Tussen soevereiniteit en autonomie: hoe Nederland zijn digitale toekomst veilig wil stellen

In een open gesprek, onder Chatham House Rules, werd duidelijk dat de uitdagingen groot zijn, maar het optimisme minstens zo aanwezig is. “De crux zit in grip en controle”, vatte een deelnemer het samen.

Soeverein of autonoom?

De discussie start bij de basis: wat betekent ‘soevereine cloud’ eigenlijk? De deelnemers vinden de term vaak misleidend. Soevereiniteit hoort bij landen en wetgeving, niet bij technologie. “Het IT-begrip van soevereine cloud bestaat niet, daar moeten we vanaf,” merkte een deelnemer op. Volgens deze logica is soevereiniteit een juridisch begrip, terwijl autonomie gaat over technische controle, datascheiding en exit-strategieën.

Deelnemers spreken daarom liever over digitale autonomie. Dat gaat om zeggenschap: waar staat je data, wie kan erbij, en hoe snel kun je overstappen als dat nodig is? Een deelnemer vatte het als volgt samen: “Autonomie gaat om beweegbaarheid: hoe groot is je vendor lock-in?”

Ondertussen blijft het een complex vraagstuk. Veiligheid en stabiliteit spelen ook mee. “Stabiliteit is een onderdeel van veiligheid,” zei een deelnemer uit de IT-securityhoek. “Beschikbaarheid, integriteit en vertrouwelijkheid horen bij elkaar.” Soevereiniteit raakt vooral de laatste twee; autonomie vooral de eerste.

Het blijkt vooral een kwestie van risicomanagement: weten welke afhankelijkheden je hebt, welke risico’s je accepteert en welke niet, en zorgen dat bestuurders begrijpen waar zij voor tekenen.

De werkelijkheid: diepe afhankelijkheid

Als het gesprek verschuift naar de praktijk, ontstaat een breed gedeeld beeld: Nederland én Europa zijn stevig afhankelijk van Amerikaanse spelers. Niet omdat organisaties naïef zijn, maar omdat de hyperscalers enorme voordelen bieden.

“Je kon vroeger je creditcard trekken en binnen een minuut een omgeving opzetten,” zegt een deelnemer. Het gebruiksgemak, de diversiteit aan diensten, en de schaal waren decennialang onweerstaanbaar — en dat zijn ze in feite nog steeds.

Toch zijn er twee grote risico’s die steeds terugkomen:

1. Juridische risico’s door wetgeving zoals de Cloud Act.

Een deelnemer uit de publieke sector schetste het scherp: wat als een Amerikaanse overheid besluit toegang te eisen tot data, óók als die in Nederland staat? Of wat als de VS in een geopolitiek conflict besluiten datacenters van Amerikaanse partijen tijdelijk te sluiten?

2. Continuïteitsrisico’s door eenzijdige controle over infrastructuur.

“Alles waar een ander (ook) over kan beslissen, vind ik eng,” zei een deelnemer. Het idee dat een externe partij — buiten de EU — een cruciaal onderdeel van je bedrijfsvoering kan uitschakelen, hoe theoretisch ook, blijft wringen.

Sommige deelnemers nuanceren dat deze risico’s politiek soms groter worden gemaakt dan ze in de praktijk zijn. Toch blijft het ongemak breed gedeeld: organisaties hebben weinig grip op ketenafhankelijkheden. Zelfs wanneer alles ‘on prem’ staat, kan één storing bij een derde partij (Cloudflare wordt genoemd) alsnog de halve operatie platleggen.

Nederlandse en Europese alternatieven

Ondanks dat de hyperscalers dominant zijn, overheerst geen fatalisme. Integendeel: meerdere deelnemers benadrukken dat er in Nederland en Europa veel meer aanbod is dan vaak wordt aangenomen. “Het merendeel van de diensten die Amerikaanse hyperscalers aanbieden, wordt niet of nauwelijks gebruikt. We kunnen in Europa prima zelf bouwen wat wél gebruikt wordt,” stelde een IT-aanbieder.

Er wordt gewezen op:

• Nederlandse cloudproviders die al jaren private clouds leveren met publieke cloud-gebruiksgemak.

• Europese initiatieven die schaal proberen te creëren, soms met overheidsparticipatie. Daarbij wordt ook het Eurostack-initiatief genoemd.

• Het EU Sovereignty Framework, waarvan een deelnemer zegt dat het organisaties helpt hun soevereiniteitsniveau te meten en te onderbouwen.

