We gebruiken Microsoft bij de Belgische overheid? En dan, dat is toch prima? Het werkt toch goed en iedereen gebruikt het. Toch? Het is tenslotte de veilige keuze. “Niemand is ooit ontslagen voor het kiezen van IBM Microsoft.”
“Hey Amerika, ik dacht dat we vrienden waren?” Deze vraag is niet langer retorisch. Terwijl tariefbedreigingen escaleren, oorlogen geopolitieke allianties hertekenen, en digitale infrastructuur de ruggengraat wordt van elke kritieke dienst, staat Europa voor een ongemakkelijke waarheid: we hebben de controle over onze digitale toekomst uitbesteed aan een handvol Amerikaanse bedrijven.
Dat de VS ons bespioneren via Google, Microsoft en andere grote Amerikaanse techbedrijven, is geen nieuw verhaal. Toen Edward Snowden in 2013 lekte dat het PRISM-programma van de NSA rechtstreeks toegang had tot de servers van Facebook, Google, Microsoft en Yahoo, en enorme hoeveelheden data verzamelde over niet-Amerikaanse burgers, uitten Europese leiders hun verontwaardiging. Het Europees Parlement lanceerde onderzoeken. Maar structureel veranderde er weinig. Meer dan een decennium later is de afhankelijkheid alleen maar verdiept. Europa betaalt nu jaarlijks €264 miljard aan Amerikaanse techgiganten voor cloud- en softwarediensten, gelijk aan 1,5% van het BBP van de EU. Drieëntachtig procent van de Europese zakelijke clouduitgaven gaat naar Amerikaanse leveranciers, wat 1,95 miljoen Amerikaanse banen ondersteunt terwijl Europese alternatieven het moeilijk hebben. En België loopt voorop. Zelfs vandaag. Het nieuws brak net dat het Belgische Leger volledig voor Microsoft zal gaan, en een half jaar geleden verlengde ook de hele Vlaamse overheid niet alleen hun contract, maar verdiepte ook de banden.
De vraag is niet langer of deze afhankelijkheid bestaat, maar of we onafhankelijk kunnen functioneren wanneer de geopolitieke wind draait. Dreigt dit niet de volgende too-big-to-fail situatie te worden?
De soevereiniteitslacune waar niemand over praat
Digitale soevereiniteit klinkt abstract, iets voor beleidsnerds en regelgevers om te debatteren in Brusselse vergaderzalen. Maar haal de jargon weg, en het is simpel: de capaciteit om onafhankelijk te beslissen hoe een samenleving haar digitale infrastructuur, data en intelligentie beheert en bestuurt. Het gaat over controle, veerkracht en het vermogen om te werken volgens lokale wetten en waarden wanneer externe actoren andere prioriteiten hebben.
Op dit moment mist Europa die capaciteit. De GAFAM-giganten (Google, Apple, Facebook (Meta), Amazon en Microsoft) controleren meer dan 60% van de wereldwijde cloudmarkt. In Europa is de concentratie nog scherper: Amazon, Microsoft en Google domineren 70% van de cloudinfrastructuurmarkt. Microsoft alleen heeft tussen 73% en 92% marktaandeel in EU publieke sector productiviteitssoftware, afhankelijk van de categorie. Een geschatte 90% van de westerse data passeert door Amerikaanse servers.
Deze marktdominantie is uitgegroeid tot een structurele afhankelijkheid. Wanneer de Amerikaanse CLOUD Act (aangenomen in 2018) Amerikaanse autoriteiten de wettelijke bevoegdheid geeft om toegang te krijgen tot data opgeslagen door Amerikaanse bedrijven waar ook ter wereld, ongeacht lokale privacywetten, wordt Europese soevereiniteit een juridische fictie. Wanneer Microsoft toegeeft aan de Franse Senaat dat het niet kan garanderen dat Franse burgergegevens niet aan Amerikaanse autoriteiten worden doorgegeven zonder Franse toestemming, spat de illusie uiteen.
De Europese Unie heeft geprobeerd te reageren. De Digital Markets Act wees zes bedrijven aan (Alphabet, Amazon, Apple, Bytedance, Meta en Microsoft) als “poortwachters” die speciaal toezicht vereisen. Maar regulering zonder alternatieven is gewoon theater. De meeste Europese organisaties, publiek en privaat, opereren op wat het EU Cloud Sovereignty Framework SEAL-0 of SEAL-1 noemt: volledig afhankelijk van externe leveranciers zonder contractuele garanties voor datalocatie, verwerkingssoevereiniteit of immuniteit van buitenlandse jurisdictie.
