Digitale soevereiniteit geeft strategische bewegingsruimte

De discussie rond Solvinity en DigiD laat zien hoe snel een ogenschijnlijk ‘gewone’ IT-keuze kan uitgroeien tot een strategisch en politiek vraagstuk. In deze blog laten we zien waarom digitale soevereiniteit niet zozeer draait om volledige onafhankelijkheid, maar om bestuurlijke bewegingsruimte én delen we hoe je die ruimte creëert.

Volledige onafhankelijkheid is niet realistisch

Digitale soevereiniteit wordt vaak voorgesteld als onafhankelijk worden van grote technologiebedrijven. Hoewel dit aantrekkelijk klinkt, is dit voor de meeste organisaties simpelweg niet realistisch. Vrijwel iedere organisatie is afhankelijk van cloudleveranciers, softwareplatformen, cybersecuritypartijen, datacenters en externe beheerders.

Hoe behouden we toch keuzevrijheid?

Hoe behouden we onze keuzevrijheid als wetgeving, geopolitiek, eigendom of leveranciersbelangen veranderen? Voor bestuurders betekent dit dat digitale soevereiniteit niet kan worden gedelegeerd aan IT alleen. Het streven naar soevereiniteit is een strategisch thema dat raakt aan continuïteit, compliance, reputatie en bestuurlijke verantwoordelijkheid. Wie zijn digitale afhankelijkheden niet kent of niet kan beïnvloeden, loopt het risico dat één technologiekeuze later het handelingsvermogen van de organisatie beperkt.

Van IT-keuze naar strategisch risico

Technologiekeuzes zijn allang geen puur technische of financiële beslissingen meer. Grote techbedrijven opereren binnen wetgeving, politieke druk, sancties, exportregels en veranderende geopolitieke verhoudingen. Wat gisteren een efficiënte IT-keuze leek, kan morgen een strategisch risico zijn. Wie beheert onze data? Onder welk recht valt onze leverancier? Wie kan toegang afdwingen? En hoe snel kunnen wij reageren als de context verandert?

Wie die vragen niet tijdig stelt, loopt risico op continuïteitsverlies, politieke aansprakelijkheid, reputatieschade en het onvermogen om aan wettelijke eisen te blijven voldoen. Digitale soevereiniteit begint daarom bij bestuurlijk inzicht in de strategische gevolgen van technologiekeuzes.

Solvinity/DigiD als waarschuwing

De recente discussie rond Solvinity en DigiD laat zien hoe actueel dit vraagstuk is. Solvinity is betrokken bij cruciale digitale overheidsdiensten, waaronder het platform waarop DigiD draait. De voorgenomen Amerikaanse overname leidde tot politieke vragen over digitale autonomie, toegang tot gevoelige gegevens en afhankelijkheid van buitenlandse partijen. Het kabinet gaf aan deze zorgen te herkennen, maar maakte ook duidelijk dat direct ingrijpen of snel overstappen niet eenvoudig is, onder meer omdat zorgvuldige juridische, veiligheids- en continuïteitsafwegingen nodig zijn.

De bredere les: vertrouwen is niet genoeg

De les reikt verder dan deze ene casus. Het probleem is niet dat een leverancier vandaag onbetrouwbaar is. Een partij kan uitstekend functioneren en toch morgen strategisch kwetsbaar worden door een overname, veranderende wetgeving, gewijzigde voorwaarden of doordat zij technisch nauwelijks vervangbaar blijkt. Soevereiniteit kan daarom niet rusten op vertrouwen alleen. Vertrouwen blijft nodig, maar zonder realistische overstapmogelijkheid wordt afhankelijkheid kwetsbaar.

Van afhankelijkheid naar bewegingsruimte

Digitale soevereiniteit vraagt daarom om een andere definitie. Niet: alles zelf doen. Niet: één keer kiezen voor wat nu veilig voelt. Maar wel: afhankelijkheden bewust kiezen, begrenzen, volgen en kunnen vervangen. Soevereiniteit is daarmee een bestuurlijk en organisatorisch vermogen.

