De wereld verandert in een razendsnel tempo, en dat geldt zeker ook voor het digitale landschap waarin een grote gemeente als Amsterdam opereert. Waar in de voorgaande jaren de 'public cloud' nog de onbetwiste standaard was, markeert deze nieuwe strategie een fundamentele koerswijziging. De centrale vraag is niet langer alleen hoe IT zo efficiënt mogelijk wordt ingezet, maar hoe (in dit geval) de stad de regie behoudt over haar eigen digitale toekomst. Lees er meer over in deze blog.

Noodzaak van digitale autonomie

We zijn de naïviteit kwijt

De geopolitieke realiteit is onvoorspelbaarder geworden. Dit heeft directe impact op de continuïteit van de dienstverlening van gemeenten aan bewoners, ondernemers en bezoekers. De gemeenteraad van Amsterdam heeft hierop gereageerd door unaniem in te stemmen met het initiatiefvoorstel 'Amsterdam Digitaal Onafhankelijk'.

Het doel is helder: Amsterdam wil minder afhankelijk worden van grote, niet-Europese technologiebedrijven. Dit is geen motie van wantrouwen tegen de huidige leveranciers, maar een bewuste keuze voor zelfbeschikking. De gemeente wil zelf (gaan) bepalen hoe de privacy van inwoners wordt beschermd en de digitale veiligheid wordt versterkt. De strategie hanteert hierbij het principe 'autonomie, tenzij': er wordt gekozen voor autonome oplossingen, tenzij dit praktisch of financieel (nu nog) onmogelijk is. Doet denken aan het eerder (politiek, niet ambtelijk) zo populaire 'open, tenzij'-principe.

"De strategie hanteert hierbij het principe 'autonomie, tenzij': er wordt gekozen voor autonome oplossingen, tenzij dit praktisch of financieel (nu nog) onmogelijk is."
💡
Onlangs publiceerde DICTU een toetsingsinstrument dat helpt de soevereiniteit van clouddiensten te beoordelen. Iemand maakte daar een webbased versie van. Handig!

In het toetsingsinstrument komen diverse (cloud-)risico's aan bod, maar centraal staan de hoofd- en 'leidende'vragen verdeeld over de volgende 5 dimensies:
1. Juridisch
2. Data & AI
3. Technologie
4. Operationeel
5. Mens
Per vraag, of: criteria, worden 5 niveaus van soevereiniteit onderscheiden. Zo wordt een ogenschijnlijk abstract begrip als soevereiniteit (in de context van IT) ineens heel concreet.

Doelen voor 2030

En die zijn ambitieus

Amsterdam legt de lat hoog. Tegen 2030 moet minimaal 30% van de clouddiensten zijn ondergebracht bij Europese (EER) publieke of private aanbieders, vrij van inmenging door statelijke partijen van buiten de EU.

Daarnaast wordt er scherp gekeken naar opkomende technologieën zoals AI. Deze moeten, waar ze bedrijfskritisch zijn, 'soeverein-by-design' worden ingericht. Dit betekent dat vanaf de tekentafel wordt geborgd dat de gemeente de strategische controle over deze systemen en de bijbehorende data behoudt. Dat lijkt sterk op 'security-by-design' en 'privacy-by-design' – die overigens zelden eenduidig worden ingevuld en daarmee contractueel lastig afdwingbaar zijn.

Samen Sterker

Collectivisering en regie

Ook een grote stad als Amsterdam kan dit niet alleen. De strategie sluit aan bij de Nederlandse Digitaliseringsstrategie (NDS) en de visie van de VNG op collectivisering. De gedachte is simpel: door de marktmacht van de Nederlandse overheid te bundelen, staat de overheid sterker tegenover de Amerikaanse techgiganten.