In de DNS konijnepijp
Ben je echt niet geïnteresseerd bent in de technische details, maar wil je gewoon de samenvatting? De DNS-records tonen ons wie inkomende mail verwerkt, en geven een sterke indicatie van wie uitgaande mail voor een webdomein verwerkt. Op basis van deze informatie kunnen we uitzoeken of het domein MSO365, het Google-ecosysteem of iets anders gebruikt.
Dus ik begon me af te vragen… is er publieke data beschikbaar die me kan helpen de omvang van deze realiteit te achterhalen? En ik kwam uit bij de DNS-records, het publieke register van het internet. Velen van ons kennen de DNS al als het telefoonboek van het internet - het vertelt gebruikers naar welk IP-adres een domeinnaam moet leiden. Maar de DNS bevat veel meer dan alleen dat. Het vertelt je e-mailclient ook wie de mail voor een bepaald domein accepteert.
Als je een beetje nerdy bent, zou je dit commando kunnen gebruiken (en je krijgt deze respons):
$ dig MX +short vilvoorde.be
0 vilvoorde-be.mail.protection.outlook.com.
Dit vertelt ons dus duidelijk dat alle mail naar somebody@vilvoorde.be zal worden verwerkt door outlook.com (dus: Microsoft). Als je niet zo technisch bent, kun je ook een website zoals [dnschecker.org(https://dnschecker.org/#MX/vilvoorde.be) bezoeken en hetzelfde resultaat zien. Dit konijnenhol gaat veel dieper, maar voor nu is dit genoeg.]
Met deze kennis begon ik te onderzoeken hoe Belgische gemeenten hun mail beheerden, door gewoon elke officiële domeinnaam voor de 285 gemeenten in België te controleren. De resultaten waren mild schokkend, maar lager dan ik eigenlijk verwachtte. Volgens die kaart gebruikte Leuven bijvoorbeeld zijn eigen MX-records (<mx.leuven.be>). Maar de realiteit leerde ons dat deze gemeente Microsoft-infrastructuur gebruikt voor hun operaties (inclusief mail).
Ik breidde mijn zoektocht uit en probeerde een kaart te maken voor alle Europese gemeenten en merkte al gauw hoe bepaalde landen een zeer lage afhankelijkheid van niet-EU dienstverleners toonden. Duitsland toonde bijvoorbeeld dat 66% van de gemeentes een lokale mailserver draaien, en in Polen is dat zelfs 90%. Maar opnieuw… in gesprekken met lokale burgers, bleek regelmatig Outlook en MSO365 te draaien op plaatsen waar dit volgens de kaart niet zou mogen zijn. Dus… wat is er aan de hand?
Ja… wat was het probleem? Blijkbaar zijn er twee mogelijke situaties waarin het gebruik dat onze oplossing niet in kaart brengt:
- (minder gebruikelijk) De domeinhouder heeft een on-premise server en draait Exchange of andere vergrendelde mailserversoftware hierop.
- (vrij gebruikelijk) Er wordt een mailproxy gebruikt die vóór de eigenlijke mailserver wordt geplaatst. Dit wordt typisch gedaan voor beveiliging of om spam of malware te onderscheppen voordat het het netwerk binnenkomt.
Dus nu willen we uitzoeken wie mails verstuurt voor een bepaald domein, aangezien dat minstens even belangrijk is. Hoewel dit niet direct zichtbaar is in de DNS-records, kunnen we profiteren van goede praktijken voor mailbezorgbaarheid en nog een duik nemen in de DNS-records, maar deze keer in de TXT-records. Dit is in feite de prullenbak van de DNS-record. Hier vinden we de Sender Policy Framework (SPF) record. Deze regel in de DNS vertelt ons wie mail mag versturen namens een bepaald domein.
Je kunt opnieuw zoiets als [dnschecker.org(https://dnschecker.org/#TXT/leuven.be) gebruiken of opnieuw een terminal commando gebruiken:]
$ dig TXT +short leuven.be | grep v=spf
"v=spf1 ip4:52.148.198.154 ip4:195.234.45.71/32 ip4:31.193.181.122/32 ip4:193.190.220.214/32 ip4:193.191.179.0/27 ip4:193.190.220.192/27 ip4:93.94.106.167 ip4:213.224.57.64/29 ip4:109.68.162." "57/32 ip4:193.191.179.11/32 ip4:167.89.72.195/32 include:spf.protection.outlook.com include:spf.wearehostingyou.com include:prezlymail.com include:spf.mandrillapp.com include:carerix.net include:spf.icontroller.eu include:spf.ciport.be -all"
Zoals je in het bovenstaande voorbeeld kunt zien: er kunnen meerdere verzendservices geautoriseerd zijn. In het bovenstaande voorbeeld zien we een hoop domeinen en IP-ranges. Laten we er een paar doornemen:
- ip4:52.148.198.154 <– dit IP-adres [verwijst naar een server in Amsterdam, gehost door Microsoft(https://iplocation.io/ip/52.148.198.154).]
