De roep om digitale soevereiniteit wordt in 2026 steeds urgenter. Overheden staan voor de opgave om hun informatiehuishouding te beveiligen tegen geopolitieke risico’s en technologische afhankelijkheid. Er bestaan Europese opensource-alternatieven die het soevereiniteitsvraagstuk ondervangen.
In mijn eerdere expertverslag van 20 februari 2023 op Computable.nl (Wanneer is de informatiehuishouding nou echt op orde?) sprak ik over de uitdaging van het inhalen van de twintig jaar achterstand in de informatiehuishouding van de rijksoverheid.
Informatie moet direct na aanmaak blijvend op orde zijn, luidt het devies. Dit opdat deze vindbaar, juist, volledig, betrouwbaar is en duurzaam toegankelijk na gebruik. Het adagium voor een goede informatiehuishouding is dan ook dat ‘alle informatie snel, veilig en duurzaam opgeslagen is, waarbij gebruik en proces bepaalt wie waar toegang toe heeft.’
In een tweede expertverslag van 17 april 2023 voor Computable (Zo breng je informatiehuishouding op orde) ging ik in op de aanpak van (on)gestructureerde informatie en daarbij de uitdaging van het ‘hoe’ is om grote hoeveelheden (on)gestructureerde informatie uit verschillende omgevingen en locaties op een geautomatiseerde wijze in kaart te brengen, te analyseren, te verrijken en aansluitend onder beheer te brengen opdat deze informatie veilig en duurzaam is te delen.
2026 – Een nieuwe uitdaging: risico’s van digitale afhankelijkheid
Voor de aanpak van (on)gestructureerde informatie zijn er inmiddels meerdere data-analyse-platformen verschenen, van bedrijven die zich hierop expliciet toeleggen zoals Elastic, Palantir en Splunk. Maar realiseer ik daarmee een soevereine informatiehuishouding waarmee ook rekening wordt gehouden met de wettelijke kaders zoals de Wet open overheid (Woo), de Algemene wet bestuursrecht (Awb), de Archiefwet en de Algemene Verordening Gegevensbescherming (AVG)?
Splunk, overgenomen door het Amerikaanse Cisco Systems, en populair bij onder meer de rijksoverheid heeft te maken met de Cloud Act, (Clarifying Lawful Overseas Use of Data Act) uit 2018 en Fisa 702 (Foreign Intelligence Surveillance Act). Dit kan Amerikaanse technologiebedrijven verplichten om data over te dragen aan Amerikaanse autoriteiten, zelfs als die data opgeslagen zijn op servers buiten de Verenigde Staten, zoals in een Nederlands datacenter. Daarbij kan het bovendien dat de Nederlandse overheid, bedrijven en burgers kunnen worden uitgesloten van toegang tot deze diensten en daarmee de eigen gegevens.
En ook Palantir Technologies haalt op dit moment een significant deel van zijn omzet uit de overheid en de defensie-sector, dat terwijl de software wordt gebruikt voor het koppelen van diverse, privacygevoelige databronnen. Bovenal kan Palantir’s technologie leiden tot een ‘vendor lock-in’, waarbij klanten moeilijk kunnen overstappen naar een andere, alternatieve leverancier, wat ethische en operationele vragen oproept. De toepassing van Palantir heeft vorig jaar al tot kritische vragen geleid in de Tweede Kamer over het gebruik van deze software door Nederlandse overheidsinstanties, juist daar waar het de waarborging van privacy betreft.
Digitale soevereiniteit
Die roep om de afhankelijkheid van niet-Europese mogendheden, zoals Big Tech, te verminderen is vertaald naar digitale soevereiniteit en ook het actuele thema voor kabinet Jetten. Ofwel de juridische en bestuurlijke controle, lees zeggenschap, over kritieke digitale infrastructuren, data en digitale systemen om die zelfstandig te kunnen ontwikkelen, te beheren en te kunnen controleren. Daartoe is onlangs ook de motie van Sara El Boujdaini aangenomen die de regering verzoekt om digitale soevereiniteit en strategische autonomie als expliciet criterium op te nemen in aanbestedingen van it en digitale diensten en bij aanbestedingen voor kritieke digitale infrastructuur uit te gaan van het principe «Europees, tenzij». Dit is een logische voortzetting van de Rijksbrede IT-sourcingstrategie die het mogelijk maakt om risico-gebaseerd, verantwoord en uniform besluiten te nemen over it-inkoop en leverancierskeuze.
Digitale soevereiniteit is anno 2026 urgenter dan ooit, en zelfs een strategische noodzaak voor het behoud van democratische controle, economische veiligheid en technologische onafhankelijkheid. Door aanhoudende geopolitieke spanningen, onzekerheid over het Amerikaanse beleid en de dominantie van niet-Europese techgiganten, wordt het vermogen om zelfstandig beslissingen te nemen op het gebied van data, energie en defensie essentieel. Het heeft er zelfs in geresulteerd dat er een staatssecretaris Digitale Economie en Soevereiniteit, Willemijn Aerdts, is benoemd.
