Digitale soevereiniteit in de publieke sector

In het kort:

Digitale soevereiniteit gaat over zeggenschap, continuïteit en realistische exit-opties, niet alleen over waar data staat.
Organisaties combineren public cloud met duidelijke waarborgen: segmentatie, exit, continuïteit en governance by design.
Europese én opensource‑alternatieven bieden minder afhankelijkheid, maar vragen meer interne volwassenheid en beheer.

Digitale soevereiniteit gaat niet alleen over waar data staat, maar over zeggenschap, juridische blootstelling, continuïteit en reële exit-mogelijkheden. Door toenemende geopolitieke spanning en extraterritoriale wetgeving verschuift de discussie van compliance naar strategische afhankelijkheid: de vraag is niet alleen of iets mag, maar of je onder druk kunt blijven functioneren en besluiten nemen. De Europese discussie verschuift van privacy en compliance naar geopolitiek en strategische afhankelijkheden. Veel organisaties benutten geïntegreerde public cloudplatforms vanwege snelheid, schaal en beveiligingsinstrumenten, maar accepteren daarmee ook afhankelijkheden. Een werkbare aanpak is risicogestuurd: segmenteer generieke en kritieke functies, borg exit en continuïteit aantoonbaar, minimaliseer gevoelige data in generieke omgevingen en organiseer governance met expliciete besluitvorming over restrisico’s. Parallel daaraan loont het om te investeren in het ontwikkelen van Europese en opensource alternatieven.

In deze notitie verkennen we hoe de discussie hierover zich ontwikkelt en waarom het geen eenvoudige “alles-of-niets”-kwestie is. U leest welke uitdagingen en afwegingen organisaties in de praktijk tegenkomen en krijgt handvatten aangereikt om digitale soevereiniteit op een werkbare manier in uw eigen cloudstrategie in te bouwen.

In Nederland zien we dat steeds meer organisaties, met name in kritieke sectoren en sterk gereguleerde domeinen investeren in maatregelen om hun digitale weerbaarheid te vergroten.1 Voorbeelden van maatregelen zijn investeringen in de weerbaarheid van de eigen datacentra, het ontwikkelen van exitstrategieën‑ voor bedrijfskritische toepassingen die in de publieke cloud draaien of het ontwikkelen van aparte omgevingen om te werken met hoog vertrouwelijke gegevens. De rode draad is dat de maatregelen zich vooral richten op bedrijfskritische processen en transactiesystemen die deze processen ondersteunen. Als het gaat om de digitale werkplek en de generieke toepassingen zoals e-mail, agenda, documentbeheer en samenwerking dan zien we een ander beeld. Hoewel ook hierover het gesprek kritischer is geworden kiezen veel organisaties, ook in kritieke sectoren, om deze generieke toepassingen vooralsnog af te nemen uit de public cloud. We zien dat er Europese alternatieven beschikbaar komen, echter neemt dit nog geen grote vlucht.

Als we naar de publieke sector kijken, blijkt uit onderzoek van de Algemene Rekenkamer dat 67% van de Rijksdiensten gebruikmaakt van een public clouddienst van één van de drie grote Amerikaanse aanbieders: AWS, Microsoft of Google2. Daarbij gaat het vaak om diensten als e-mail en agenda, geïntegreerde chat- en vergaderfunctionaliteit, centrale documentopslag voor samenwerking aan bestanden, en centraal geregeld identiteits- en toegangsbeheer. 

Tegelijkertijd kiezen veel publieke organisaties in de praktijk (zo’n 30%3) voor een hybride inrichting waarbij bedrijfskritische processen (deels) in private cloud of on premise omgevingen (blijven) draaien. 

Digitale soevereiniteit is in de praktijk zelden zwart-wit. De kernvraag is niet óf er gebruik wordt gemaakt van public cloud, maar onder welke voorwaarden en met welke waarborgen. Dat maakt dit geen zuiver IT-dossier: keuzes raken risicomanagement, continuïteit, publieke waarden en autonomie. 

Digitale soevereiniteit gaat verder dan de fysieke locatie van data

In gesprekken met onze cliënten merken we dat digitale soevereiniteit vaak wordt teruggebracht tot één vraag: waar staat mijn data? Het idee daarachter is meestal: zolang het in de EU staat, is het goed. De locatie van data is uiteraard van belang, maar alleen naar dat aspect kijken, is te beperkt.

