Elk jaar tekenen duizenden Nederlandse directeuren cloudcontracten — zonder alle relevante vragen te hebben gesteld. Het gevolg: te hoge kosten, juridische kwetsbaarheden, onverwachte vendor lock-in of privacyrisico's die pas aan het licht komen als het te laat is.
In dit artikel geef ik u de 7 vragen die elke directeur, bestuurder of CTO zou moeten stellen aan een potentiële cloudprovider — vóórdat het contract getekend wordt. Elke vraag bevat ook een rode vlag: signalen die u zou moeten zorgen baren.
Gebruik deze checklist ook om uw huidige cloudprovider te evalueren. De meeste organisaties hebben nooit alle onderstaande vragen formeel beantwoord gekregen van hun huidige leverancier. Dat is zelf al een signaal.
Waar staat mijn data precies?
Dit klinkt simpel, maar het antwoord is complexer dan u denkt. "In Europa" is geen garantie. Uw data kan in meerdere datacenters staan, worden gerepliceerd naar back-up-locaties buiten uw gewenste jurisdictie, of worden beheerd via een bedrijfsstructuur die in een ander land is geregistreerd.
Stel deze vragen:
- In welk(e) land(en) staat mijn data fysiek opgeslagen?
- Worden back-ups op dezelfde locaties bewaard?
- Heeft de provider of moederbedrijf ook vestigingen buiten de EU?
- Kunt u dit contractueel garanderen — met boetebeding?
Rode vlag: Providers die "EU-only" beloven in marketingmateriaal maar dit niet in het contract zetten, bieden geen echte garantie.
Onder welk recht valt mijn data?
Datalocatie en juridische jurisdictie zijn twee verschillende dingen. Uw data kan in Amsterdam staan, terwijl de rechtszaak die er mogelijk over gevoerd wordt in Californië of Ierland plaatsvindt — onder Californisch of Iers recht.
Stel deze vragen:
- Welk recht is van toepassing op ons contract?
- Welke rechtbank is bevoegd bij een geschil?
- Is de provider subject aan buitenlandse wetgeving zoals de US Cloud Act?
- Kan de provider verplicht worden data te verstrekken aan buitenlandse autoriteiten?
Rode vlag: Elke grote Amerikaanse cloudprovider valt onder de US Cloud Act. Lees meer in ons artikel over de US Cloud Act.
Hoe kom ik van deze provider af als ik wil?
De exit-strategie is de eerste vraag die velen stellen als het te laat is. Cloudproviders bouwen ecosystemen die het weggaan moeilijk, duur en tijdrovend maken. Controleer dit vóórdat u tekent — niet achteraf.
Stel deze vragen:
- In welk formaat kan ik al mijn data exporteren?
- Zijn er exit-kosten of contractuele beperkingen?
- Hoelang duurt een volledige migratie bij 500GB / 1TB data?
- Biedt de provider transitieondersteuning of is dat extra?
Rode vlag: Providers die bewust exportformaten beperken of extra kosten vragen voor data-export, creëren bewust vendor lock-in.
Wat zijn de werkelijke totaalkosten?
De basisprijs is het topje van de ijsberg. Echte cloudkosten bestaan uit licenties, add-ons, extra opslag, compliance-modules, beveiliging, support en mogelijke exit-kosten. Vraag om een volledig TCO-overzicht voor uw specifieke gebruiksprofiel.
Stel deze vragen:
- Wat zijn de kosten bij groei naar 2x het huidige aantal gebruikers?
- Welke functies zitten NIET in de basisprijs?
- Zijn er kosten voor data-egress (data uit de cloud halen)?
- Hoe is de prijshistorie van dit product — hoe vaak zijn er prijsverhogingen geweest?
Rode vlag: Cloudproviders verhogen prijzen gemiddeld 10–20% per jaar. Vraag naar meerjarige prijsgaranties.
Wie heeft toegang tot mijn data?
Medewerkers van de cloudprovider kunnen in de meeste gevallen technisch toegang krijgen tot uw data — voor onderhoud, troubleshooting of als ze daartoe verplicht worden. Dit is een fundamenteel vertrouwensvraagstuk.
Stel deze vragen:
- Kunnen medewerkers van de provider mijn data inzien?
- Worden verzoeken om data-toegang gelogd en gerapporteerd?
- Heeft de provider een "zero-knowledge" of end-to-end encryptie-aanpak?
