Hosting 7 min leestijd

KPN en STACKIT lanceren soevereine cloud in Nederland: wat het betekent voor je software.

KPN en Schwarz Digits bouwen een Europese cloud vanuit Nederlandse datacenters. De Rijksoverheid en De Nederlandsche Bank tekenden al. Wat moet je weten als je software bouwt of laat bouwen?

Jasper Koers ·

In het kort

  • KPN en Schwarz Digits (STACKIT) lanceren medio 2027 een soevereine cloud vanuit Nederlandse datacenters
  • De Rijksoverheid en De Nederlandsche Bank hebben al getekend — het eerste raamcontract met een Europese cloudprovider
  • Data blijft binnen de EER, zonder blootstelling aan de Amerikaanse CLOUD Act
  • Voor software die draait op overheids- of NIS2-plichtige infrastructuur wordt cloudkeuze een aanbestedingscriterium
  • Ontwerp je software cloud-portable: geen harde afhankelijkheden van één provider

Lidl bouwt de cloud waar de Rijksoverheid op draait

Op 28 mei 2026 maakten KPN en Schwarz Digits bekend dat ze samen een soevereine cloud lanceren in Nederland. De infrastructuur komt in KPN-datacenters op Nederlandse bodem, volledig onder Europese jurisdictie. Schwarz Digits is de IT-tak van de Schwarz Group — beter bekend als het moederbedrijf van Lidl en Kaufland — en runt met STACKIT al een cloudplatform dat dagelijks miljoenen transacties verwerkt voor meer dan 14.000 winkels in 32 landen.

Het klinkt als een onwaarschijnlijke combinatie: een supermarktketen die cloudinfrastructuur levert aan de Nederlandse overheid. Maar STACKIT is geen bijproject. Het platform draait op open-source technologie (OpenStack en Kubernetes), is gebouwd voor enterprise-workloads, en bedient inmiddels ook externe klanten in heel Europa. De Europese Commissie selecteerde STACKIT als een van de vier providers voor 180 miljoen euro aan cloudcontracten.

Waarom de overheid niet meer alleen op AWS en Azure wil leunen

De Nederlandse Rijksoverheid tekende eerder in april 2026 al een raamcontract met STACKIT — het eerste contract dat de overheid sluit met een Europese cloudprovider. Ook De Nederlandsche Bank koos STACKIT voor haar Europese cloud. Het signaal is helder: voor gevoelige data en kritieke infrastructuur wil de overheid niet langer uitsluitend afhankelijk zijn van Amerikaanse partijen.

De reden is juridisch, niet technisch. AWS en Azure bieden uitstekende beveiliging en beschikbaarheid. Maar als Amerikaans bedrijf vallen ze onder de CLOUD Act, waardoor de Amerikaanse overheid toegang kan eisen tot data — ook als die in een Europees datacenter staat. Voor veel bedrijven is dat een aanvaardbaar risico. Voor overheden, financiële instellingen en NIS2-plichtige organisaties kan het een showstopper zijn.

Het raamcontract met STACKIT bevat daarom stevige waarborgen: data mag alleen binnen de Europese Economische Ruimte worden opgeslagen, de overheid krijgt auditrechten, en er zijn exit-clausules die activeren als STACKIT wordt overgenomen door een niet-Europese partij.

Niet alleen de overheid: een bredere verschuiving

Het KPN-STACKIT-partnership staat niet op zichzelf. In april 2026 presenteerde de Open Cloud Alliantie — een samenwerking van zeven Nederlandse IT-bedrijven waaronder KPN, Centric en Info Support — een soeverein cloudalternatief met twintig datacenters en een gezamenlijke omzet van 6,5 miljard euro. De Europese Commissie investeert via het IPCEI-CIS-programma honderden miljoenen in Europese cloudinfrastructuur.

Tegelijkertijd stelt de Cyberbeveiligingswet (de Nederlandse implementatie van NIS2) steeds striktere eisen aan de supply chain van organisaties in essentiële en belangrijke sectoren. Cloudkeuze wordt daarmee niet alleen een technische beslissing, maar ook een compliance-vereiste.

Welke sectoren worden als eerste geraakt?