In werkelijkheid zijn er voor organisaties verschillende, minstens even cruciale aspecten waarmee ze rekening moeten houden en die allemaal een rol spelen bij het waarborgen van digitale soevereiniteit4.

Operationele controle. Wie beheert de gebruikers, toegangsrechten en encryptiesleutels? En, cruciaal, wie kan die controle in de praktijk afdwingen of beperken? Als de leverancier de beheerconsole en sleuteltoegang heeft, is jouw controle begrensd. 

Juridische blootstelling. Leveranciers kunnen onder buitenlandse jurisdictie vallen. Dat kan betekenen dat in specifieke situaties juridische verplichtingen ontstaan die spanning geven met het gewenste niveau van zeggenschap, óók wanneer data in Europa wordt verwerkt of opgeslagen. 

Continuïteit. Kan je organisatie blijven functioneren bij een verstoring of sanctie? Heb je fallback-mogelijkheden buiten het primaire platform, om door te kunnen bij calamiteiten? 

Exit & portabiliteit. Hoe realistisch is het om met je data en diensten over te stappen naar een ander platform als dat nodig is? Vendor lock-in ontstaat onder meer door technische integraties, leverancier specifieke datamodellen en -formaten en hoog specialistische kennis, wat een overstap naar alternatieven complex en kostbaar maakt. 

Governance & controleerbaarheid. Heb je intern goed belegd wie beslissingen neemt en risico’s accepteert? Kun je aantonen dat je data en processen onder controle zijn, dat beleid nageleefd wordt en dat je voldoet aan wet- en regelgeving?

Een bredere blik op deze factoren is essentieel. Digitale soevereiniteit komt in de praktijk neer op een reeks ontwerp- en governancekeuzes, niet op één product of één beleidsregel. Met ‘data staat in de EU’ ben je er dus niet; het is één waarborg maar biedt geen totaaloplossing.

De aantrekkingskracht én de keerzijden van geïntegreerde cloudplatformen 

Waarom leunen zoveel grote organisaties in Nederland dan toch op de public cloudplatformen uit de VS? Het antwoord is simpel. Omdat die duidelijke voordelen hebben. De grote spelers bieden doorgaans: (i) enorme schaalbaarheid, (ii) snelle innovatiecycli (nieuwe functionaliteiten volgen elkaar razendsnel op), (iii) wereldwijde beschikbaarheid, en (iv) een rijk ecosysteem aan beveiligings- en beheermogelijkheden die naadloos geïntegreerd zijn5.

Bovendien hebben de grote public cloudplatformen vaak een zeer volwassen niveau van informatiebeveiliging en bieden ze een concreet instrumentarium aan om bijvoorbeeld overheidsinstellingen om de BIO-vereisten na te leven6. Ze investeren continu in de weerbaarheid van de omgeving en bieden geavanceerde begeleidingsfuncties die voor veel individuele organisaties moeilijk te evenaren is in schaal en investeringsvermogen.

Een van de bekendste public cloud toepassingen zijn de productiviteitssuites. Deze suites bieden een geïntegreerde omgeving waarin je onafhankelijk van waar je bent kunt samenwerken aan documenten of spreadsheets, eenvoudig documenten kunt delen en synchroniseren tussen je lokale device en een samenwerkingsruimte, kunt mailen of chatten, afspraken kunt plannen, of online kunt vergaderen7. De onderlinge integratie van deze functionaliteiten maakt dat deze suites hoog scoren op productiviteit ten opzichte van individuele toepassingen voor deze functionaliteiten. Met de komst van generatieve AI zien we dat deze platformen in snel tempo worden verrijkt met nieuwe functionaliteiten wat verder bijdraagt aan de verhoging van de productiviteit8. Aanvullend kunnen deze productiviteitssuites voor organisaties essentiële functies bieden op het gebied van dataretentie en metadatabeheer bijvoorbeeld om te voldoen aan de archiefwet of AVG. Ook hierbij is het van belang dat deze functionaliteit goed is geïntegreerd.

