De autonomie paradox
Overheden willen allemaal onafhankelijk zijn van grote technologiebedrijven, grip houden op hun data en zelf kunnen bepalen hoe digitale diensten worden ingericht. Maar echte autonomie betekent niet dat je alles zelf doet. Integendeel, overheden zullen juist een deel van hun autonomie moeten opgeven om als geheel digitaal autonoom te worden.
Autonomie opgeven om autonoom te worden klinkt paradoxaal, maar zolang elke gemeente, provincie of uitvoeringsorganisatie zelf hun eigen keuzes blijft maken, blijven ze een speelbal van de markt. Samenwerking en standaardisatie zijn nodig om inkoopmacht te organiseren, eisen te stellen aan leveranciers of als dat nodig is zelf launching customer zijn om nieuwe partijen een kans te geven. Maar dat kan niet vrijblijvend. Het betekent dat overheden per definitie een deel van hun keuzevrijheid moeten opgeven én dat dit afdwingbaar wordt.
Om de vrijblijvendheid voorbij te komen kan niet langer worden volstaan met mooie woorden, ambities of bijvoorbeeld blijven wachten op herziening van het cloudbeleid. Er is urgentie, en die is niet nieuw. Als een kreeft in een pan is door de jaren heen langzaam de controle uit handen gegeven. De wake-up call was kortgezegd Trump. Maar nu wordt er alweer gesnoozed onder het mom van dat dit tijdelijk is, en er in 2028 weer een nieuwe president zit. En het grootste risico is dat we daarmee weer in slaap sukkelen.
Tijd dus om terug te pakken wat we hebben weggegeven. Maar wat is dat? Digitale autonomie is geen zwart-witvraag. Het is een strategische afweging die inzicht vereist in de eigen organisatie. Welke processen zijn kritiek voor de continuïteit van dienstverlening? Welke data zijn cruciaal? Waar staan ze opgeslagen, onder welke condities, bij welke leveranciers? En wat kost ons dat, in geld, in flexibiliteit en in risico’s? De praktijk is dat de meeste overheden nu geen idee hebben. Data zijn niet geclassificeerd, contracten zijn niet helder en kosten zijn onbekend.
Doorpakken betekent dus in eerste instantie zelf de boel op orde krijgen. Versneld inzicht krijgen in ons digitale landschap, de afhankelijkheden en de risico’s daarvan. Dan alternatieven bepalen en de mogelijke consequenties van een eventuele exit. Dit zijn complexe afwegingen. Het is eenvoudig om te zeggen dat we snel weg willen bij de grote Amerikaanse hyperscalers, maar deze bieden ook hoge beveiligingsniveaus en continuïteit die andere op dit moment moeilijk kunnen evenaren. Soms is het dan ook raadzamer om wel samen te werken, maar dan op een manier waarmee publieke waarden geborgd worden. Dat begint met volwassen leveranciersmanagement, transparante afspraken en maatregelen die de weerbaarheid en continuïteit waarborgen.
Digitale autonomie is dus vooral een bestuurlijk vraagstuk. Het vraagt om inzicht en duidelijke businesscase: wat levert het op, wat kost het, en wat laten we ervoor? Die afwegingen moeten expliciet op tafel komen en zich vertalen in concrete besluiten. Dan wordt snel genoeg duidelijk dat verregaande samenwerking de enige optie is.
Lees ook:
Goed stuk! Dit is in lijn met het Europese concept van “pooled sovereignty” en NL‑beleid rond open standaarden (Forum Standaardisatie, pas‑toe‑of‑leg‑uit) en de Interoperable Europe Act (2024), die juist gezamenlijke interoperabiliteit en gedeelde voorzieningen stimuleert. Vrijblijvende coördinatie heeft historisch tot versnippering geleid. Afdwingbaarheid groeit via BIO‑audits, NIS2‑implementatie, Wet digitale overheid (identiteit, standaarden) en rijksbrede sourcingkaders. Gemeenten lopen vooruit met Common Ground, maar uniformiteit en contractuele borging zijn nog ongelijk. (en Common Ground kan ook wel weer wat moderner, want het komt nog niet in de buurt van een Data Space)
Dat er een snooze dreigt omdat we aan Trump gewend zijn geraakt is opinie. Er zijn belangrijkere redenen om niet te verslappen. De feitelijke drijvers zijn extraterritoriale wetgeving (CLOUD Act 2018), Schrems II (2020) en het debat over EU‑cloud‑certificering (EUCS/sovereignty label). Politieke cycli vergroten emotionele onzekerheid, maar de structurele afhankelijkheidsrisico’s bestonden al en blijven, dus – wat je ook stemt – daar moet gewoon opvolging aan gegeven worden.
Rekenkamer- en ENSIA‑bevindingen tonen dat stuurinformatie, kosteninzicht en dataclassificatie inderdaad vaak ontoereikend zijn. Autonomie vergt expliciete afwegingen over TCO, risico, lock‑in, exit‑opties en publieke waarden. Bij het Rijk en grote uitvoerders zijn de daartoe benodigde inzichten echt wel verbeterend, maar nog steeds onvolwassen en ook bij gemeenten en ZBO’s bestaan aantoonbare hiaten (ENSIA/BIO‑bevindingen, Rekenkamerrapportages).
Dat hyperscalers veiligheids- en continuïteitsniveaus bieden die moeilijk te evenaren zijn klopt technisch wel, maar we zitten wel met de soevereiniteitsnuance. Hyperscalers excelleren in beschikbaarheid, DDoS‑weerbaarheid en security‑operations op schaal. De bijkomende juridische risico’s en lock‑in vragen wel om mitigaties: data‑lokalisatie, encryptie met eigen sleutels (HYOK), SCC’s met aanvullende maatregelen (EDPB 01/2020) en waar passend Europese soevereine cloud‑opties. De Staat moet hard werken aan een volwassen exit‑architectuur en ja, in een cloud kosten back-ups maken ook geld. Moedig voorwaarts ;-!