De afhankelijkheid van Amerikaanse software staat steeds vaker ter discussie. Zo zette de
Belastingdienst de migratie naar Microsoft 365 door, ondanks dat er politieke zorgen waren over digitale soevereiniteit. Uit antwoorden op Kamervragen van Eugène Heijnen, tot februari 2026 staatssecretaris Fiscaliteit, Belastingdienst en Douane, blijkt dat de keuze voor Microsoft 365 al in 2021 was gemaakt. Volgens de Kamerbrief ‘in een andere geopolitieke context waarin digitale soevereiniteit minder zwaar woog dan tegenwoordig’.
De CLOUD Act maakt de discussie bovendien concreet. Amerikaanse techbedrijven kunnen onder deze act onder voorwaarden worden verplicht data over te dragen, ook als die data buiten de VS staat. Die juridische en geopolitieke zorgen speelden tevens een rol bij de recente kwestie rond DigiD. Willemijn Aerdts, staatssecretaris Digitale Economie en Soevereiniteit, heeft de overname van cloudbedrijf Solvinity onlangs door het Amerikaanse bedrijf Kyndryl verboden. Solvinity beheert de opslag van DigiD-gegevens en er waren al lange tijd zorgen in de Tweede Kamer, omdat de Amerikaanse overheid de toegang tot DigiD zou kunnen blokkeren of in het geheim gegevens kan opvragen. Na een risicoanalyse door het Bureau Toetsing Investeringen, dat wees op mogelijke gevaren voor de nationale veiligheid, heeft de staatssecretaris besloten de overname volledig tegen te houden om het publieke belang te beschermen.
Maar, hoe urgent is dit eigenlijk voor accountantskantoren?
Hoe groot is de afhankelijkheid?
De investeringen in digitalisering zijn, volgens de Kantorenbenchmark van de SRA, tussen 2014 en 2024 met ruim 200 procent gestegen, onder meer door de integratie van cloudsoftware en documentmanagementsystemen. Niet alleen binnen de accountancy, maar in alle sectoren speelt Microsoft een dominante rol. Volgens cijfers die MedhaCloud aanhaalt, had Microsoft 365 in het eerste kwartaal van 2026 wereldwijd ongeveer 446 miljoen betaalde gebruikers en een marktaandeel van ongeveer 58 procent in productiviteitssoftware voor bedrijven. Het platform, met applicaties als Outlook, Teams, Entra ID en SharePoint, speelt een centrale rol in cloudtoepassingen voor communicatie, samenwerking, identiteitsbeheer en dossieropbouw.
Illustratief is een onderzoek van de NOS uit 2024. Daaruit blijkt dat Nederlandse overheden, zogenoemde vitale bedrijven, scholen en zorginstellingen hun maildiensten op grote schaal uitbesteden aan Amerikaanse partijen. Uit het onderzoek, dat het cloudgebruik van meer dan 20.000 bedrijven, organisaties en overheden in kaart brengt, blijkt dat veel organisaties hun e-mailoplossingen hebben ondergebracht bij Microsoft (66 procent) en Google (10 procent).
De dominantie van Big Tech wordt verder versterkt doordat oplossingen, bijvoorbeeld op het gebied van single sign-on, worden gekoppeld aan specifieke accountancysoftware. Gebruikers hoeven hierdoor nog maar één keer in te loggen bij Microsoft en krijgen vervolgens zonder extra stappen toegang tot software van andere ontwikkelaars. Dit soort integraties zijn inmiddels gemeengoed, ook voor documentbeheer, data-analyse en workflows. Het volledige softwarelandschap van een bedrijf of organisatie wordt hierdoor steeds meer geïntegreerd in het Microsoft-ecosysteem. Dat levert gebruiksgemak en efficiëntie op, maar vergroot óók de afhankelijkheid van één ecosysteem.
Wat zijn de risico’s?
De risico’s zitten op meerdere niveaus: operationeel, juridisch en geopolitiek. Het eerste risico is operationeel: een kantoor kan zo afhankelijk worden van één leverancier dat overstappen nauwelijks nog realistisch is. Deze leveranciersafhankelijkheid wordt vendor lock-in genoemd. Arnoud Engelfriet, chief knowledge officer bij ICTRecht: “Op het moment dat je een leverancier kiest, maak je jezelf afhankelijk. Voor dingen die de core-processen raken, vind ik dat spannend. Van IT is lang gezegd dat het een ondersteunend proces is. Maar ik denk dat dataverwerking en dataopslag tot de kernprocessen behoren. Dat je niet bij je dossiers kunt, is een groter probleem dan dat de printer het niet doet.”

Arnoud Engelfriet
Daarnaast is er het concentratierisico. Steeds meer cruciale digitale functies zijn ondergebracht bij grote technologiebedrijven die cloudcomputing en IT-infrastructuur aanbieden op wereldwijde schaal. Hoe meer functies bij een beperkt aantal hyperscalers liggen, hoe groter de impact als zo’n partij uitvalt of wordt geraakt door een cyberaanval. Er zijn volgens Engelfriet Europese alternatieven voor cloudinfrastructuur, documentbeheer en communicatie en samenwerking. Het nadeel is dat ze zelden een‑op‑een de ecosystemen van Amerikaanse aanbieders vervangen. De losse bouwstenen vragen daardoor om meer integratie, technische expertise en financiële middelen.