De Europese markt voor digitale soevereine alternatieven groeit. Op korte termijn zijn deze oplossingen echter nog niet gelijkwaardig aan de Amerikaanse public cloud suites, vooral qua integratie tussen verschillende functionaliteiten.

In de public cloud ligt alle regie bij de leverancier: van updates tot incidentrespons. Jurisdictie bepaalt dan meer dan je datalocatie.

Organisaties die zo’n productiviteitssuite afnemen van een public cloud leverancier zijn afhankelijk van deze leverancier voor cruciale zaken als updates, incidentrespons of toegang tot beheertooling. En zoals hierboven aangegeven: als een aanbieder onder buitenlandse jurisdictie valt, kunnen derden in uitzonderlijke gevallen toch toegang eisen tot data of diensten, ongeacht waar die data staat9. Met andere woorden, productiviteitsuites uit de public cloud geven gemak en innovatie, maar vragen vertrouwen in, en afhankelijkheid van, de partij die ze levert. 

Hoewel het publieke debat zich vaak concentreert op de vraag of men voor- of tegenstander is van een herkomstregio, is het voor organisaties essentieel om zorgvuldig af te wegen welke keuzes zij maken bij het gebruik van de public cloud. Daarbij dienen afhankelijkheden expliciet inzichtelijk te worden gemaakt en moeten passende beheersmaatregelen aantoonbaar worden ingericht. 

Europese en opensource-alternatieven: minder afhankelijk, ander risicoprofiel

De discussie over digitale soevereiniteit leidt tot hernieuwde aandacht voor Europese en open source alternatieven. Een concreet Nederlands voorbeeld is SURF dat binnen onderwijs en onderzoek pilots gebaseerd op Nextcloud uitvoert10. Nextcloud, een open source samenwerkingsoplossing, kan in een eigen of Nederlands extern beheerde omgeving worden ingezet, wat meer sturing mogelijk maakt op hosting, configuratie en beheer11. Daar staat tegenover dat het risicoprofiel verandert: minder afhankelijkheid van één geïntegreerd platform, maar hogere eisen aan eigen beheerorganisatie, security monitoring, support, continuïteitsvoorzieningen en aantoonbare compliance. Het is daarmee geen ‘gratis’ route naar soevereiniteit, maar een bewuste ruil tussen externe afhankelijkheid en interne uitvoeringslast. 

Dergelijke alternatieven kunnen de afhankelijkheid van big tech-leveranciers verlagen, maar brengen nieuwe verantwoordelijkheden en risico’s met zich mee voor de afnemende organisatie. Je krijgt namelijk meer zelf in handen, en daarmee ook meer op je bord. Zo moet je vaak zelf zorgen voor integratie met andere systemen, voor technisch beheer en updates (patches), voor een eigen supportorganisatie en incidentrespons, en voor het aantonen van compliance. Om dat verantwoord te doen, is aantoonbare volwassenheid nodig in beheer, monitoring, incidentrespons en, waar relevant, uitwijk- en herstelvoorzieningen. Met andere woorden, een opensource of lokaal alternatief is zelden een gratis vorm van soevereiniteit. Je ruilt bepaalde afhankelijkheden in voor een ander soort afhankelijkheden: minder vendor lock-in misschien, maar meer interne operationele verantwoordelijkheid. Het risico wordt niet per definitie kleiner, het verandert van karakter. Voor sommige organisaties met veel expertise en middelen past dat; voor andere kan het juist te zwaar zijn.

Een werkbare balans: digitale soevereiniteit ‘by design’

Digitale soevereiniteit moet je ook lezen als geopolitieke realiteit: technologie is een machtsmiddel geworden. Waar je vroeger vooral keek naar privacy en compliance, gaat het nu om strategische afhankelijkheden in tijden van spanning. Wetgeving met extraterritoriale werking, sanctierisico’s, exportrestricties en politieke druk kunnen allemaal doorwerken in digitale diensten, zelfs als data “netjes” binnen Europa staat. Daarmee verandert de vraag van “is dit toegestaan?” naar “wat gebeurt er als de spelregels plots verschuiven, en kunnen wij dan blijven functioneren en besluiten nemen?”