De verschuiving naar soevereine cloud raakt niet elk bedrijf gelijk. De sectoren waar het het eerst concreet wordt:

  • Overheid en semi-overheid. Aanbestedingen gaan steeds vaker expliciet eisen stellen aan datasoevereiniteit. Het STACKIT-raamcontract is het startschot.
  • Financiële dienstverlening. DNB heeft zelf gekozen voor STACKIT. Verwacht dat toezichthouders vergelijkbare eisen gaan stellen aan partijen die zij reguleren.
  • Zorg. Medische data is al zwaar gereguleerd onder de AVG. NIS2 voegt daar supply-chain-eisen aan toe.
  • Energie en vitale infrastructuur. De Cyberbeveiligingswet maakt cloudkeuze onderdeel van je risicobeheersing.

Wat dit betekent als je software bouwt of laat bouwen

Voor bedrijven die maatwerk software gebruiken of laten ontwikkelen, heeft de opkomst van soevereine cloud drie concrete gevolgen:

1. Ontwerp je software cloud-portable

Het belangrijkste principe: bouw geen harde afhankelijkheden in van één cloudprovider. Gebruik abstractielagen voor storage (S3-compatible API's), databases (PostgreSQL in plaats van provider-specifieke diensten) en queues (standaard protocollen). Zo kun je later migreren zonder je hele applicatie te herschrijven.

Bij Coding Agency bouwen we standaard op Laravel Vapor (AWS), maar de applicatiecode is niet aan AWS gekoppeld. Laravel's filesystem-abstractie, database-migraties en queue-drivers maken het mogelijk om dezelfde applicatie op een andere provider te draaien zonder codewijzigingen.

2. Weet welke data je waar opslaat

Niet alle data hoeft op een soevereine cloud. Een dataclassificatie helpt je de juiste keuze te maken per applicatie:

  • Publieke data (website, marketing) — elke betrouwbare provider volstaat.
  • Interne bedrijfsdata (CRM, projecten) — EU-regio bij een hyperscaler is voor de meeste bedrijven prima.
  • Gevoelige data (persoonsgegevens, financieel, medisch) — hier wordt soevereine cloud een serieuze overweging, zeker als je opdrachtgevers in gereguleerde sectoren zitten.
  • Overheidsdata en vitale infrastructuur — verwacht dat soevereine cloud hier de standaard wordt.

3. Bereid je voor op aanbestedingseisen

Als je software levert aan de overheid of gereguleerde sectoren, ga je te maken krijgen met cloudsoevereiniteit als selectiecriterium. Dat betekent niet dat je morgen moet migreren, maar wel dat je nu al moet kunnen aantonen dat je software cloud-portable is en dat je een migratiepad hebt.

Wat STACKIT technisch biedt

STACKIT is geen minimaal alternatief. Het platform biedt IaaS en PaaS-diensten vergelijkbaar met de basisdiensten van AWS en Azure: compute (virtuele machines en Kubernetes), object storage, managed databases (PostgreSQL, MariaDB, Redis), networking en monitoring. De stack is gebaseerd op OpenStack en Kubernetes — open-source technologie die vendor lock-in voorkomt.

Wat STACKIT (nog) niet biedt, zijn de honderden managed services waar AWS en Azure om bekendstaan. Geen Lambda, geen Cognito, geen DynamoDB. Voor applicaties die zwaar leunen op provider-specifieke diensten is dat een beperking. Voor applicaties die draaien op standaard compute, databases en storage — en dat zijn de meeste bedrijfsapplicaties — is het ruim voldoende.

De nuance: soeverein is niet per definitie beter

Het is verleidelijk om soevereine cloud als de veiligere keuze te positioneren, maar dat is te kort door de bocht. AWS en Azure investeren jaarlijks miljarden in security, beschikbaarheid en compliance. Een Europese provider moet die betrouwbaarheid nog bewijzen op dezelfde schaal.

De keuze voor soevereine cloud is daarom geen technische, maar een juridische en strategische afweging:

  • Verwerk je data waarvoor de CLOUD Act een risico vormt? → Soevereine cloud verdient serieuze overweging.
  • Lever je aan sectoren waar toezichthouders cloudkeuze meewegen? → Begin nu met voorbereiden.
  • Bouw je interne tooling zonder gevoelige persoonsgegevens? → AWS in een EU-regio is waarschijnlijk prima.

