De weg naar digitale autonomie en soevereiniteit:

Van A(merikaans) naar Beter.

“De grootste complexiteit zit niet in de nieuwe locatie, maar in de weg er naar toe.”

Samenvatting

Digitale autonomie is in 2026 een prioriteit in de bestuurskamer geworden, gedreven door geopolitieke spanningen en wetgeving zoals de CLOUD-Act. Terwijl Gartner een groei van 83% voorspelt in uitgaven aan soevereine clouds, worstelt de markt met een aanzienlijke uitvoeringskloof. Hoewel 61% van de organisaties de expliciete ambitie heeft om de regie te herpakken, signaleert de markt dat door onvoorziene verwevenheid tussen de applicatie en huidige clouddiensten een 'cloud-lock-in'. Door deze ‘cloud-lock-in’ stranden of stagneren bij meer dan 70% van de organisaties hun geplande exit-strategie in de praktijk. De complexiteit van de applicatie migratie zorgt ervoor dat veel strategieën beperkt blijven tot 'papieren tijgers'. Deze whitepaper analyseert de 8 dimensies van migratie-complexiteit en introduceert de 4V-methodiek om de regie over de bedrijfscontinuïteit te herpakken.

Introductie

Digitale autonomie en soevereiniteit staan hoog op de agenda van diverse organisaties. Geopolitieke spanningen, afhankelijkheden van verbindingen in bijvoorbeeld de Noordzee, controle en regie, compliance en regelgeving en natuurlijk onvoorspelbare kosten; ze spelen allemaal in mindere of meerdere mate een rol bij de overweging te verhuizen uit de door CLOUD-Act belaste cloud-omgevingen. Deze overweging en het opstellen van een exit-strategie is meer en meer de verantwoordelijkheid van de CEO, naast die van de CTO en/of CISO. Onderbuikgevoelens maken plaats voor de concrete plannen om de bedrijfscontinuïteit te waarborgen.

Belangrijkste redenen om te verhuizen uit de met ClOUD-Act belaste cloud:

“Kunt u verhuizen? Wat komt daar bij kijken? Wat moet, wat mag en wat juist niet? En waar gaat u dan naar toe? Hoe vindt u een nieuw balans tussen de IT wensen en eisen van de organisatie en de wereld om ons heen met zijn invloed op die organisatie?”

Het zijn waarschijnlijk allemaal herkenbare vragen. Met name de vraag ‘wat komt er bij kijken?’ kan kort beantwoord worden met ‘er komt veel bij kijken, het is namelijk complex’. Maar dit is natuurlijk geen concreet antwoord. Met deze whitepaper ga ik (Roy Lamain, Managing Director van IT90) nader in op deze complexiteit en doen we een voorstel om tot concrete antwoorden te komen.

De Marktontwikkeling van Digitale autonomie in cijfers

De noodzaak voor actie wordt onderbouwd door recente marktdata:

• Investeringsgolf: De uitgaven aan soevereine clouds in Europa stijgen in 2026 met 83% op jaarbasis (Gartner).

• De Executiekloof: Terwijl de ambitie voor soevereiniteit hoog is (61%), ziet meer dan 70% van de organisaties hun geplande exit-strategie in de praktijk stranden of ernstig stagneren door onvoorziene complexiteit.

• Workload Verschuiving: Naar verwachting zal 20% van de huidige IaaS-workloads dit jaar worden herplaatst naar lokale, soevereine aanbieders (Gartner).

• De Soevereiniteits-paradox: Ondanks dat 80% van de professionals zich goed geïnformeerd acht, heeft 32% vorig jaar een feitelijk soevereiniteits-incident meegemaakt (Kiteworks).

• Vertrouwensbreuk: 44% van de organisaties twijfelt of hun cloudprovider soevereiniteitsclaims contractueel kan waarmaken tegenover buitenlandse wetgeving zoals de CLOUD-Act (Kiteworks).

De 8 dimensies van complexiteit

De complexiteit zit in verschillende factoren die per organisatie verschillen. Ze zijn onder te verdelen in de 8 dimensies van complexiteit:

1. Afhankelijkheden van publieke clouddiensten

De eerste uitdaging is het identificeren van de clouddiensten waarvan de applicatie momenteel afhankelijk is, en wat de alternatieven zijn in de nieuwe doelomgeving.