Voor publieke organisaties is dat extra scherp omdat digitale platformen inmiddels het bestuurlijke zenuwstelsel vormen: identiteit en toegang, communicatie, documenten en samenwerking. Als daar frictie ontstaat, raakt dat direct de uitvoeringskracht en de continuïteit van publieke dienstverlening. Dat vraagt om expliciete afwegingen op bestuursniveau: welke afhankelijkheden accepteer je bewust vanwege snelheid en functionaliteit, en welke mitigeer je omdat de maatschappelijke impact van verstoring te groot is?

Juist omdat belangen vervlochten zijn, is “niets doen” óók een keuze met risico. De verstandigste volgende stap is daarom het expliciet maken van aannames en afwegingen: welke scenario’s achten we plausibel, waar zitten de single points of failure, en welke maatregelen zorgen dat we bij druk van buitenaf nog steeds handelingsopties hebben? Dat is de kern van moderne soevereiniteit: keuzevrijheid en continuïteit organiseren vóórdat je ze nodig hebt.

Er is geen silver bullet. Volledig op één geïntegreerde productiviteitssuite uit de public cloud vertrouwen brengt risico’s met zich mee, maar een puur Europees of eigen alternatief kan ook nadelen en beperkingen hebben. In plaats van te vervallen in een ideologische discussie (alles in de cloud versus niets in de cloud), zien we dat succesvolle organisaties digitale soevereiniteit benaderen als een risicogestuurd ontwerpvraagstuk. Het uitgangspunt is: bouw soevereiniteit zoveel mogelijk in, ongeacht welke platforms of leveranciers je kiest. Dit doe je via bewuste keuzes in je architectuur, contracten en governance.

In de praktijk komen hierbij een aantal ontwerpprincipes steeds terug die helpen om te moderniseren zonder de regie te verliezen, ongeacht de mix van technologieën.

Vijf belangrijke principes zijn12:

Segmenteer, onderscheid generieke van kritieke diensten.
Verdeel je applicatielandschap in verschillende segmenten, zoals het scheiden van algemene digitale werkpleksoftware (e-mail, chat, documentopslag) van essentiële systemen en strikt vertrouwelijke gegevens. Door deze segmentatie verklein je de gevolgen als er iets misgaat en kun je voor ieder segment een passend risicoprofiel hanteren. Je hoeft niet overal dezelfde strenge of juist soepele eisen toe te passen; zo kun je beter bepalen waar extra maatregelen nodig zijn. 

Maak exit realistisch, plannen is één, kunnen uitvoeren is twee.
Verminder vendor lock-in door vooraf na te denken over exit-scenario’s. Hoe stap je, als het moet, over naar een ander platform of terug naar eigen beheer? Besteed aandacht aan dataportabiliteit (kun je bij al je data, in een leesbaar formaat?), migratiepaden en -kosten, en de tijd die een exit zou kosten. Test periodiek of export en importfunctionaliteiten daadwerkelijk werken en of medewerkers, zij het met functionele beperkingen, toegang kunnen krijgen tot de data en deze data ook kunnen bewerken. Test ook dat het geheel in de degradatie-modus ook daadwerkelijk werkt en dat componenten bijvoorbeeld niet afhankelijk zijn van online licentiechecks. Zorg daarnaast dat er onpremise een draaiboek beschikbaar is waarin staat hoe medewerkers moeten handelen tijdens en na een exit. Een exitstrategie is pas waardevol als je deze ook wanneer het noodzakelijk zou zijn uit kan worden gevoerd. 

Bouw veerkracht in, continuïteit als ontwerpprincipe.
Ontwerp je cloudgebruik zó dat je organisatie blijft draaien, ook als er iets hapert bij de provider. Dit betekent bijvoorbeeld: zorg voor back-ups die buiten het primaire cloudplatform toegankelijk zijn, richt een minimale fallback-omgeving in voor kritieke communicatie (denk aan een alternatieve e-mail- of chatmogelijkheid) en oefen scenario’s waarin de cloudleverancier (tijdelijk) wegvalt. Continuïteit is onderdeel van soevereiniteit: je wil niet stil komen te staan als de externe partij uitvalt of wegvalt.

