Ruim de helft van gemeentelijke webapplicaties draait op Amerikaanse cloudinfrastructuur

* Per applicatie wordt één hostinglocatie weergegeven. Deze is gebaseerd op de specifieke dienst of URL die, binnen deze analyse, het meest relevant is op basis van daadwerkelijk gebruik en risicoprofiel. Veel leveranciers bieden meerdere diensten aan met verschillende technische en geografische kenmerken. KPN is hiervan een voorbeeld: de vermelding in dit overzicht is gebaseerd op een specifieke login- of authenticatiedienst met een technische relatie tot de Verenigde Staten. Dit zegt nadrukkelijk niets over de hostinglocatie of afhankelijkheden van andere KPN-diensten.

“Bij de meest kritieke applicaties zien we wel degelijk een ander beeld dan gemiddeld,” zegt Merijn de Jonge, CEO van MindYourPass. “Het aandeel dat in de Verenigde Staten wordt gehost ligt lager, namelijk 40 procent. Tegelijkertijd betekent dit dat ook bij systemen die direct raken aan primaire processen en gevoelige data, buitenlandse afhankelijkheden een rol spelen.”

 

Er is veel aandacht voor zogenoemde schaduw-AI: AI-tools die buiten het formele IT- en inkoopbeleid om worden gebruikt. De analyse van daadwerkelijk gebruik laat zien waarom. De twintig meest gebruikte AI-tools binnen gemeenten worden allemaal gehost in de Verenigde Staten. Daarbij gaat het niet alleen om experimentele toepassingen, maar om tools die structureel worden ingezet voor schrijven, analyseren, samenvatten en bewerken van content.

Veel gemeenten hebben formeel beleid vastgesteld voor het gebruik van Microsoft Copilot.

Toch zien we in de praktijk dat de meest gebruikte AI-tool ChatGPT van OpenAI is.

 

Afbeelding: Interactieve kaart met cloudhostinglocaties gebruikt voor webapplicaties gebruikt door Nederlandse gemeenten.

Voor gemeenten, beleidsmakers en journalisten die zelf willen onderzoeken waar specifieke applicaties draaien en bij welke cloudproviders, heeft MindYourPass een interactieve kaart ontwikkeld.

 

Op deze kaart zijn cloudhostinglocaties en -providers te zien, met daarbij de gemeentelijke webapplicaties die daar daadwerkelijk worden gebruikt. De kaart toont dus niet alle applicaties die bij een cloudprovider draaien, maar uitsluitend de applicaties die in dit onderzoek zijn waargenomen op basis van loginverkeer van gemeenten. Omdat het hierbij om gevoelige informatie gaat, is de kaart niet vrij toegankelijk. Toegang kan worden aangevraagd via info@mindyourpass.com. Zodra toegang is verleend, kunnen applicaties worden bekeken op gebruik, hostinglocatie en eigendomsstructuur.

 

Dit onderzoek is uitgevoerd op basis van geanonimiseerde login- en gebruiksdata van 20 Nederlandse gemeenten. In totaal zijn, om precies te zijn, 1.964.128 loginmomenten bij 12.527 verschillende applicaties in 2025 geanalyseerd. Van 12.170 applicaties kon het bijbehorende IP-adres worden vastgesteld, wat het mogelijk maakte om de hostinglocatie en het eigendom van de onderliggende infrastructuur te analyseren. 7.664 van deze applicaties zijn geclassificeerd als zakelijke applicaties. Voor het bepalen van de geografische locaties en ASN-nummers is gebruikgemaakt van ipinfo.com. Voor het achterhalen van bedrijfsnamen op basis van ASN-nummers werd gebruikgemaakt van ChatGPT.  Applicaties zijn vervolgens ingedeeld op basis van gebruiksintensiteit. Gemeenten hebben zelf aangegeven welke applicaties kritiek zijn.

 

MindYourPass is een Nederlands cybersecuritybedrijf dat organisaties, waaronder veel Nederlandse gemeenten, inzicht geeft in daadwerkelijk inloggedrag: welke applicaties worden gebruikt en hoe daarop wordt ingelogd. Deze metingen vormen de basis voor de Wachtwoordmanager 2.0-methode, waarbij een wachtwoordmanager veilig gebruik ondersteunt en afdwingt.