Bijvoorbeeld: beheer van wachtwoorden en sleutels, Database, Monitoring en logging, Identiteits- en toegangsbeheer (IAM), Netwerkdiensten, Back-up en disaster recovery diensten, CDN, load balancers, API gateways of andere managed platform services.

Als deze afhankelijkheden niet goed in kaart worden gebracht (bijv. via de 4V-scan), kan de migratie snel riskant en kostbaar worden.

2. Applicatie-afhankelijkheden

Applicaties hebben meestal afhankelijkheden met andere componenten, gedeelde diensten of externe systemen.

Daarom moet je beslissen: Wat kan als eerste verhuizen? Wat moet tijdelijk blijven staan? Wat moet als één bundel samen worden gemigreerd? Wat heeft een tijdelijke hybride opstelling nodig tijdens de overgang?

Een gefaseerde migratieaanpak is meestal veiliger dan proberen alles in één keer te verplaatsen.

3. Toegangsbeheer (Access Management)

Toegangsbeheer is vaak een van de meest complexe onderdelen van een migratie. Het vereist een zorgvuldige analyse van wie of wat toegang nodig heeft tot welke systemen.

Dit omvat toegangseisen tussen: Applicaties en integraties van derden.  Applicaties en de datalagen (zoals databases, queues en messaging-systemen). Applicaties en gebruikers (inclusief firewalls, toegangsregels, VPN's en whitelisting). Beheerders, operators en supportteams. En het beheer van service-accounts, secrets, certificaten en API-keys. Verantwoordelijkheden, zoals technisch en functioneel beheer, kunnen verschuiven.

Dit onderdeel wordt vaak onderschat, maar kan de migratie makkelijk vertragen als het niet vroegtijdig wordt aangepakt.

4. Landschap van de nieuwe infrastructuur

Voordat de migratie begint, moet de nieuwe doelomgeving klaar zijn om de applicatie correct te draaien. Het gaat niet alleen om het verplaatsen van workloads, maar ook om het bouwen van een stabiele en betrouwbare runtime-omgeving.

Aandachtspunten zijn onder meer: Beveiliging, Redundantie, Netwerken en connectiviteit, Back-up en herstel (recovery), Patching en onderhoud, Performance en capaciteit, Compliance en governance (wet- en regelgeving).

Het doelplatform moet zowel de huidige behoeften als toekomstige groei kunnen ondersteunen.

5. Datamigratie

Data is meestal een van de grootste uitdagingen. Het is vaak omvangrijk, gevoelig en bedrijfskritisch, en vereist daarom een solide migratiestrategie.

Dit kan inhouden: Back-up en restore, Replicatie, Synchronisatie tijdens de overgang, Datavalidatie na de migratie, Rollback-planning (terugvalplan), Planning van downtime tijdens migratie en beheer van dataconsistentie en integriteit.

Zonder een goed datamigratieplan kan zelfs een technisch geslaagde migratie nog steeds bedrijfsproblemen veroorzaken.

6. Testen en validatie

De migratie is niet voltooid zodra de applicatie in de nieuwe omgeving staat. Je moet bevestigen dat alles naar verwachting werkt.

Dit moet het volgende omvatten: Integratietesten, Performancetesten, Beveiligingstesten en Gebruikersacceptatietesten (GAT/UAT).

Testen helpt verrassingen na de livegang te voorkomen.

7. Downtime en zakelijke impact

Een ander belangrijk punt is het begrijpen van de impact op de organisatie en de bedrijfsvoering.

Je moet het volgende definiëren: Acceptabele downtime, Migratievensters (tijdsblokken), Rollback-opties, Communicatie naar gebruikers en stakeholders en de bedrijfscontinuïteit tijdens de overgang.

Sommige systemen kunnen downtime verdragen, terwijl andere een vrijwel ononderbroken werking nodig hebben.

8. Planning en projectmanagement

Een migratie is niet alleen een technische inspanning. Het vereist een sterke planning en coördinatie tussen verschillende teams.

Dit omvat: Het definiëren van de scope (reikwijdte) en prioriteiten; het toewijzen van verantwoordelijkheden; het maken van een realistische tijdlijn; het beheren van risico's en afhankelijkheden; het afstemmen van infrastructuur-, applicatie-, beveiligings- en businessteams; en het bijhouden van de voortgang en besluitvorming.