Praktische stappen: wat je nu al kunt doen

  1. Inventariseer je cloudafhankelijkheden. Welke provider-specifieke diensten gebruik je? Welke zijn vervangbaar door open-source alternatieven?
  2. Classificeer je data. Niet alles hoeft soeverein. Maak onderscheid tussen publieke, interne, gevoelige en vitale data.
  3. Test portabiliteit. Kun je je applicatie deployen op een andere provider zonder codewijzigingen? Als het antwoord nee is, plan dan refactoring in.
  4. Volg de aanbestedingseisen. Als je levert aan overheid of gereguleerde sectoren, monitor dan welke soevereiniteitseisen in tenders verschijnen.
  5. Praat met je softwareleverancier. Vraag hoe zij omgaan met cloudportabiliteit en of ze ervaring hebben met meerdere providers.

Conclusie: de cloud wordt Europees — en je software moet mee kunnen

De samenwerking tussen KPN en Schwarz Digits is meer dan een persbericht. Het is een concreet signaal dat de Nederlandse overheid en financiële sector serieus werk maken van digitale soevereiniteit. Medio 2027 staat de infrastructuur er — en tegen die tijd worden de eerste aanbestedingen geschreven die soevereine cloud als eis opnemen.

Voor de meeste MKB-bedrijven verandert er op korte termijn weinig. AWS en Azure blijven uitstekende keuzes voor de meeste workloads. Maar als je software bouwt die meegroeit met je organisatie — of die je levert aan klanten in gereguleerde sectoren — dan is nu het moment om cloudportabiliteit in je architectuur in te bouwen. Niet omdat je morgen moet migreren, maar omdat je wilt kúnnen migreren als het nodig is.

Veelgestelde vragen

STACKIT is het cloudplatform van Schwarz Digits, de IT-tak van de Schwarz Group (het moederbedrijf van Lidl en Kaufland). Het platform is volledig Europees: de data blijft binnen de EER, er is geen blootstelling aan de Amerikaanse CLOUD Act, en de broncode is deels open source. STACKIT bedient al meer dan 14.000 winkels en verwerkt dagelijks miljoenen transacties.
De Rijksoverheid wil minder afhankelijk zijn van Amerikaanse cloudproviders. STACKIT biedt een Europees alternatief zonder blootstelling aan de CLOUD Act. Het raamcontract bevat auditrechten, exit-clausules bij niet-Europese overname, en de garantie dat data binnen de EER blijft.
Niet per se. Voor veel MKB-bedrijven is AWS met een EU-regio (Frankfurt, Ireland) een prima keuze. Maar als je software bouwt voor de overheid, zorg, finance of andere NIS2-plichtige sectoren, kan een soevereine cloud een vereiste worden bij aanbestedingen. Begin met een risicoanalyse: welke data verwerk je en welke eisen stellen je opdrachtgevers?
KPN en Schwarz Digits verwachten de soevereine cloud medio 2027 volledig beschikbaar te hebben. De infrastructuur wordt gehost in KPN-datacenters in Nederland en voldoet aan de strengste Europese eisen voor datasoevereiniteit.
Gerelateerde expertise — SaaS Development

Meer weten over saas development? Bekijk onze aanpak, werkwijze en referentieprojecten.

Bekijk onze aanpak Gratis prijsindicatie
Onderwerpen
Cloud Soevereiniteit STACKIT KPN Hosting NIS2 AVG CLOUD Act Overheid

Gerelateerde artikelen

4 mei 2026
Hosting

Soevereine cloud: waarom steeds meer bedrijven kiezen voor Europese hosting

Zeven Nederlandse IT-bedrijven presenteerden in april 2026 de Open Cloud Alliantie — een soeverein alternatief voor AWS, Azure en Google Clo...

16 feb. 2026
Hosting

AWS hosting binnen de EU

Waarom wij bewust kiezen voor AWS-regio's in Frankfurt en Ireland — en wat dat betekent voor jouw data, privacy en performance.

16 feb. 2026
Juridisch

NIS2 & softwareontwikkeling

De Europese NIS2-richtlijn stelt strengere eisen aan cybersecurity. Wat betekent dat concreet voor jouw software, je leveranciers en je ontw...

Hulp nodig?

Vragen over dit onderwerp? Laten we het erover hebben.

Neem contact op