Politiek

Medemblik: zo weinig mogelijk maken van Amerikaanse servers

Gemeente Medemblik wil risico’s van Amerikaanse clouddiensten beperken en kijkt nadrukkelijk naar Europese alternatieven.

Het gemeentehuis van Medemblik, waar beleid rond digitale veiligheid en data-opslag wordt vastgesteld.

Uw banner hier?

Uw banner hier?

Uw banner hier?

Uw banner hier?

Uw banner hier?

Uw banner hier?

Uw banner hier?

Uw banner hier?

Uw banner hier?

MEDEMBLIK, 24 februari 2026 – De gemeente Medemblik erkent dat zij, net als vrijwel alle Nederlandse gemeenten, in aanzienlijke mate afhankelijk is van Amerikaanse technologiebedrijven voor de opslag en verwerking van gemeentelijke data. Dat blijkt uit beantwoording van schriftelijke vragen van Roelandt Paarlberg (GemeenteBelangen) aan het college van burgemeester en wethouders.

Volgens het college maakt Medemblik voor kantoorautomatisering en diverse vakapplicaties gebruik van diensten van grote aanbieders zoals Microsoft, waaronder Microsoft 365. Die afhankelijkheid is volgens het college niet uniek, maar onderdeel van een bredere landelijke praktijk binnen het gemeentelijk domein. Tegelijkertijd benadrukt het college dat er voortdurend afwegingen worden gemaakt tussen functionaliteit, veiligheid en kosten.

Geen formeel verbod, wel strikte voorwaarden

Het college stelt dat er momenteel geen formele restricties bestaan die het gebruik van Google- of Microsoft-diensten verbieden. Voorwaarde is wel dat deze diensten voldoen aan de geldende privacy- en beveiligingseisen, waaronder de Algemene Verordening Gegevensbescherming (AVG). Gemeentelijke data moet adequaat worden beschermd en contractuele afspraken moeten helder vastleggen hoe leveranciers met die data omgaan.

Volgens het college is het gebruik van dergelijke clouddiensten op dit moment noodzakelijk voor de dagelijkse bedrijfsvoering. Volledige afbouw van Amerikaanse software is op korte termijn niet realistisch, maar dat betekent niet dat de risico’s worden genegeerd.

Zorgen over digitale soevereiniteit en continuïteit

In de beantwoording van de vragen gaat het college uitgebreid in op de risico’s die samenhangen met de huidige afhankelijkheid. Een belangrijk aandachtspunt is de invloed van Amerikaanse wetgeving, zoals de Cloud Act. Die wet kan Amerikaanse autoriteiten onder voorwaarden toegang geven tot data die wordt beheerd door Amerikaanse bedrijven, zelfs wanneer die data fysiek op Europese servers staat.

Dit vormt volgens het college een potentieel risico voor de digitale soevereiniteit. Daarnaast wijst het college op het gevaar van zogeheten vendor lock-in: de afhankelijkheid van een beperkt aantal grote leveranciers. Die afhankelijkheid kan de gemeente kwetsbaar maken bij grootschalige storingen, plotselinge wijzigingen in licentievoorwaarden of veranderende geopolitieke verhoudingen.

Ook voor de continuïteit van de gemeentelijke dienstverlening ziet het college risico’s. Wanneer essentiële systemen langdurig uitvallen of onvoorzien duurder worden, kan dat directe gevolgen hebben voor inwoners en medewerkers.

Theoretisch risico op ongeoorloofde toegang

Op het gebied van gegevensbescherming erkent het college dat, ondanks contractuele afspraken en technische maatregelen zoals encryptie, een theoretisch risico blijft bestaan op ongeoorloofde toegang door buitenlandse inlichtingendiensten. Dat risico is volgens het college niet volledig uit te sluiten zolang data wordt beheerd door bedrijven die onder buitenlandse wetgeving vallen.

Daarom blijft voortdurende aandacht voor privacybescherming noodzakelijk, met name bij gevoelige of kritische gemeentelijke systemen.

