Hoe koop je digitaal soevereine software in?

De vier begrippen

Digitale soevereiniteit verwijst naar het juridische en politieke vermogen van staten of publieke instellingen om in de digitale omgeving hun eigen regels, waarden en strategische belangen daadwerkelijk effectief te kunnen handhaven. Het begrip heeft een geopolitiek karakter en ziet onder meer op controle over digitale infrastructuur, bescherming van persoonsgegevens en de mogelijkheid om digitale markten effectief te reguleren. Dit begrip dus gaat minder over individuele ICT-systemen en diensten, maar veel meer over de structurele machtsverhoudingen in de digitale economie.

Digitale autonomie betreft het operationele en organisatorische vermogen van een organisatie of overheid om digitale systemen, data en infrastructuur te gebruiken, beheren en wijzigen zonder onaanvaardbare afhankelijkheid van externe partijen. Het gaat daarbij om feitelijke handelingsvrijheid: de mogelijkheid om de systemen aan te passen, alternatieven te kiezen of van leverancier te wisselen, zonder dat daarbij disproportionele kosten, risico’s of afhankelijkheden optreden. Digitale autonomie draagt bij aan het realiseren van digitale soevereiniteit

Leveranciersonafhankelijkheid is een ontwerp- en contracteringsprincipe dat beoogt de structurele afhankelijkheid van één specifieke ICT-leverancier te voorkomen, en structurele keuzevrijheid gedurende de levenscyclus van een specifiek ICT-systeem te behouden. Leveranciersonafhankelijkheid betekent dus niet dat de overheid alles zelf moet gaan doen, zonder gebruik van leveranciers. Maar het betekent dat je desgewenst over kunt stappen naar een andere leverancier, of beheer en ontwikkeling weer zelf kunt gaan doen. Dit wordt onder meer gerealiseerd door in de architectuur, in projecten, bij aanbestedingen en in contracten uit te gaan van het gebruik en uitvragen van open standaarden, te kiezen voor bestaande open source software of het uitvragen van software geleverd onder ruime gebruiksvoorwaarden, rekening te houden met de mogelijkheden voor dataportabiliteit, en door duidelijke en testbare exit- en migratiemechanismen. Leveranciersonafhankelijkheid vormt daarmee een belangrijke onderliggende voorwaarde om digitaal autonoom te kunnen worden.

Vendor lock-in kan in algemene zin worden omschreven als de situatie waarin een organisatie in zodanige mate afhankelijk is geworden van een specifieke leverancier, technologie of dienst, dat overstappen naar een superieur of beter alternatief gepaard gaat met substantieel hoge overstapkosten, of door aanzienlijke praktische belemmeringen of ongemak. Lock-in betekent dus niet dat overstappen onmogelijk is, maar dat de drempels zodanig hoog zijn dat alternatieven feitelijk buiten bereik raken. Deze drempels kunnen voortkomen uit technische, contractuele, organisatorische, en financieel economische factoren, en manifesteren zich vaak pas ten volle op het moment dat verandering wenselijk of noodzakelijk wordt. 

ICT-aanbesteding is strategisch instrument

ICT-aanbestedingen vormen de cruciale hefboom waarmee overheidsorganisaties digitale autonomie kunnen nastreven en vestigen. In aanbestedingen en contractbepalingen formuleren zij, impliciet of expliciet, de keuzes die het vermogen om van leverancier te wisselen bepalen. Als deze aspecten onvoldoende worden behandeld in een aanbesteding, ontstaan er vanzelf afhankelijkheden die zich in de loop van de tijd opbouwen en verdiepen. ICT-aanbestedingen zijn dus veel meer dan een louter neutrale, administratieve inkoophandeling; het is een van de weinige strategische instrumenten die overheidsorganisaties nog ter beschikking staan om te kunnen sturen richting digitale soevereiniteit.

Onvolledige businesscase

Momenteel richten aanbestedingen zich echter grotendeels op “ontzorgt willen worden”, integratie van producten afkomstig van dezelfde leverancier in plaats van interoperabiliteit, korte termijn voordelen, en het mitigeren van risico's binnen het aanbestedingsproces zelf. Kwesties van structurele afhankelijkheid en de langetermijngevolgen worden vaak over het hoofd gezien. Zo neemt men in de businesscase om gebruik te gaan maken van de diensten van een cloudleverancier vrijwel nooit de verwachte toekomstige overstapkosten mee, terwijl juist bij clouddiensten al vaststaat dat de dienst in de toekomst zal moeten worden overgedragen naar een andere leverancier, of dat men het zelf (weer) zal moeten gaan doen. Bovendien schieten de juridische en organisatorische kaders er in tekort om in voldoende detail de verwachting vast te leggen dat leveranciers het vermogen voor de publieke sector om vrij van leverancier te kunnen wisselen, zullen faciliteren. Integendeel, de gebruikte kaders kunnen soms de vendor lock-in versterken. Denk aan de vele aanbestedingen waarbij een (aanbestedingsrechtelijk overigens doorgaans verboden!) voorkeur wordt uitgesproken voor proprietary Office licenties van een specifieke Amerikaanse cloudleverancier.

Leveranciersonafhankelijkheid

Gezien deze context moet de aanbesteding van ICT in de publieke sector bewust en expliciet worden ontworpen en gebruikt als een instrument voor het waarborgen van digitale autonomie. De principes van leveranciersonafhankelijkheid moeten daarbij verschuiven van de categorie "nice to have" naar die van "absoluut vereist". Het uitvragen dan wel hanteren van open standaarden en open source software is daarmee een onmisbare voorwaarde geworden voor het waarborgen van de vrijheid van overheidsorganisaties. Wie digitale soevereiniteit en autonomie wil bereiken, moet deze expliciet inkopen; wie dat nalaat, koopt afhankelijkheid in.

Deze bijdrage is ook verschenen bij Open source werken