Juridisch draait de discussie vooral om de CLOUD Act. Hoewel de Amerikaanse wet is gebonden aan waarborgen, wringt het met Europese uitgangspunten rond dataprotectie en datasoevereiniteit. Engelfriet: “Het is een risico dat Amerikaanse IT-dienstverleners jouw data overhandigen aan Amerikaanse overheidsinstanties, zonder rechterlijke toetsing.” De wet schuurt volgens hem met de AVG en GDPR, die organisaties verplicht om gegevens alleen op te slaan en te verwerken in een omgeving die voldoende waarborgen biedt voor veiligheid en rechtmatigheid.
Daar komt een geopolitiek risico bij: politieke besluiten kunnen direct gevolgen hebben voor digitale diensten waar Nederlandse organisaties dagelijks op draaien. In het huidige klimaat bestaat het risico dat landen dit inzetten als drukmiddel, bijvoorbeeld door IT‑diensten via sancties stil te leggen of door hybride aanvallen die kritieke processen verstoren. Dat lijkt misschien ver weg, maar de discussie rond het EU-VS Data Privacy Framework laat zien hoe kwetsbaar zulke afspraken kunnen zijn. Engelfriet wijst erop dat dit framework onder president Biden is opgezet om de doorgifte van persoonsgegevens naar de VS te reguleren. “We zien dat Trump anders in de wedstrijd zit. Hij heeft een aantal zaken uit het framework laten halen en mensen ontslagen waardoor er geen besluiten genomen kunnen worden en toezicht ontbreekt.” De kritiek op de juridische houdbaarheid van het framework groeit. Engelfriet vindt het niet ondenkbaar dat het Europese Hof in de toekomst oordeelt dat het in strijd is met fundamentele grondrechten. “Dat zou een heel groot probleem opleveren, met als gevolg dat je geen gegevens meer bij Amerikaanse clouddiensten mag opslaan.”
Praktisch beslismodel
Voor accountantskantoren zijn drie vragen van belang om te bepalen of er sprake is van een reëel risico en of er actie moet worden ondernomen.
1. Waar staat de data en onder welk juridisch regime valt het?
Accountantskantoren moeten weten waar hun data staat en onder welk juridisch kader die valt. Ze moeten aan klanten en toezichthouders kunnen uitleggen welke wetgeving van toepassing is. Data die op een Europese server staat, valt niet automatisch onder uitsluitend Europees recht. Het is daarom volgens Engelfriet essentieel om te weten of je een Europese entiteit contracteert die de data beheert en afschermt, of met een Amerikaanse partij die eventueel via het moederbedrijf of een supportafdeling alsnog toegang heeft tot die data.
2. Hoe afhankelijk zijn processen van deze software?
Daarna moet een kantoor bepalen welke processen stilvallen als een leverancier of systeem niet beschikbaar is. Volgens Engelfriet begint dit met inzicht in de data-afhankelijkheden en welke invloed dat heeft op de continuïteit. “Organisaties moeten vooraf nadenken over hoe zij omgaan met mogelijke uitval van systemen, veranderende wet- en regelgeving of prijsstijgingen, ook wanneer concrete risico’s nog niet zichtbaar zijn.”
3. Wat kost overstappen echt?
De derde vraag gaat over de kosten. Niet alleen licentiekosten spelen een rol, maar ook migratie-inspanningen, tijdelijke verstoring, productiviteitsverlies en opleidingskosten. Voor accountantskantoren kan een overstap misschien technisch mogelijk zijn, maar bedrijfsmatig niet realistisch. Het is lastig te bepalen of investeren in alternatieve software nodig is, zolang de urgentie onduidelijk blijft. Volgens Engelfriet is niet helder hoe groot de risico’s van de CLOUD Act in de praktijk daadwerkelijk zijn en in hoeverre deze wet al actief wordt toegepast. “Als er niks in de brand staat en Microsoft werkt prima, waarom zou je dan tijd en geld investeren in een alternatief.”
Conclusie
Toezichthouders als AFM en DNB wezen er al eerder op dat afhankelijkheid van Amerikaanse software niet iets is dat je snel kunt oplossen. Juist daarom moeten organisaties zich actief voorbereiden op mogelijke verstoringen, bijvoorbeeld door samen te werken met leveranciers en toezichthouders, dreigingsscenario’s te ontwikkelen en systemen te testen. Kantoren moeten kunnen uitleggen waarom zij bepaalde leveranciers gebruiken, welke risico’s zij accepteren en welke maatregelen zij nemen.
Volgens Engelfriet begint dat met inzicht: welke processen vallen stil als software morgen niet beschikbaar is? Van communicatie en planning tot dossieropbouw en besluitvorming. Hoe dieper software is verweven met de dagelijkse praktijk, hoe groter de afhankelijkheid, en hoe bewuster je moet bepalen wat acceptabel is. “Het gaat erom dat je bewust kiest welke risico’s je accepteert en welke je actief wilt verkleinen.”
Tekst: Axel Kolthof
Deze bijdrage komt uit het AV-magazine met als thema ICT & AI. Dit magazine is verschenen in juli 2026: https://www.accountancyvanmorgen.nl/kennisdoc/av-2-2026-ict-ai/


Geef een reactie