Als je in 2026 een cloudmodel kiest voor een finance- en expense-trackingplatform, is het eerlijke antwoord dat het keuzemenu met vier opties - public, private, hybride, multi-cloud - geen echte beslissing meer beschrijft. De markt is al geconvergeerd. Een LSEG-enquête onder 453 leidinggevenden in de financiële dienstverlening in juli 2025 wees uit dat 82% al een hybride of multi-cloud-strategie hanteert, en 87% de clouduitgaven de afgelopen twee jaar heeft verhoogd. De Enterprise Cloud Index van Nutanix voor de financiële sector wijst nog scherper dezelfde kant op: respondenten verwachten binnen drie jaar een ongeveer drievoudige toename van de adoptie van hybride multicloud, waarmee het het leidende operatingmodel in de sector wordt. De vraag die een senior engineer eigenlijk zou moeten beantwoorden is dus niet "welke van de vier modellen", maar "waar zit elke workload binnen een hybride landschap, en wie is verantwoordelijk voor die plaatsing." Uitsluitend public of uitsluitend private zijn nu de uitzonderingen die je verantwoordt, niet de standaard die je aanneemt.
Dit is van belang omdat een finance- en expense-trackingoplossing niet één workload is. Het is een grootboek, een identity-grens, een integratielaag naar banking rails en ERP-systemen, een rapportage- en analyticslaag, en steeds vaker een AI-laag die categorisatie, anomaliedetectie en forecasting doet. Die componenten hebben verschillende zwaartekracht. Ze behandelen als één enkele "app" die in één cloudlaag leeft, is precies hoe teams uiteindelijk ofwel te veel betalen voor dedicated infrastructuur die ze niet nodig hadden, ofwel gereguleerde data ergens plaatsen waar ze zich in een audit niet kunnen verantwoorden.
Waarom de gevoelige kern naar private neigt, en dat niet abstract is
Het argument om het grootboek en de financiële klantgegevens op dedicated of private infrastructuur te houden wordt meestal verpakt als "compliance". Dat doet het tekort. De doorslaggevende factor in finance op dit moment is de blootstelling aan ransomware, en de cijfers zijn hard: in het Nutanix-onderzoek had 99% van de respondenten in de financiële dienstverlening in de voorgaande drie jaar een ransomware-aanval meegemaakt, en 89% gaf aan ruimte te hebben om hun verdediging te verbeteren. Wanneer vrijwel elke peer al getroffen is, is de blast radius van een gecompromitteerde gedeelde tenancy op je kerngrootboek geen theoretisch risico dat je in een design review kunt wegwuiven. Dat is het concrete argument voor dedicated infrastructuur onder de data die je bedrijf zou beëindigen als die zou lekken of versleuteld raken - niet het vinkje voor data-residency.
Waarom de rest naar public neigt, inclusief het deel dat teams vergeten
De keerzijde is dat de elastische, piekgevoelige, ongedifferentieerde delen van een expense-platform - de rapportagebelasting aan het einde van de maand, receipt OCR, dev- en testomgevingen, de AI/ML-laag - precies datgene zijn waar public hyperscalers goed in zijn, en daar investeert de sector ook. LSEG vond dat 91% van de bedrijven AI via de cloud verder brengt, en de verschuiving in beweegreden is het deel dat het waard is te internaliseren: die is verschoven van kostenbesparing naar uitkomst - schaalbaarheid, omzet en AI-capaciteit. Maar public cloud is geen eenrichtingsweg. Het 2025 State of the Cloud Report van Flexera, op basis van een enquête onder 759 IT-professionals, vond dat ongeveer een vijfde (21%) van de cloud-workloads al is gerepatrieerd vanuit de public cloud terug naar on-premises. Plaatsing is een omkeerbare engineeringbeslissing die per workload heroverwogen moet worden, geen migratie die je één keer doet en daarna voor altijd verdedigt.
Multi-cloud is een governance-verplichting, geen gratis lunch
Multi-cloud wordt verkocht op het vermijden van vendor lock-in en toegang tot gespecialiseerde diensten, en beide zijn reëel. De data van Flexera bevestigt dat de spreiding nu normaal is: ondernemingen draaien op AWS op 53%, Azure op 29% en Google Cloud op 16%. Maar de oorspronkelijke framing - "gespecialiseerde diensten van diverse providers" - slaat de rekening over. Werken over providers heen vermenigvuldigt je security-oppervlak, je identity- en networkingcomplexiteit, en bovenal je last op het gebied van cost-governance. Het antwoord van de markt is FinOps als een vaste discipline: hetzelfde Flexera-rapport laat zien dat 59% van de organisaties nu een toegewijd FinOps-team heeft, een stijging ten opzichte van 51%. Als je multi-cloud adopteert voor een finance-platform zonder een gefinancierde FinOps- en governancefunctie, heb je geen flexibiliteit gekocht. Je hebt onbeheerde uitgaven en een breder aanvalsoppervlak gekocht.