Beperk data en verwerkingen, minder is meer.
Hoe minder data je opslaat en hoe minder gevoelige gegevens je verwerkt, hoe minder er mis kan gaan. Dataminimalisatie en data-classificatie vormen de basis: weet welke data kritisch is en behandel die anders dan de rest. Zet hulpmiddelen in zoals Data Loss Prevention (DLP) om te voorkomen dat gevoelige informatie onbedoeld weglekt. Hanteer helder retentiebeleid en logging: bepaal hoe lang je data bewaart en leg vast wie er wanneer bij kan. Kortom, neem zoveel mogelijk onnodige blootstelling weg.

Organiseer governance, neem soevereiniteit op in bestuur.
Zorg ten slotte dat er duidelijke bestuurlijke afspraken zijn rond digitale soevereiniteit. Wie is verantwoordelijk voor de data in de cloud? Wie beoordeelt en accepteert de achterblijvende restrisico’s? Is er bijvoorbeeld een data-steward of cloudboard die periodiek beslissingen tegen het licht houdt? En hoe wordt de leverancier aangestuurd en gecontroleerd op zijn verplichtingen? Zonder actief bestuur loop je kans op schaduwsoevereiniteit: het idee dat alles goed geregeld is, terwijl bij een serieus incident of politieke druk blijkt dat niemand precies weet welke afspraken golden of wie het mandaat heeft om in te grijpen. 

Met deze ontwerpprincipes in het achterhoofd kunnen organisaties veel wendbaarder gebruikmaken van de cloud, zonder zich blind over te leveren. Het komt erop neer dat je je architectuur en governance zo inricht dat je altijd opties achter de hand hebt en grip behoudt. 

Vandaag moderniseren én investeren in soevereine alternatieven 

In de praktijk zien we dat digitale soevereiniteit neerkomt op een dubbele strategie. Enerzijds investeren in de modernisering van de digitale werkplek op basis van public cloud, maar dan wel met expliciete waarborgen en slimme ontwerpkeuzes (zoals hierboven beschreven) om je afhankelijkheden te beperken. Anderzijds is het verstandig om tegelijkertijd te investeren in nieuwe (soevereine) mogelijkheden voor de toekomst, zodat je op termijn meer keuzevrijheid creëert. 

Vandaag: moderniseren op basis van public cloud met duidelijke randvoorwaarden. Bijvoorbeeld: segmenteer je landschap, bouw continuïteit in, bereid een exit voor en leg je governance stevig vast. Zo profiteer je van moderne public cloud technologie, maar dan met vangnet.

Morgen: werken aan soevereine alternatieven. Bijvoorbeeld: volg en ondersteun Europese initiatieven voor cloud- en datasoevereiniteit, experimenteer met opensource tools naast je huidige productiviteitssuite, en stimuleer open standaarden. Het doel hiervan is niet om per se alles zelf te gaan doen, maar om op termijn meer soevereine keuzemogelijkheden te hebben. Europese beleidsvisies erkennen dat volledige zelfvoorziening niet realistisch of wenselijk is, maar pleiten wel voor het opbouwen van strategische capaciteit binnen Europa. 

Dit tweede spoor, bouwen aan alternatieven, vraagt om een lange adem en samenwerking tussen overheden, bedrijven en kennisinstellingen. Alleen met gezamenlijke inzet ontstaan op termijn levensvatbare alternatieven die kunnen wedijveren met de gevestigde spelers uit de VS. Voor individuele publieke organisaties betekent het bijvoorbeeld aanhaken bij zulke initiatieven, deelnemen in pilots of consortia, of simpelweg in de gaten houden wanneer een nieuwe optie voldoende volwassen is om in te zetten. Het sleutelwoord is hier voorbereid zijn: als zich over een paar jaar nieuwe mogelijkheden aandienen, ben je in staat daarop over te stappen of bij te schakelen omdat je er nu al (by design) rekening mee houdt?

