Van deze groep applicaties wordt de helft (50,5 procent) geroute via of gehost in de Verenigde Staten. 46 procent wordt gehost bij Amerikaanse cloudproviders in Europa.

Slechts 39,3 procent van alle gebruikte applicaties wordt volledig Europees gehost én geëxploiteerd. De resterende circa 1,5 procent draait buiten Europa en de VS, bijvoorbeeld in Azië.

‍

“We liepen hier zelf ook tegenaan,” zegt Merijn de Jonge, CEO van MindYourPass. “Wij kozen bewust voor een Europees datacenter bij een Amerikaanse cloudprovider, in de veronderstelling dat daarmee alles binnen Europa bleef. Pas toen we onze eigen infrastructuur analyseerden, zagen we dat dataverkeer alsnog via de VS kan lopen. Dat was voor ons een belangrijke aanleiding om dit onderzoek te starten.”

‍

Het onderzoek laat zien dat een bewuste keuze voor een Europees datacenter bij een Amerikaanse cloudprovider niet automatisch betekent dat dataverkeer ook volledig binnen Europa blijft. Ook wanneer data fysiek in Europa wordt opgeslagen, kan het verkeer onderweg via de Verenigde Staten lopen, bijvoorbeeld door de manier waarop netwerken en load balancers zijn ingericht. In dat geval wordt data niet alleen juridisch geraakt door Amerikaanse wetgeving zoals de Cloud Act, maar loopt zij ook technisch via de VS.

Top-20 meest gebruikte applicaties: beperkte verschillen

Naast het totaalbeeld heeft MindYourPass ook gekeken naar de twintig meest gebruikte zakelijke webapplicaties binnen gemeenten. Binnen deze groep draait 54 procent op infrastructuur van Amerikaanse cloudproviders. Bij 33,3 procent van deze applicaties, loopt het dataverkeer mogelijk via de Verenigde Staten, bijvoorbeeld omdat datacenters daar zijn gevestigd of omdat verkeer via de VS kan worden gerouteerd. 46 procent wordt volledig Europees gehost en geëxploiteerd.

Meest kritieke applicaties: nauwelijks andere afhankelijkheden

Vervolgens is gekeken naar applicaties die door gemeenten zelf zijn aangemerkt als kritisch of high-impact. Binnen deze groep draait 40 procent van de applicaties op Amerikaanse cloudproviders. Bij 50 procent loopt het dataverkeer mogelijk via de Verenigde Staten, of staat het gehost in de Verenigde Staten. In totaal staat 60 procent van deze webapplicaties in Europa, bij een Europese host.

‍

^{* Per applicatie wordt één hostinglocatie weergegeven. Deze is gebaseerd op de specifieke dienst of URL die, binnen deze analyse, het meest relevant is op basis van daadwerkelijk gebruik en risicoprofiel. Veel leveranciers bieden meerdere diensten aan met verschillende technische en geografische kenmerken. KPN is hiervan een voorbeeld: de vermelding in dit overzicht is gebaseerd op een specifieke login- of authenticatiedienst met een technische relatie tot de Verenigde Staten. Dit zegt nadrukkelijk niets over de hostinglocatie of afhankelijkheden van andere KPN-diensten.}

‍

“Bij de meest kritieke applicaties zien we wel degelijk een ander beeld dan gemiddeld,” zegt Merijn de Jonge, CEO van MindYourPass. “Het aandeel dat in de Verenigde Staten wordt gehost ligt lager, namelijk 40 procent. Tegelijkertijd betekent dit dat ook bij systemen die direct raken aan primaire processen en gevoelige data, buitenlandse afhankelijkheden een rol spelen.”

‍

Gebruik van AI-tools binnen gemeenten

Er is veel aandacht voor zogenoemde schaduw-AI: AI-tools die buiten het formele IT- en inkoopbeleid om worden gebruikt. De analyse van daadwerkelijk gebruik laat zien waarom. De twintig meest gebruikte AI-tools binnen gemeenten worden allemaal gehost in de Verenigde Staten. Daarbij gaat het niet alleen om experimentele toepassingen, maar om tools die structureel worden ingezet voor schrijven, analyseren, samenvatten en bewerken van content.

‍

Veel gemeenten hebben formeel beleid vastgesteld voor het gebruik van Microsoft Copilot. Toch zien we in de praktijk dat de meest gebruikte AI-tool ChatGPT van OpenAI is.

‍

Zelf inzicht krijgen in applicaties en hosting

Voor gemeenten, beleidsmakers en journalisten die zelf willen onderzoeken waar specifieke applicaties draaien en bij welke cloudproviders, heeft MindYourPass een interactieve kaart ontwikkeld.

‍

Op deze kaart zijn cloudhostinglocaties en -providers te zien, met daarbij de gemeentelijke webapplicaties die daar daadwerkelijk worden gebruikt. De kaart toont dus niet alle applicaties die bij een cloudprovider draaien, maar uitsluitend de applicaties die in dit onderzoek zijn waargenomen op basis van loginverkeer van gemeenten.

‍

‍

Omdat het hierbij om gevoelige informatie gaat, is de kaart niet vrij toegankelijk. Toegang kan worden aangevraagd via het formulier onderaan dit artikel. Zodra toegang is verleend, kunnen applicaties worden bekeken op gebruik, hostinglocatie en eigendomsstructuur.

Over de methodologie

Dit onderzoek is uitgevoerd op basis van geanonimiseerde login- en gebruiksdata van 20 Nederlandse gemeenten. In totaal zijn, om precies te zijn, 1.964.128 loginmomenten bij 12.527 verschillende applicaties in 2025 geanalyseerd.

‍

Van 12.170 applicaties kon het bijbehorende IP-adres worden vastgesteld, wat het mogelijk maakte om de hostinglocatie en het eigendom van de onderliggende infrastructuur te analyseren. 7.664 van deze applicaties zijn geclassificeerd als zakelijke applicaties. Voor het bepalen van de geografische locaties en ASN-nummers is gebruikgemaakt van de geavanceerde diensten van ipinfo.com. Voor het achterhalen van bedrijfsnamen op basis van ASN-nummers werd gebruikgemaakt van ChatGPT.

‍

Applicaties zijn vervolgens ingedeeld op basis van gebruiksintensiteit. Gemeenten hebben zelf aangegeven welke applicaties kritiek zijn.

‍

‍