Digitale soevereiniteit is cruciaal voor onze nationale veiligheid, onze economische concurrentiepositie en het waarborgen van eigen (EU) datastandaarden en wetgeving.
Soevereine informatiehuishouding
Hoe nu invulling te geven aan autonomie en soevereiniteit en tegelijkertijd aan ‘gegevens delen’?, want samenwerken betekent gegevens delen. Essentieel voor onze democratische rechtsorde is dat de overheid gebruik gaat maken van data-analyse-platformen die een soevereine informatiehuishouding waarborgen. Ofwel waarbij de overheid zelf bepaalt hoe data worden opgeslagen, beheerd en beveiligd met daarbij de focus op Europese of nationale oplossingen om die risico’s van digitale afhankelijkheid van Big Tech te verminderen. Daarvoor moet gelden dat informatie blijvend vindbaar, leesbaar en betrouwbaar is voor de lange termijn; dit is essentieel voor transparantie en verantwoording. En dat in het kader van informatiebeveiliging en privacy de vertrouwelijkheid en integriteit van gegevens worden gewaarborgd.
Naar aanleiding van de kritiek van de Algemene Rekenkamer in het rapport Het Rijk in de cloud herijkt de rijksoverheid haar cloudstrategie door een risico-gebaseerde aanpak, waarbij gevoelige data vaker ‘on-premise’ in haar eigen Overheidsdatacenters (ODC’s) worden beheerd. Dat is een goede, structurele oplossing voor de data, maar biedt echter geen soelaas voor de digitale afhankelijkheid omdat de software eigendom blijft van de betreffende leverancier, ook zonder cloud. Van tevoren afgesproken portabiliteit naar andere platforms kan daarvoor een goede, structurele oplossing zijn. En dat sluit aan op het coalitieakkoord van kabinet Jetten waarvoor geldt dat digitale autonomie het uitgangspunt moet zijn voor de overheid.
Opensource en soevereiniteit
Helpt opensource en wat zijn de Europese opensource-alternatieven met een goede staat van dienst en nog belangrijker met klinkende Europese overheidsreferenties met enige omvang? Eén van de alternatieven is Elastic; met zijn ontstaansgeschiedenis in 2012 in Amsterdam, en daarmee sterke Europese roots, voldoet dit bedrijf aan de AVG-wetgeving (GDPR) voor gegevensbescherming en heeft het referenties bij onder meer de Zweedse UWV (Arbetsförmedingen), meerdere Europese politiekorpsen en ook binnen de defensie-sector waaronder de Europese vliegtuigbouwer Airbus.
Elastic ondervangt het soevereiniteitsvraagstuk onder de Amerikaanse Cloud Act (2018) via haar implementatiemodel, waarbij de keuze bij de klant (of de partner) ligt. Daarmee beheert Elastic het platform niet en heeft het geen administratieve toegang tot de data of de infrastructuur.
Soevereiniteit wordt vorm en inhoud gegeven door het platform uit te rollen en te beheren binnen door de klant gecontroleerde of Europese soevereine omgevingen, waaronder on-premises infrastructuur of soevereine cloudproviders. Hierbij blijven de dataresidentie (de fysieke of geografische locatie waar de digitale gegevens worden opgeslagen en beheerd), de operationele toegang en daarmee het beheer onder controle van de klant of diens aangewezen Europese partner/operator en niet door Elastic.
Door de inzet van een ‘soeverein siem’ (security information and event management) stelt het organisaties in staat data te analyseren zonder de afhankelijkheid van derden en gebruikers zelf kunnen beslissen waar data worden opgeslagen en verwerkt. Daarmee wordt de volledige controle behouden over data, beveiliging en ai-toepassingen.
Kortom dit biedt handelingsperspectief voor een soevereine informatiehuishouding, het biedt ruimte aan de overheid voor digitale autonomie, geeft grip op digitalisering (soeverein) en maakt haar weerbaarder ten aanzien van bestaande kwetsbaarheden en risico’s. Aan de slag!
N.B. Deze blog beschrijft aspecten van verschillen tussen marktpartijen. Het is geen waardeoordeel over de kwaliteit of veiligheid van hun producten.
Open source tenzij is al meer dan 20 jaar een wet die stelselmatig genegeerd wordt zonder enige uitleg. Groot is daarom de afhankelijkheid van de overheid als het om Microsoft gaat. Kabinet Jetten kan roepen wat ze wil maar digitale autonomie wordt onmogelijk als je met handen en voeten gebonden bent aan Amerikaanse leveranciers. SIEM van Entra is als een marineschip met een niet werkend kanon op oorlogspad sturen want de lippendienst van Atos is als de Iraakse minister van voorlichting, grappig maar ongeloofwaardig.