Overslaan naar inhoud

Het belang van soevereiniteit voor publieke data en processen

Het belang van soevereiniteit voor publieke data en processen

Waarom controle over overheidsdata essentieel is voor democratie en veiligheid

Inleiding


Digitale Soevereiniteit is overal in het nieuws op dit moment. Er is expliciet een Staatssecretaris voor Digital Zaken EN Soevereiniteit in onze nieuwe regering, en de media konden maar niet genoeg krijgen van de discussie rondom de overname van Solvinity door het Amerikaanse Kyndryl.

Van belastinginning tot zorgadministratie en van politiegegevens tot uitkeringen: kritieke publieke processen draaien op data van private bedrijven. De overheid gebruikt de platforms van met name Microsoft al heel lang, en tot voor kort was dat nooit een punt van discussie.

Wat is er veranderd? Waarom is soevereiniteit opeens zo hoog op de agenda komen te staan? In deze explainer zullen wij ingaan op de vraag waarom controle over de data een kernvraag is geworden waar niemand meer omheen kan.  


Waarom is afhankelijkheid onwenselijk?


De gevaren van het toevertrouwen van de essentiële processen van de overheid aan niet-EU leveranciers bevinden zich op meerdere niveaus.


Juridisch


De Verenigde Staten, het thuisland van de grote “hyperscalers” Microsoft, Google en AWS, heeft wetgeving die buiten de grenzen van het land zelf van toepassing is. Een voorbeeld hiervan is de CLOUD Act die stelt dat de Amerikaanse overheid data mag opeisen die door een Amerikaanse bedrijf wordt beheerd, ook al gaat het om een niet-Amerikaanse klant, en ook al bevindt de data zich buiten de VS. Zelfs als de data bij een Europees dochterbedrijf staat is die wetgeving van toepassing. De provider kan dit niet aanvechten, en mag in de meeste gevallen de klant niet op de hoogte brengen van het feit dat zijn gegevens met de FBI of de CIA gedeeld zijn. 


Ook kunnen er sancties uitgesproken worden tegen individuen of organisaties waardoor het verboden is aan Amerikaanse bedrijven om nog diensten te leveren aan het onderwerp daarvan. Dit is in 2025 gebeurd met aanklagers en rechters van het Internationaal Gerechtshof in Den Haag, die daardoor alle toegang tot systemen verloren.


Operationeel


Het onderbrengen van meerdere kritieke en essentiële processen bij een unieke vendor (zoals Microsoft) leidt tot meerdere kwetsbaarheden.


  • Er is nauwelijks een onderhandelingspositie met de vendor. De overheid als klant heeft geen alternatieven in het geval de relatie verslechtert, of als de prijzen ineens stijgen. 
  • Er is geen mogelijkheid om snel te migreren naar een andere aanbieder. De data zit in een gesloten omgeving, in een format dat niet te lezen of te verwerken zal zijn op het platform van een andere aanbieder.


  • Bij geopolitieke spanning met het moederland van de provider kunnen de vitale processen van de overheid (zoals DigiD) opeens niet meer functioneren. 


Dit zijn ernstige risico’s, die geadresseerd moeten worden.. Zeker nu deze door geo-politieke onrust helaas niet meer zo onvoorstelbaar zijn als dat ze vroeger leken.  


Wat betekent digitale soevereiniteit?

Het gaat erom een groter deel van de IT systemen van de overheid minder afhankelijk van niet-Europese partijen te maken en zo regie te nemen over de eigen vitale processen. 

Digitale soevereiniteit betekent dat:

  • data onder nationale/EU-wetgeving valt, en alleen onder die wetgeving
  • toegang en verwerking controleerbaar zijn
  • afhankelijkheden van externe partijen beheersbaar blijven

Het gaat dus niet alleen om technologie, maar vooral ook om governance en zeggenschap over de data en de systemen.