Cloud-first beleid met Europese voorkeur

De gemeente Medemblik hanteert een zogenoemd cloud-first beleid. Dat betekent dat bij nieuwe ICT-oplossingen in principe wordt gekeken naar cloudoplossingen, mits deze voldoen aan de geldende eisen voor informatiebeveiliging en privacy. Daarbij volgt de gemeente het rijksbrede beleid voor informatiebeveiliging (BIO), dat ook door de Vereniging van Nederlandse Gemeenten (VNG) wordt ondersteund.

Bij de inkoop van clouddiensten wordt nadrukkelijk gekeken naar de locatie waar data wordt opgeslagen. De voorkeur gaat uit naar opslag binnen de Europese Unie, bij voorkeur in West-Europese regio’s. Ook wordt rekening gehouden met de eisen die voortvloeien uit de Schrems II-uitspraak, waarin is vastgelegd dat Europese privacywetgeving zwaarder weegt dan Amerikaanse surveillancemogelijkheden.

Borging via DPIA’s en inkoopvoorwaarden

Om te waarborgen dat data veilig blijft en zo veel mogelijk binnen Europese infrastructuren wordt opgeslagen, hanteert de gemeente verschillende instrumenten. Voor kritische systemen moet een Data Protection Impact Assessment (DPIA) worden uitgevoerd. Met zo’n beoordeling worden privacyrisico’s en de juridische houdbaarheid van een cloudoplossing in kaart gebracht.

De Chief Information Security Officer (CISO) en de Functionaris Gegevensbescherming (FG) werken volgens het college aan een proces om deze DPIA’s beter en structureler te borgen binnen de organisatie. Daarnaast maakt de gemeente gebruik van de GIBIT, de Gemeentelijke Inkoopvoorwaarden bij IT. Deze voorwaarden stellen strikte eisen aan databeveiliging en verwerkersovereenkomsten met leveranciers.

Verkenning van Europese alternatieven

Op de vraag of het college bereid is te verkennen of Nederlandse of Europese cloud-alternatieven haalbaar en kosteneffectief zijn, antwoordt het college bevestigend. Medemblik volgt de ontwikkelingen rond de Nederlandse Digitaliseringsstrategie (NDS) en de verkenningen naar een zogenoemde soevereine overheidscloud nauwgezet.

Volgens het college wordt hierbij bij voorkeur samengewerkt met andere gemeenten, onder meer via de VNG en het programma Common Ground. Door gezamenlijk op te trekken, hopen gemeenten sterker te staan richting leveranciers en kennis te kunnen delen over alternatieve oplossingen.

Rapportage aan de gemeenteraad

Wat betreft de informatievoorziening aan de gemeenteraad stelt het college dat er geen aparte rapportage wordt opgesteld zolang er geen ingrijpende wijzigingen plaatsvinden. Indien dat wel het geval is, zal de raad worden geïnformeerd via de reguliere paragraaf bedrijfsvoering in de begroting en jaarrekening, of via specifieke informatienota’s.

Daarmee houdt het college de vinger aan de pols, terwijl tegelijkertijd wordt ingezet op een beheerste en realistische aanpak. Volledige onafhankelijkheid van Amerikaanse clouddiensten lijkt voorlopig niet haalbaar, maar Medemblik wil de risico’s wel zo klein mogelijk maken door Europese alternatieven actief te blijven verkennen en strikte voorwaarden te stellen aan datagebruik en -opslag.

Ontdek meer van Westfriesland Praat

Abonneer je om de nieuwste berichten naar je e-mail te laten verzenden.

One thought on “Medemblik: zo weinig mogelijk maken van Amerikaanse servers

  1. Is er ook rekening gehouden als een Data Center meer stroom gebruikte dan bij de bouw is opgegeven?
    Uitbreiding of misrekening is voor mijn ’t zelfde.
    Als de Net belasting te hoog word deze afknijpen als andere anders die er naast bouwen niet aangesloten kunnen worden.
    Zij waren eerste maar dat geeft geen recht op onbeperkte stroom of koelwater gebruik.

    Beantwoorden

Reageer op dit artikel

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.