wijzigingsnotificatieclausule
Audit en exit Welk auditrecht heb je? Wat is de gedocumenteerde exit-termijn? Is dataportabiliteit getest? "Wij ondersteunen exit" Benoemde auditstandaard (ISAE 3402 of gelijkwaardig), gedocumenteerde exit-termijn, getest portabiliteitsformaat
Standaarden Welke Nederlandse en EU-standaarden zijn onafhankelijk gecertificeerd? NEN 7510, BIO, HAVEN, ISO 27001, ISO 27017, ISO 27018, SOC 2 "Wij voldoen" Onafhankelijk gecertificeerd, met certificaatnummers en datum laatste audit
Publieke-sector-referenties Heeft de aanbieder de afgelopen 24 maanden geleverd aan vergelijkbare Nederlandse publieke-sectorklanten? "Ja" Benoemde referentieklanten, contractomvang, te bellen referenties

De kolom "structureel antwoord" is de versie waarmee de voorzitter van de inkoopcommissie de aanbeveling kan tekenen zonder dat de juridische afdeling het verhaal eerst uit primaire bronnen moet reconstrueren. De kolom "marketingantwoord" is wat je krijgt van een leverancier die het DICTU-instrument niet serieus heeft bekeken.

Voor achtergrond bij waarom "gehost in Frankfurt" niet hetzelfde is als soeverein, lees mijn eerdere stuk over EU-datasoevereiniteit en de CLOUD Act. Voor de economische achtergrond die Nederlandse kopers van hyperscaler-defaults afduwt, het einde van goedkope shared hosting. En voor de Europese inkoopketen waar dit op aansluit, NIS2 voor hostingproviders en hun klanten.

Belangrijkste punten

  • De Open Cloud Alliantie is een vrijwillige coalitie van zeven Nederlandse aanbieders, gelanceerd op 1 april 2026, ACM-goedgekeurd, zonder aparte juridische entiteit. Behandel hem als beleidsinfrastructuur, niet als product.
  • De primaire impact is inkooptaal. Het DICTU-instrument, de Visie van december 2025 en de IT-Sourcingstrategie van februari 2026 gaven Nederlandse inkopers een geloofwaardig raamwerk. De Alliantie levert het geloofwaardige Nederlandse antwoord.
  • Er is nog geen overheidsaanbesteding gegund aan OCA-leden op basis van het manifest. De daadwerkelijke clouddossiers van het Rijk in 2026 zijn de StackIT-raamovereenkomst en de SSC-ICT-migratie van de public cloud af. De Alliantie wint het gesprek; de contracten zelf nog niet.
  • AWS European Sovereign Cloud, Azure Local en Googles soevereine offerings halen de juridische dimensie van het DICTU-instrument niet zolang hun moeders Amerikaans zijn. Dat is de bepalende factor.
  • Voor de meeste workloads hoeft de Alliantie niet elke dimensie te winnen. Hij hoeft alleen "we hebben een Nederlands soeverein alternatief overwogen" verdedigbaar te maken op het niveau van de inkoopcommissie. Sinds 1 april 2026 is die regel gratis.

WordPress onderhoud zonder omkijken?

Ik regel updates, backups en beveiliging, en houd performance strak—zodat storingen en traagheid niet terugkomen.

WordPress onderhoud uitbesteden

Gerelateerde artikelen

  1. Eigen mailserver in 2026: moeilijker dan ooit, maar ook belangrijker dan ooit

    Gmail weigert niet-conforme mail op protocolniveau. Microsoft doet hetzelfde. Een eigen mailserver draaiende houden in 2026 betekent SPF, DKIM, DMARC, MTA-STS, TLS, DNSSEC, correcte PTR-records en een onberispelijke afzenderreputatie. Wanneer is het de moeite waard?

    1813 woorden
  2. OpenTofu vs Terraform in 2026: de fork die doorzette

    Drie jaar na de fork zijn OpenTofu en Terraform uit elkaar gegroeid in licenties, governance en technische features. Voor Europese teams die hun infrastructure-as-code-strategie evalueren, is de keuze niet langer theoretisch.

    1908 woorden
  3. EU-datasoevereiniteit: waarom 'gehost in Frankfurt' niet AVG-compliant is

    Data opslaan in een EU-datacenter maakt het niet soeverein. De Amerikaanse CLOUD Act kan AWS, Azure en Google Cloud dwingen om in de EU opgeslagen data te overhandigen. Wat dit betekent voor jouw bedrijf en hoe je een hostingprovider beoordeelt.

    1673 woorden

Begin met typen om te zoeken, of blader door de kennisbank en blog.