Strategische voordelen van soevereine oplossingen

Bescherming van grondrechten

Door data binnen Europese kaders te houden, borgen wij dat de Europese wetgeving die bijvoorbeeld de privacy van personen beschermen, zoals de AVG, altijd toegepast wordt. Wij kunnen hiermee ook voorkomen dat data misbruikt wordt, of dat data zodanig opgeslagen wordt dat het onmogelijk is om het naar een ander systeem te migreren of dat daar onredelijke boetes voor opgelegd worden.

Burgers weten zeker dat hun gegevens op de juiste manier beschermd worden, en de overheid als beheerder kan bouwen op de garanties die regulering zoals de Europese Digital Services Act of de Data Act bieden. 

Omdat er geen extraterritoriale wetgeving van de VS (of China) van toepassing is weten wij zeker dat de gevoelige gegevens, zoals de mails van ministeries of de Tweede Kamer, nooit opgeëist kunnen worden door de regering van een ander land. Ook is er niemand die beschikking heeft over een “kill switch” waarmee de dienst opeens stilgezet kan worden.

Stimulering van de Nederlandse en Europese digitale sector


Een niet onbelangrijk ander aspect van soevereiniteit is dat door te kiezen voor Nederlandse of Europese aanbieders het geld voor de diensten in onze eigen economie geïnvesteerd wordt. 


Het geld dat wij overmaken naar Microsoft, AWS of Google gaat rechtstreeks naar de Verenigde Staten. Uit recent onderzoek blijkt dat alle Europese lidstaten gezamenlijk € 264 mld per jaar besteden aan Amerikaanse IT. 



Dus, door zaken te doen met Europese providers gebruiken wij het geld van de overheid om ons eigen ecosysteem te versterken. Met dit geld worden salarissen betaald, worden de ontwikkelingen van nieuwe diensten aangejaagd, groeit de strategische capaciteit binnen Europa en dichten wij uiteindelijk de kloof tussen wat de grote Big Tech providers aanbieden en wat onze eigen sector kan leveren.


Waarom hyperscale niet de default zou moeten zijn


Heel lang was het voor de overheid automatisch en vanzelfsprekend om te kiezen voor het gemak van de grote Amerikaanse hyperscalers. In Nederland is met name Microsoft de standaardleverancier voor het gros van de IT diensten van het rijk geworden.


Dit is aan het veranderen. Het besef is er nu dat het gemak ook nadelen heeft. Dat de grote US leveranciers een beperking vormen voor onze autonomie en onze onafhankelijkheid.


Dat er geopolitieke en juridische risico’s gepaard gaan bij deze keuzes, die heel verstrekkende gevolgen kunnen hebben als de relatie met de VS verslechtert (bijvoorbeeld als Amerika echt zou proberen Groenland te annexeren).

Voor generieke toepassingen kunnen hyperscalers geschikt zijn, maar voor kernprocessen en gevoelige data ligt een soevereine aanpak meer voor de hand. Bovendien komen investeringen in onze eigen economie iedereen ten goede, en niet alleen een paar multinationals.

Conclusie

Digitale soevereiniteit is geen abstract concept, maar een praktische randvoorwaarde voor een goed functionerende overheid. Door te investeren in Nederlandse en Europese oplossingen kan de overheid controle houden over haar data, haar processen en daarmee ook invulling te geven aan haar eigen soevereiniteitsambities. 

Wat kan de overheid nu concreet doen:

  • In kaart brengen voor welke kritieke data en vitale processen soevereine oplossingen gewenst zijn. 
  • Welke soevereine alternatieven voor deze data en processen voorhanden zijn. 
  • En als deze alternatieven niet voorhanden zijn, ontwikkel dan samen met private partijen een realistisch plan om te komen tot volledige soevereiniteit. Denk daarbij aan benodigde data-infrastructuur, software en expertise.  
  • En bovenal; geef Nederlandse en Europese alternatieven een kans, wordt een klant. Omarm de vele initiatieven die er nu ontstaan en durf prioriteit te geven aan soevereine oplossingen. 
Input NSDC tav EU Tech Sovereignty Package.