Besluitvorming en verantwoording: een praktisch afwegingskader

Gezien de complexiteit van het onderwerp is er niet één juiste oplossing voor alle organisaties. Wat een verstandige keuze is, hangt af van je sector, risicobereidheid, wettelijke verplichtingen en strategische prioriteiten. Om tot een verantwoorde beslissing te komen, loont het om expliciet stil te staan bij een aantal kernthema’s. In onze praktijk hanteren we vaak onderstaande (niet-limitatieve) lijst als afwegingskader voor digitale soevereiniteit. Deze vragen helpen om scenario’s door te lichten en verantwoording af te leggen over gemaakte keuzes13: 

Scope. Welke processen en data vallen onder generieke werkplekdiensten en welke zijn echt bedrijfskritisch of gevoelig? Moet je voor die laatste misschien strengere eisen hanteren of ze buiten de algemene productiviteitssuite houden? 

Jurisdictie. Onder welke nationale wetgeving en jurisdicties vallen jouw cloudleveranciers en hun onderaannemers? En wat betekent dat voor mogelijke toegang tot of controle over jouw data (bijvoorbeeld door overheidsinstanties)? 

Keys & identity. Wie is de baas over de toegang? Hoe zijn zaken als identiteiten, autorisaties en encryptiesleutels geregeld? Heb jij als klant de sleutel in handen (letterlijk en figuurlijk) of ligt die bij de leverancier? 

Continuïteit. Wat is je plan als een cloudleverancier uitvalt of diensten beperkt? Is er een noodscenario getest, zodat de organisatie kan blijven draaien, al is het op beperkte wijze? 

Exit. Hoe zou je in de praktijk weg kunnen bij je huidige leverancier als dat ooit moet? Hoe lang zou dat duren, wat kost het, en welke afhankelijkheden of functieverliezen spelen er dan? Met andere woorden: hoe groot is de vendor lock-in in de praktijk? 

Beveiliging & compliance. Voldoe je met de huidige oplossing aan alle noodzakelijke beveiligingsmaatregelen en regelgeving? Denk aan logging, monitoring op incidenten, gegevensopslag in de keten (supply chain), tijdige updates en patching, et cetera. Zijn er extra controls nodig om aan bijvoorbeeld AVG, sectorspecifieke eisen of eigen beleid te voldoen?14

Governance. Wie binnen de organisatie houdt zich bezig met cloudrisico’s en soevereiniteit? Is duidelijk wie besluiten neemt, wie toezicht houdt, wie rapporteert en hoe regelmatig de risico’s herijkt worden? En is er een escalatiepad als zich een probleem voordoet dat soevereiniteit raakt? 

Door dit soort vragen gestructureerd te doorlopen, krijgen beslissers een scherper beeld van waar de voordelen en de pijnpunten zitten. Het maakt ook de dialoog met bestuur, auditcommissie of toezichthouders makkelijker, omdat je kunt aantonen dat je weloverwogen met het onderwerp omgaat en niet klakkeloos de goedkoopste of makkelijkste route volgt. 

Digitale soevereiniteit als strategische ontwerpkeuze

Digitale soevereiniteit is geen product dat je kunt kopen, en echte volledige soevereiniteit is vooralsnog een illusie. Het is een continu strategisch thema dat aandacht en bewuste keuzes vergt. Je bereikt het niet van de ene op de andere dag en zeker niet door één schakelaar om te zetten (zoals alle data naar Europa verplaatsen of een bepaald keurmerk halen). 

Uiteindelijk draait het om het vinden van een balans. Organisaties kunnen, mits goed doordacht en ontworpen, public cloud oplossingen inzetten én daarbij hun digitale soevereiniteit bewaken. Dat betekent bijvoorbeeld: profiteren van de nieuwste samenwerkingsplatforms, maar cruciale versleuteling zelf beheren. Of: data in de public cloud verwerken, maar zorgen voor een exit-optie. Of: een Amerikaanse dienst afnemen, maar contractueel vastleggen dat er een EU-only support- en hostingregime geldt. Zulke combinaties vergen iets meer werk aan de voorkant, maar betalen zich uit op momenten dat het ertoe doet.

Digitale soevereiniteit is dus geen alles-of-nietsbenadering, maar een doorlopend proces van afwegen, inrichten en bijsturen. Door alert te blijven op zowel technologische kansen als de bijbehorende risico’s, kunnen organisaties het beste van twee werelden behalen: de voordelen van de public cloud benutten, en de controle over eigen kritieke data en processen behouden.