Stap 1: breng je kroonjuwelen in beeld

Bestuurders kennen meestal hun belangrijkste leveranciers, maar lang niet altijd de diepere afhankelijkheden daarachter. Die zitten vaak in beheerrechten, dataopslag, identiteiten, integraties, contractvoorwaarden, encryptiesleutels, onderaannemers en specialistische kennis.

Wie digitaal soeverein wil zijn, weet per kritisch proces welke data betrokken is, wie toegang heeft, welke wetgeving van toepassing is, welke alternatieven bestaan en hoelang een overstap in de praktijk écht duurt. Pas als kritische processen en bijbehorende risico’s inzichtelijk zijn, kan een organisatie alternatieven bepalen en sneller schakelen wanneer dat nodig is.

Stap 2: ontwerp op vervangbaarheid

Vervolgens moet digitale soevereiniteit worden meegenomen in ontwerpkeuzes. Architectuur moet worden beoordeeld op strategische gevolgen op de langere termijn, in plaats van enkel op kosten, prestaties en gebruiksgemak. Vervangbaarheid moet daarbij een expliciet bestuurlijk criterium zijn. Bestuurders behouden pas echte handelingsruimte wanneer technologiekeuzes later kunnen worden herzien zonder dat continuïteit of publieke waarden in het geding komen.

Dat betekent dat architectuur wordt ingezet als strategische randvoorwaarde. Systemen en diensten moeten zó worden ingericht dat wisselen van leverancier, platform of locatie haalbaar blijft binnen aanvaardbare tijd en risico’s. Open standaarden, transparante interfaces, portabiliteit en het vermijden van onnodige lock-in zijn daarmee bestuurlijk relevante keuzes. Zij bepalen in hoeverre een organisatie kan meebewegen wanneer wetgeving, eigenaarschap of geopolitieke context verandert.

Stap 3: contracteer op exit en zeggenschap

Alleen techniek is daarvoor onvoldoende. Ook inkoop, contracteren en governance moeten hetzelfde principe volgen. Exit-afspraken, datateruggave, auditrechten, onderaannemers, eigendomswijzigingen en ondersteuning bij migratie zijn voorwaarden voor het behouden van strategische bewegingsruimte. Een leverancier zonder uitvoerbare exitstrategie zit met een afhankelijkheid die later duur kan komen te staan.

Stap 4: test of overstappen echt kan

Daar komt een praktische eis bij: overstappen moet geoefend worden. Een exit-plan dat nooit is getest, biedt vooral schijnzekerheid. Organisaties oefenen hun crisisplannen en back-ups. Ze zouden ook moeten testen of data daadwerkelijk kan worden geëxporteerd, kritieke processen kunnen worden hersteld en alternatieve leveranciers kunnen worden geactiveerd. Pas dan weet een bestuur of de organisatie echt wendbaar is wanneer de situatie daarom vraagt.

Strategische bewegingsruimte behouden

De soevereine organisatie van de toekomst is dus niet de organisatie zonder afhankelijkheden. Het is de organisatie die haar afhankelijkheden zo ontwerpt, contracteert en bestuurt dat zij strategische bewegingsruimte behoudt. Ook als geopolitieke verhoudingen verschuiven. Ook als leveranciers veranderen. En vooral: ook wanneer snel handelen belangrijker wordt dan vasthouden aan wat gisteren nog veilig leek.

De beweging begint bij de juiste vragen

Digitale soevereiniteit ontstaat dus vooral door het stellen van de juiste vragen op bestuursniveau. Door bijvoorbeeld deze vragen expliciet neer te leggen, zet een bestuurder het gesprek en de beweging in gang:

• Hebben wij inzicht in onze missie-kritische digitale afhankelijkheden?
• Is vervangbaarheid een expliciet criterium in onze IT-besluitvorming?
• Weten wij welke wetgeving, eigendomsstructuren en onderaannemers invloed hebben op onze kritische diensten?
• Worden exit-scenario’s en migraties ook in de praktijk getest?
• Is een wijziging in eigendom van leveranciers onderdeel van onze risicobeoordeling?

Deze vragen maken zichtbaar waar bestuurlijke keuzes nodig zijn, ook als er nog geen definitieve antwoorden zijn. Precies daar begint digitale soevereiniteit: als het vermogen om wendbaar en verantwoord te handelen wanneer de context verandert.