Toch ontbreekt er iets fundamenteels: interesse en investeringskracht. Een deelnemer merkte scherp op dat wanneer een grote Nederlandse dienstverlener wordt overgenomen door een Amerikaanse partij, dat óók komt omdat er geen Nederlands geld klaarstaat om te investeren. “Als dat aandeel er niet is, kun je roepen over autonomie wat je wil, dan komt die er niet.”

Te weinig kennis en menskracht

Bijna elke rondetafeldeelnemer kwam uiteindelijk uit op hetzelfde punt: kennisgebrek. Niet alleen een tekort aan IT’ers, maar vooral aan IT’ers die alternatieven kennen voor Amerikaanse technologie.

Een deelnemer verwoordde het als volgt: “Het deprogrammeren van IT’ers uit het reguliere onderwijs is nodig. Iedereen leert werken met Amerikaanse technologie, maar dat helpt je niet bij het bouwen van Europese alternatieven.”

Dat probleem begint al vroeg:

• Amerikaanse techbedrijven domineren het onderwijs met gratis lesmateriaal.

• Jongeren hebben vaak een eenzijdig beeld van IT, meer gericht op geld dan op vakmanschap.

• De basiskennis van infrastructuur, talen en cloud-architectuur wordt onvoldoende ontwikkeld.

Er werd gepleit voor stevige investeringen:

• IT-onderwijs vanaf de basisschool, inclusief programmeertalen.

• Alternatieve educatiepakketten die niet door big tech worden aangeboden.

• Incubatieprogramma’s bij Nederlandse cloudpartijen.

• Meer aandacht voor zij-instroom.

• Publiek-private samenwerking waarbij overheid meebouwt aan kritieke technologie.

“Je kunt geen autonome cloud bouwen zonder autonome kennis,” merkte een deelnemer op.

Wat moet Nederland nu doen?

Hoewel de uitdagingen groot zijn, ontstaat richting het einde van de discussie een duidelijke lijn: Nederland hoeft niet volledig onafhankelijk te worden — dat is zelfs onmogelijk. Maar het land moet wél keuzes maken over welke onderdelen van de digitale infrastructuur essentieel zijn en welke niet.

Organisaties moeten volgens de deelnemers drie stappen zetten:

1. Classificeer je data en diensten.

Waar is autonomie noodzakelijk en waar is een publiek cloud-risico acceptabel?

2. Investeer in exit-strategieën.

Zowel technisch (data-portabiliteit, open standaarden), als organisatorisch (kennis vasthouden).

3. Bouw op wat er al is in Nederland en Europa.

“We zijn geneigd te denken dat we opnieuw moeten beginnen,” zei een deelnemer. “Maar er is al heel veel. We moeten het alleen beter benutten.”

De overheid speelt een cruciale rol, vooral in het stellen van duidelijke kaders en het stimuleren van alternatieven. Sommige sectoren, zoals de rijksoverheid zelf en de banken, staan volgens deelnemers al in de startblokken om samen op te trekken.

Conclusie: verrassend optimistisch

De deelnemers zijn realistisch: Nederland is nog ver verwijderd van volledige digitale autonomie. De afhankelijkheid van Amerikaanse tech is groot en de ketenafhankelijkheid nog groter. Maar ze zijn ook verrassend optimistisch.

Het land beschikt over sterke datacenters, een uitstekende infrastructuur, innovatieve cloudproviders en een groeiende aandacht voor digitale veiligheid. De overheid zet stappen met nieuw beleid en wetgeving. En steeds meer partijen, publiek én privaat, beginnen de urgentie te voelen.

Het belangrijkste inzicht van de rondetafel is misschien wel dat autonomie geen doel op zich is, maar een proces. Een proces waarin Nederland:

• investeert in kennis en educatie,

• bewuste keuzes maakt over risico’s,

• bouwt aan Europese alternatieven,

• én erkent dat volledige onafhankelijkheid onhaalbaar is.

“Je kunt geen gracht om Nederland bouwen,” zei een deelnemer. “Maar we kunnen wél zorgen dat we weten wat er door die gracht heen komt — en dat we zelf de brug kunnen bedienen.”

Daarmee is de richting helder: meer grip, meer kennis en meer samenwerking, nationaal én Europees. De weg ernaartoe is lang, maar het besef dat er nu écht begonnen moet worden, is breed aanwezig.