Digitale soevereiniteit wordt te vaak versmald tot een keus tussen twee uitersten: open source of Amerikaanse hyperscalers. Die voorstelling van zaken doet geen recht aan een derde, vaak over het hoofd geziene categorie: Europese en Nederlandse commerciële softwarebedrijven die wél onder Europese wetgeving vallen, servicecontracten bieden en operationele ondersteuning leveren.
Waarom die nuance belangrijk is
Het verschil is niet louter ideologisch. Software is meer dan broncode: het gaat om onderhoud, beveiliging, certificering, klantenservice en juridische verantwoordelijkheid. De keuze voor wie die taken uitvoert bepaalt waar data valt, wie aansprakelijk is bij fouten en hoe snel systemen aangepast kunnen worden aan veranderende wet- en regelgeving.
"Twee smaken, meer niet"
Die korte typering — vaak als retorisch kader gebruikt — verbergt praktische afwegingen. Decennialang schreef en beheerde de Nederlandse overheid veel applicaties zelf; sommige cruciale diensten draaien nog steeds op legacy-systemen zoals mainframes in Cobol. Die historie toont twee zaken: zelf doen is niet per se toekomstbestendig, en uitbesteden vereist zorgvuldige keuze wie de verantwoordelijkheid draagt.
Wat Europese leveranciers bieden
Nederlandse en Europese leveranciers zijn op een aantal punten wezenlijk anders dan Amerikaanse hyperscalers:
- Juridische locatie: gegevens en contracten vallen onder Europese regels.
- Contractuele garanties: service level agreements en aansprakelijkheid zijn afdwingbaar bij lokale partijen.
- Support en continuïteit: er is doorgaans een organisatie die verantwoordelijk is voor beheer en onderhoud.
| Kenmerk | Open source | Europese commerciële leveranciers | Hyperscalers (VS) |
|---|---|---|---|
| Eigendom | gemeenschap/varieert | bedrijf | grote commerciële spelers |
| Support | community of betaalde aanbieders | contractueel geregeld | uitgebreide commerciële ondersteuning |
| Juridische jurisdictie | varieert | Europese wetgeving | vaak Amerikaanse regelgeving |
Gevolgen voor beleid en praktijk
Als beleidsmakers Europese leveranciers wegzetten als per definitie verdacht omdat ze commercieel zijn, ontstaat een blinde vlek. Dat kan leiden tot perverse effecten: afhankelijkheid van buitenlandse-platformen, moeilijk afdwingbare garanties of ontoereikende ondersteuning bij incidenten. De geschiedenis met gemeentelijke applicaties en nog bestaande Cobol-systemen bij grote overheidsdiensten leert dat beheer en continuïteit zwaar wegen.
Een realistisch, toekomstgericht beleid vraagt om gedifferentieerde criteria voor inkoop en toezicht: technische kwaliteit, beveiligingscertificaten, juridische waarborgen, en de capaciteit van een leverancier om systemen levenslang te ondersteunen. Alleen zo kun je digitale soevereiniteit concreet maken in plaats van het tot een sloganslag te reduceren.
Concreet betekent dat voor overheden en organisaties: minder focus op ideologie, meer op bewijsvoering en risicomanagement. Bijvoorbeeld door aanbestedingen die expliciet rekening houden met jurisdictie, continuïteitsplannen en escalatiepaden, en door het erkennen van Europese leveranciers als volwaardige optie naast open source en Amerikaanse cloudreuzen.