- ip4:195.234.45.71/32 <– dit subnet/range gaat naar een lokale Belgische Telecom Ingenieur - het lijkt erop dat er een back-up is in geval van nood
- er zijn nog een paar IP-ranges die naar Belgische bedrijven verwijzen
- include:… <– de TXT-record voor domeinen die worden opgenomen, bevatten een andere set IP-adressen of include-domeinen die verzending kunnen toestaan. Hoewel de domeinnaam ons doorgaans iets vertelt over het bedrijf, is het geen garantie (en de inhoud van deze includes kan ook stilletjes veranderen)
- include:spf.protection.outlook.com <– verwijzend naar IP-ranges in eigendom van Microsoft die worden gebruikt door de MS exchange-servers die mailverzending beheren
- include:spf.wearehostingyou.com <– (en andere) IP-ranges die verwijzen naar lokale EU-bedrijven en -diensten
Omwille van de praktische haalbaarheid, kijken we gewoon naar de include-domeinen, alle gecontroleerde domeinen weerspiegelen het bedrijf erachter op betrouwbare wijze. Iedereen die geïnteresseerd is om nog dieper in dit konijnenhol te duiken… ga je gang!
Onderzoek naar publieke diensten
Dus gegeven deze inzichten, kunnen we kijken naar de domeinen van verschillende publieke diensten (incl. enkele bedrijven). Als we naar MX- en SPF-records kijken, leert dit ons:
| Politie | Brandweer | Ziekenhuizen | Scholen (VL) | Banken | Politieke partijen | |
|---|---|---|---|---|---|---|
| Microsoft | 100% | 45% | 44% | 56% | 39% | 115/150 |
| 18% | 1% | 32% | 4% | 14/150 | ||
| Non EU | 16% | 1% | 11% | |||
| EU/BE | 36% | 28% | 8% | 46% | 21/150 |
Mijn conclusie: België kan het zich niet veroorloven dat Microsoft uitvalt. Nederland ook niet, noch vele andere EU-landen. En de trend versnelt: In januari 2025 tekende Vlaanderen een Microsoft Copilot-deal voor 10.000 gebruikers, Europa’s grootste publieke sector AI-contract. In 2024 won Microsoft 89-100% van de publieke IT-aanbestedingen in grote EU-landen.
In april 2025 kondigde de Minister van Defensie een cybersecurity-investering van €61 miljoen aan, inclusief een “overgang naar clouddiensten.” Luxemburg en België zijn een partnerschap aangegaan voor een soevereine cloud voor defensie en kritieke infrastructuur. Met Microsoft die de sector van defensie- en inlichtingenoplossingen betreedt, en de dreiging van Amerikaanse economische sancties, zal het geen verrassing zijn te horen dat het Belgische Leger ook de Microsoft-kaart trekt. Er rijzen zorgen dat dit ons kwetsbaar maakt op geopolitiek niveau.
BeLibre: Een grassroots-antwoord
Vervolgens begon ik te zoeken naar Belgische bewegingen die werkten aan het vergroten van het bewustzijn rond het belang van digitale soevereiniteit. Wonend nabij Brussel, was ik al lid van Hackerspace Brussels, waar ik veel gelijkgestemde en tech-nieuwsgierige mensen vond. Er is ook de BXLug, die mensen verzamelen die Linux gebruiken en regelmatig installatiefeesten organiseren in heel Brussel. De geweldige mensen bij Abelli doen grote inspanningen om Vrije Software in België te promoten, maar zijn voornamelijk Franstalig en focussen op specifieke onderwerpen. Maar geen van deze bewegingen interageerde met het politieke niveau of sprak op publieke evenementen. Er waren bewegingen zoals APELL, de European Open Source Software Business Association en bewegingen zoals EDRI maar hoewel ze in Brussel gevestigd zijn, focussen ze op het Europese niveau.
Dit onderzoek leidde ertoe dat ik BeLibre oprichtte in april 2025. BeLibre is een Belgische grassroots-beweging die probeert techliefhebbers te verzamelen met een diep begrip van hoe dingen werken. We proberen experts uit de academische wereld, het bedrijfsleven en de algemene techgemeenschap te verzamelen.
We coördineren via Matrix (voor online gemeenschapsdiscussie), waar we meerdere kanalen hebben:
Voor publieke outreach gebruiken we voornamelijk [Mastodon(https://mastodon-belgium.be/@BeLibre).]