Een belangrijk speerpunt is dat gemeenten niet langer op eigen houtje het wiel uitvinden – al is dat natuurlijk al meerdere keren geclaimd/gesteld/geopperd. Niettemin, er wordt gestreefd naar een situatie waarin minstens 80% van de digitalisering gezamenlijk wordt opgepakt via landelijke generieke voorzieningen. Denk hierbij aan initiatieven zoals Common Ground, waarbij professioneel opdrachtgeverschap en het delen van digitale voorzieningen centraal staan.

Een nieuwe kijk op sourcing

Alhoewel, 'nieuw'..

Een opvallende verandering in de strategie is de verschuiving van het inkopen van applicaties naar het sourcen van functies. In plaats van simpelweg een bestaand softwarepakket een-op-een te vervangen, kijkt de gemeente naar de onderliggende bedrijfsfunctie die ondersteund moet worden. Om tot de juiste keuze te komen, doorloopt elke IT-vraag een strikte beslisboom (vergelijkbare initiatieven hebben in het verleden de verwachting niet altijd ingelost). Daarbij gelden wel een aantal randvoorwaarden:

  • De functionele behoefte is vastgesteld
  • Het is duidelijk welke gemeentelijke functie wordt ondersteund
  • De samenhang met het portfolio en de architectuur is bekend
  • Er is een businesscase beschikbaar

De vragen uit de beslisboom luiden als volgt:

  • Landelijke voorzieningen: Is er een landelijke standaard of voorziening beschikbaar? Zo ja, dan heeft hergebruik de voorkeur.
  • Lokale voorzieningen: Kan de vraag beantwoord worden door bestaande Amsterdamse bouwstenen? Ofwel, is het herbruikbaar te maken?
  • Maatwerk: Pas als landelijke of lokale opties niet voldoen, komt maatwerk in beeld, waarbij de afweging tussen 'ontwikkelen' of 'inkopen' opnieuw wordt gemaakt op basis van autonomie en kosten.

Dit alles staat (veel uitgebreider) visueel weergegeven op pagina 12 van de Amsterdamse strategie.

Van cloud naar multicloud

Een strategie die alleen werkt binnen randvoorwaarden

De tijd dat er slechts één smaak cloud was, ligt in het verleden. Amsterdam beweegt naar een multicloudmodel. De keuze voor de opslaglocatie wordt bepaald door de dataclassificatie en de bedrijfsfunctionaliteit. Bedrijfskritische processen en hoogvertrouwelijke data zullen op termijn volledig onder eigen regie draaien, bij voorkeur binnen de Overheidscloud of soevereine Europese cloudomgevingen. Voor niet-kritische processen met een lage(re) dataclassificatie blijft de publieke cloud een optie, maar ook daar wegen autonomie en duurzaamheid zwaarder mee dan voorheen.

De ambitie is groot, maar de uitvoering kent uitdagingen. De strategie benoemt expliciet een aantal randvoorwaarden:

  • Sturing onder Architectuur: De CIO voert de regie en rapporteert aan het college over de naleving van de strategie.
  • Investeren in Kennis: Er is behoefte aan diepgaande kennis over risicomanagement en de technische werking van private en publieke clouds.
  • Samenwerking met het Rijk: Het succes valt of staat met de snelheid waarmee de Rijksoverheid de landelijke Overheidscloud en de NDS-doelen realiseert.
"De tijd dat er slechts één smaak cloud was ligt in het verleden. Amsterdam beweegt naar een multicloud-model. De keuze voor de opslaglocatie wordt bepaald door de dataclassificatie en de bedrijfsfunctionaliteit."

Digitale onafhankelijkheid

Het pad is ingezet

De Sourcing- en cloudstrategie 2026 – 2030 is meer dan een technisch document; het is een politiek statement over de waarden die Amsterdam belangrijk vindt. Door te kiezen voor digitale autonomie, open standaarden en collectieve inkoop, bouwt Amsterdam aan een weerbare stad die ook in 2030 de regie in eigen handen heeft. Voor wat het waard is: ik vind dit even nastrevenswaardig, prijzenswaardig als noodzakelijk. Lees vooral de volledige strategie zelf; met 15 pagina's ben je er zo doorheen.