DORA maakte hier een regulatoire beslissing van, niet alleen een architecturale
Voor elk team dat financiële klanten in de EU bedient - en vanuit Nederland is dat het merendeel - is de keuze voor een cloudmodel nu vastgelegd door regelgeving. De Digital Operational Resilience Act is op 17 januari 2025 van toepassing geworden in de hele EU. Zij legt bindende verplichtingen op voor ICT third-party-risicobeheer: een verplicht register van ICT-providers, voorgeschreven contractuele clausules, toezicht op onderaanneming en een EU-toezichtkader voor "kritieke" ICT third-party-providers waar cloudserviceproviders expliciet onder vallen. Dit is niet vrijblijvend. LSEG vond dat 84% van de bedrijven hun cloudstrategie al heeft moeten aanpassen als reactie op kaders zoals DORA en GDPR, en 92% beoordeelt operationele weerbaarheid nu als kritiek bij het kiezen van een provider.
De praktische gevolgen voor hoe je kiest zijn concreet. Concentratierisico is nu een benoemde verplichting, wat het multi-cloud-argument versterkt voor werkelijk kritieke functies - maar alleen als je daadwerkelijk kunt failoveren, en niet slechts twee contracten aanhoudt. Elke provider en subprocessor heeft een gedocumenteerde exitstrategie nodig, waardoor de lock-in die je accepteert een vraag op bestuursniveau wordt in plaats van een voorkeur van de architect. En de contracten zelf bevatten verplichte clausules, dus "we gebruiken de standaardvoorwaarden van de hyperscaler" volstaat niet langer.
Hoe je werkelijk beslist
Laat de vraag "welke van de vier modellen" vallen en bepaal plaatsing per workload aan de hand van drie assen. Ten eerste, datagevoeligheid en blast radius: het grootboek en de financiële klantgegevens neigen naar dedicated of private infrastructuur; afgeleide, geaggregeerde en testdata niet. Ten tweede, elasticiteit en differentiatie: piekgevoelige, ongedifferentieerde belasting - rapportage, OCR, ML - hoort thuis in de public cloud waar je betaalt voor wat je verbruikt, en blijft omkeerbaar. Ten derde, regulatoire kriticiteit onder DORA: functies waarvan een uitval materieel is, vergen aantoonbare weerbaarheid en een echt exitpad, en dat is waar bewuste multi-cloud zijn complexiteit waard maakt. Loop die drie assen door en je komt bijna altijd uit op een hybride landschap - de enige vraag is hoe de grens wordt getrokken, en die grens is het eigenlijke engineeringwerk.
Dat is ook waar de werkelijke kosten zitten, en waar die het vaakst worden onderschat. Een hybride, deels multi-cloud finance-platform is niet moeilijker om op een whiteboard te tekenen dan een single-cloud-platform. Het is moeilijker te bedrijven: identity-federatie over grenzen heen, consistente policy-handhaving, auditbewijs dat continu aan DORA voldoet in plaats van alleen aan het jaareinde, en FinOps-discipline zodat de multi-cloud-rekening niet stilletjes oploopt. Het model is het makkelijke deel. De operationele discipline is het deel dat bepaalt of de architectuur het contact met een auditor, een ransomwarebende of een CFO die de cloudfactuur leest, overleeft.
Bij Expeditious Software helpen onze DevOps-, cloud- en platform-engineeringspecialisten finance-teams deze plaatsingsbeslissingen bewust te nemen - en bouwen we de identity-, policy- en FinOps-guardrails die een hybride landschap compliant en betaalbaar houden. Neem contact op om het juiste servicemodel voor jouw finance- en expense-trackingplatform door te spreken.
Bronnen
- LSEG Global Cloud Survey: Financial Services Firms Embrace Cloud to Drive Competitiveness (LSEG, London Stock Exchange Group)
- Nutanix Study Projects Hybrid Multicloud Adoption for Financial Services Will Triple (Nutanix Enterprise Cloud Index, financial services edition)
- The latest cloud computing trends: Flexera 2025 State of the Cloud Report (Flexera)
- Digital Operational Resilience Act (DORA) (EIOPA, European Insurance and Occupational Pensions Authority)