Dit is geen FUD of protectionisme
Onvermijdelijk zullen sommigen dit afdoen als angst, onzekerheid en twijfel. “Amerikaanse tech is gewoon beter. Waarom zouden we onszelf belemmeren?” zullen anderen argumenteren. “Is dit niet gewoon protectionisme vermomd als soevereiniteit?”
Laten we duidelijk zijn: dit gaat over risicobeheer, niet over ideologie. Organisaties beoordelen routinematig supply chain-risico’s voor fysieke goederen: geografische concentratie, single points of failure, geopolitieke blootstelling. Waarom zou digitale infrastructuur uitgezonderd zijn? Wanneer Microsoft 80% van de EU publieke sector productiviteitsmarkt bezit, wordt een langdurige storing, een prijswijziging of een eenzijdige beleidswijziging een existentiële bedreiging.
Wanneer de Amerikaanse CLOUD Act Amerikaanse wetshandhaving toestaat om toegang te krijgen tot Europese data opgeslagen op servers van Amerikaanse bedrijven (ongeacht waar die servers zich fysiek bevinden), wordt Europese databeschermingswetgeving onuitvoerbaar. Wanneer tarieven, sancties of exportcontroles gewapend kunnen worden (zoals we hebben gezien met halfgeleiders, energie en nu mogelijk clouddiensten), wordt afhankelijkheid hefboomwerking.
Open source en interoperabiliteit zijn de tegengiften voor zowel Amerikaanse lock-in als Europees protectionisme. Tools zoals LibreOffice, Nextcloud, Matrix en Mastodon zijn wereldwijd ontwikkeld, transparant bestuurd en immuun voor eenzijdige bedrijfs- of nationale controle. Strategische autonomie betekent geen isolatie, het betekent het behoud van de capaciteit om onafhankelijk te opereren wanneer dat nodig is.
De inzet is hoger dan je denkt
België en een groot deel van Europa hebben digitale soevereiniteit uitbesteed aan een handvol Amerikaanse bedrijven. Dit creëert systemisch risico: storingen die publieke diensten verlammen, juridische kaders die in strijd zijn met Europese waarden, prijsmacht die jaarlijks miljarden extraheert, en geopolitieke hefboomwerking die Europese autonomie ondermijnt.
De trend versnelt. AI-integratie (Copilot, Gemini, ChatGPT Enterprise) verdiept de lock-in. Cloud-native architecturen maken migratie moeilijker. Shadow IT verspreidt zich sneller dan governance het kan bijhouden.
Maar er bestaan oplossingen. In het volgende artikel zal ik de specifieke risico’s doorlopen die deze afhankelijkheid gevaarlijk maken: storingen, juridische conflicten, marktmisbruik en governance-mislukkingen. In het derde zal ik een praktisch stappenplan bieden voor organisaties om hun blootstelling te beoordelen, te plannen en geleidelijk te verminderen zonder alles te breken.
Voor nu is de eerste stap bewustzijn. Breng je afhankelijkheden in kaart. Vraag waar je e-mail wordt gehost, wie je DNS beheert, waar je data wordt opgeslagen en wie er wettelijk toegang toe heeft. Want de vraag is niet of je afhankelijk bent, het is of je het je kunt veroorloven het niet te weten.
Bronnenmateriaal
- (2009) The US surveillance programmes and their impact on EU citizens’ fundamental rights
- (2014) Edward Snowden: Leaks that exposed US spy programme
- (2015) SURVEILLANCE, PRIVACY, AND SECURITY: EUROPE’S CONFUSED RESPONSE TO SNOWDEN
- (2025) Technological dependence on American software and cloud services : an assessment of the economic consequences in Europe
- (2025) Digital Sovereignty: Why leaving the GAFAM is an absolute urgency (and what to replace them with)
- (2025) Digital Sovereignty in the Age of AI
- (2025) Nextcloud Digital Sovergnty Index
- (2025) Europe’s cloud market poised for 24% growth
- (2025) Microsoft beheerst 80 procent van publieke sector EU met software
- (2025) Europe’s Digital Sovereignty at Risk: The Microsoft Dependency
- (2025) The Growing Demand for a Sovereign Cloud
- (2023) The Key to Confidentiality in the Cloud
- (2019) The Untold Story of Edward Snowden’s Impact on the GDPR
- Can Europe create a technology company to compete with Amazon, Google or Apple?
- (2025) Your Country’s Digital Sovereignty Index Score - and Why It Matters
- (2025) Flemish authorities close big AI deal: 10,000 civil servants will get access to Microsoft Copilot
- (2025) Flanders secures Europe’s largest Microsoft Copilot contract to improve government efficiency
- (2015) TWO YEARS AFTER SNOWDEN