Het merendeel van webapplicaties die gemeenten gebruiken draait op Amerikaanse cloudinfrastructuur. Dat blijkt uit onderzoek van cybersecuritybedrijf MindYourPass, dat in 2025 bijna twee miljoen loginmomenten bij twintig gemeenten analyseerde. In totaal zijn 12.527 applicaties onderzocht op basis van daadwerkelijk gebruik.
Hoe gemeenten grip op hun data verliezen
Er worden volop AI-oplossingen ontwikkeld, maar in de praktijk is ChatGPT bij gemeenten verreweg de meest gebruikte AI-tool.
De uitkomst: 59,2 procent van de gebruikte webapplicaties draait op infrastructuur van Amerikaanse cloudproviders. Slechts 39,3 procent wordt volledig Europees gehost én geëxploiteerd. Het onderzoek laat daarmee zien hoe groot de afhankelijkheid van Amerikaanse infrastructuur inmiddels is, ook bij lokale overheden die inzetten op digitale soevereiniteit.
Multicast-IP-adressen
Volgens Merijn de Jonge, CEO van MindYourPass, staat gemeentelijke data in veel gevallen daadwerkelijk in Europa opgeslagen. ‘De data staan dan wel daadwerkelijk in Europa en als het goed is, wordt die daar ook verwerkt.’ Toch betekent dat niet automatisch dat het verkeer binnen Europa blijft. Wanneer een ambtenaar een webapplicatie gebruikt, verloopt dat via een IP-adres dat door de leverancier wordt beheerd. ‘En die leverancier is eigenlijk in control van waar dat IP-adres naartoe leidt,’ zegt De Jonge.
Bij veel grote cloudpartijen wordt gewerkt met zogenoemde multicast-IP-adressen. Daardoor is niet te garanderen dat verkeer rechtstreeks naar een Europees datacenter gaat. ‘Omdat IP-adressen vaak multicast zijn, kun je niet garanderen dat het verkeer naar die dienst niet toch via Amerika loopt.’
Dataroute is nauwelijks zichtbaar
Dat inzicht was voor De Jonge de aanleiding om het onderzoek te starten. ‘Wat ik er absoluut schokkend aan vind, is dat je denkt dat je je diensten in een datacenter in Nederland of Europa draait. Je gaat ervan uit dat data bij een leverancier in Europa ook hier blijft.’ Volgens hem is dit voor veel organisaties nauwelijks zichtbaar. ‘Het is volledig buiten het zicht. Je maakt gebruik van een dienst, maar je weet eigenlijk niet via welke weg jouw data bij die dienst uitkomt.’
De discussie over digitale soevereiniteit wordt vaak gevoerd in juridische termen, zoals de Amerikaanse Cloud Act of de AVG. Maar volgens De Jonge zit er ook een technische laag onder waar gemeenten zich meer bewust van moeten zijn. ‘Vanuit de discussie over datasoevereiniteit die nu overal speelt, zou je kunnen zeggen dat het zeer belangrijk is dat we weten welke route die data volgt.’
Techreuzen bepalen
Gemeenten maken weliswaar beleidskeuzes over opslaglocaties bij aanbestedingen, maar hebben volgens De Jonge minder zicht op de netwerkarchitectuur daarachter. Hij wijst erop dat configuraties volledig onder beheer staan van de cloudprovider. ‘Die instelling is volledig onder beheer van Google. Dus als Google op een willekeurig moment zegt: we laten alle data via Amerika routen, dan gebeurt dat gewoon.’
Fysieke toegang tot Europese datacenters is volgens hem niet eens noodzakelijk om bij gegevens te komen. ‘Amerika hoeft helemaal niet de soevereiniteit van Europa te schenden om bij die data te komen. Ze hoeven Europa niet binnen. Ze kunnen het anders configureren, en dan komt de data automatisch naar hen toe.’ Het onderzoek keek niet alleen naar algemeen gebruik, maar ook naar applicaties die gemeenten zelf als kritisch of high-impact hebben aangemerkt. Bij die systemen ligt het aandeel Amerikaanse hosting lager (40 procent), maar ook daar kan bij ongeveer de helft het dataverkeer via de Verenigde Staten lopen of daar worden gehost.
Dagelijks bij primaire processen
De Jonge benadrukt de omvang. ‘Het gaat om een verschrikkelijk groot aantal applicaties. Het zijn niet tientallen, het zijn er meer dan zevenduizend.’ Volgens hem onderscheidt dit onderzoek zich doordat het gebaseerd is op daadwerkelijk inloggedrag van medewerkers. ‘Wij hebben gekeken naar het daadwerkelijk inloggedrag van medewerkers binnen gemeenten. Het gaat dus niet om theoretische afhankelijkheden, maar om systemen die dagelijks worden ingezet in primaire processen.’
Het onderzoek laat daarnaast zien dat de afhankelijkheid van Amerikaanse infrastructuur ook zichtbaar is bij het gebruik van AI-tools. De twintig meest gebruikte AI-tools binnen gemeenten worden allemaal in de Verenigde Staten gehost. Gemeenten ontwikkelen hun eigen AI-oplossingen, maar in de praktijk is ChatGPT verreweg de meest gebruikte AI-tool. Over het onderscheid tussen privé- en zakelijk gebruik bij ChatGPT zegt De Jonge dat dat niet is uitgesplitst. ‘We hebben niet gekeken of dat een zakelijk of een privéaccount is. Het gaat om gebruik op basis van een gemeentelijk account waarmee is ingelogd.’
Interactieve kaart met cloudhostinglocaties
Bij het onderzoek hoort een interactieve kaart waarop cloudhostinglocaties zichtbaar zijn, inclusief de applicaties die daar volgens de metingen draaien. De kaart is niet vrij toegankelijk vanwege privacy- en veiligheidsredenen. De Jonge benadrukt dat voorzichtig moet worden omgegaan met de interpretatie van de gegevens. ‘Het feit dat er een punaise van zo’n cloudhostinglocatie in Amerika staat, wil niet zeggen dat die dienst ook daadwerkelijk in Amerika staat. Het kan ook betekenen dat routing via de VS mogelijk is, of dat de provider Amerikaans is.’
Het onderzoek van MindYourPass is uitgevoerd op basis van geanonimiseerde login- en gebruiksdata van 20 Nederlandse gemeenten. In totaal zijn 1.964.128 loginmomenten bij 12.527 verschillende applicaties in 2025 geanalyseerd. Van 12.170 applicaties kon het bijbehorende IP-adres worden vastgesteld, wat het mogelijk maakte om de hostinglocatie en het eigendom van de onderliggende infrastructuur te analyseren. 7.664 van deze applicaties zijn geclassificeerd als zakelijke applicaties. Applicaties zijn vervolgens ingedeeld op basis van gebruiksintensiteit. Gemeenten hebben zelf aangegeven welke applicaties kritiek zijn.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.