- Hoe wordt omgegaan met verzoeken van overheden om data?
Rode vlag: Providers die claimen dat "niemand toegang heeft" maar geen technische bewijs leveren (zoals end-to-end encryptie), geven alleen marketingbeloften.
Hoe worden beveiligingsincidenten afgehandeld?
Datalekken zijn niet de vraag of maar wanneer — ook bij de beste providers. Hoe een provider reageert op een incident bepaalt hoe groot de schade voor uw organisatie is. De AVG stelt verplicht dat u als verwerkingsverantwoordelijke incidenten binnen 72 uur meldt.
Stel deze vragen:
- Wat is de gemiddelde detectietijd bij een beveiligingsincident?
- Binnen hoelang wordt u geïnformeerd na een datalek?
- Wie is de contactpersoon bij een incident?
- Biedt de provider indemnificatie bij nalatigheid van hun kant?
Rode vlag: Controleer of de provider gecertificeerd is (ISO 27001, SOC 2 Type II) en of die certificering actueel is.
Voldoen jullie aan de regels in mijn sector?
Generieke AVG-compliance is een minimum. Afhankelijk van uw sector gelden aanvullende eisen: NEN 7510 (zorg), DORA (financieel), BIO (overheid), NIS2 (kritieke infrastructuur). Een provider die "AVG-compliant" claimt maar uw sectorspecifieke normen niet kent, is onvoldoende voorbereid.
Stel deze vragen:
- Bent u bekend met [sectorspecifieke norm] en voldoet u hieraan?
- Heeft u ervaring met klanten in onze sector?
- Welke certificeringen en audits heeft u? Mogen wij deze inzien?
- Kunt u ons helpen bij onze eigen compliance-documentatie?
Rode vlag: Vraag naar concrete referenties in uw sector — niet alleen namen maar ook contactpersonen die u kunt bellen.
Hoe scoort Anzers Cloud op deze vragen?
We begrijpen dat u dezelfde vragen ook aan ons zou moeten stellen. Hier zijn onze antwoorden:
- Datalocatie: Uitsluitend in Nederland, contractueel vastgelegd met boetebeding bij schending.
- Juridische jurisdictie: Nederlands recht, Nederlandse rechter. Wij vallen niet onder de US Cloud Act.
- Exit: Uw data is altijd exporteerbaar in open formaten. Geen exit-kosten, volledige migratie-ondersteuning.
- Kosten: Transparante prijsstelling zonder verborgen add-ons. Bekijk onze kostenpagina.
- Datatoegang: Ons platform is volledig open source — auditeerbaar door u of uw IT-partij.
- Incidenten: ISO 27001-certificering in aanvraag. Incidentmeldingen conform de wettelijke 72-uursnorm.
- Sectorspecifiek: Ervaring in zorg, recht en overheid. Vraag ons naar uw specifieke situatie.
Wilt u deze vragen direct met ons bespreken? Plan een gesprek — geen verkooppraatje, gewoon een eerlijk gesprek over uw cloudstrategie.
Veelgestelde vragen voor cloudprovider-evaluatie
Welke vragen moet ik een cloudprovider stellen over datalocatie?
Vraag: Waar staat mijn data precies? In welk land, in welk datacenter? Wie heeft de eigendomsstructuur van dat datacenter? Worden back-ups op dezelfde locaties bewaard? Kan u dit contractueel garanderen — met boetebeding?
Hoe beoordeel ik de exit-strategie van een cloudprovider?
Een goede cloudprovider heeft een duidelijk, gedocumenteerd exit-proces. Vraag: In welk formaat kan ik mijn data exporteren? Hoelang duurt de export? Zijn er kosten verbonden aan het weggaan? Providers die deze vragen ontwijken zijn een risico.
Wat moet ik weten over de juridische jurisdictie van mijn clouddata?
Vraag welk recht van toepassing is op uw cloudcontract én op uw data. Een contract onder Iers of Amerikaans recht is fundamenteel anders dan één onder Nederlands recht. Controleer ook of de provider onder buitenlandse surveillancewetgeving valt, zoals de US Cloud Act.
Welke certificeringen moet een serieuze cloudprovider hebben?
De meest relevante certificeringen zijn ISO 27001 (informatiebeveiliging), SOC 2 Type II (security en availability), NEN 7510 (voor zorg), en ISO 9001 (kwaliteitsmanagement). Vraag altijd naar het meest recente auditrapport — niet alleen naar het certificaat.