Goed projectmanagement is vaak het verschil tussen een gecontroleerde migratie en een chaotische.

De 20% Paradox: Innovatie zonder verlies van controle

Een migratie-strategie hoeft geen "alles of niets" verhaal te zijn. Experts schatten dat 80% van de cloud-oplossingen technisch vervangbaar is. De resterende 20% van de applicaties, vaak complexe AI-workloads en data-analytics, vormt vaak de grootste barrière. Laat deze 20% u niet weerhouden om stappen te maken. Het is uitstekend mogelijk om uw kritische bedrijfsapplicaties in een soevereine omgeving te draaien, terwijl specifieke AI-workloads in de Amerikaanse cloud blijven, gemanaged vanuit één overkoepelend Kubernetes-platform. Dit biedt u de snelheid van globale innovatie met de veiligheid van een soevereine kern.

Voor die laatste 20% zijn er inmiddels krachtige soevereine alternatieven zoals Nebul (nebul.com), die AI-infrastructuur op Europese bodem bieden.

Essentieel: Vind het wiel niet opnieuw uit!

In Nederland hebben we onze applicaties en data de afgelopen jaren massaal verhuisd naar AWS, Azure en Google. Er zijn landen zoals Turkije waar dit niet het geval was. De wetgeving van Turkije loopt qua digitale autonomie en soevereiniteit jaren voor op de Europese landen. Migraties uit de Amerikaanse cloud hebben zich daar afgelopen jaren met grote regelmaat plaatsgevonden. Daar zit dus kennis en ervaring. Complexe migraties als deze kunnen niet zonder deze kennis en ervaring. IT90 combineert deze kennis en ervaring met lokale project management, resources en marktkennis. Het wiel hoeft dus niet opnieuw uitgevonden te worden.

Praktijkvoorbeelden

• Frisdrank-fabrikant verhuizen uit AWS

De Uitdaging: Een wereldwijde frisdrank producent (actief in 10+ landen) werd geconfronteerd met een escalerende "cloud-tax".

De Oplossing: In slechts 8 maanden tijd is een volledige AWS cloud-exit gerealiseerd. Meer dan 30 applicaties en 60 databases zijn succesvol gemigreerd naar een private infrastructuur.

Resultaat: Een directe besparing van 80%op de egress-kosten en een prestatieverbetering van 20%.

• Telecom Operator naar Soeverein en Compliancy

De Uitdaging: meer dan 150 applicatiesmigreren naar een Tier 3 datacenter. De primaire drijfveer was de strikte KVKK-wetgeving (Turkse AVG).

De Oplossing: Regie over een grootschalige migratie met de focus op absolute data-soevereiniteit. De architectuur werd zo ontworpen dat alle kritieke workloads en data volledig binnen de eigen jurisdictie worden beheerd.

Resultaat: Een volledige 'KVKK-ready' status voor het gehele applicatielandschap.

De 4V-methodiek: Uw Soevereine Meetlat

Wij gebruiken de 4V-methodiek om de soevereiniteit en stabiliteit van IT-omgevingen te toetsen. Waar staat uw organisatie op de meetlat?

V1: Verwevenheid Focus: Technische versmelting. Applicaties en datastromen zijn vaak onzichtbaar versmolten met de eigen tooling van een hyperscaler.

V2: Verplichting Focus: Juridische status check. Wij toetsen de huidige status van uw riskmanagement mbt NIS2 en DORA.

V3: Verbinding Focus: Afhankelijkheids-check. Een status check van uw huidige connectiviteit. Hoe kwetsbaar is uw operationele continuïteit?

V4: Voorspelbaarheid Focus: Kosten & Impact. Inzicht in de werkelijke kosten van uw huidige cloud-omgeving en de financiële impact van een transitie.

Call to Action

“Neem contact op voor uw 4V-Quickscan. Het geeft inzicht in uw specifieke omgeving en beantwoordt vragen rond uw specifieke complexiteit.”

Roy Lamain

Co-founder & Managing Director

📧 roy@it90.nl | 📞 +31 6 50845275
🌐 www.it90.nl  |📍 MATRIX 2, Science Park 400, 1098 XH Amsterdam