De noodzaak van digitale autonomie en soevereiniteit

Digitale autonomie gaat in de kern over zelfbeschikking en een hoge mate van onafhankelijkheid. Een overheid die zelf de controle heeft over haar digitale infrastructuur dus. Deze zelfbeschikking zal zich in praktische zin uiteindelijk moeten doorvertalen in een eigen vorm van (open-source-) software, veilige communicatie en weerbaarheid. Digitale soevereiniteit betekent voor de overheid dat zij gebruik kan blijven maken van diezelfde digitale infrastructuur en daaromheen besluiten kan nemen los van economische, geopolitieke of technologische druk.

Schurende afhankelijkheid

De afhankelijkheid van grote Amerikaanse techbedrijven in Nederland en in Europa is de afgelopen twee decennia flink gegroeid. Die afhankelijkheid schuurt al een paar jaar, maar pas sinds een aantal weken schuurt het hard genoeg. Zo heeft Stichting Internet Domeinregistratie Nederland aangekondigd het registratiesysteem van het .nl-domein te willen verplaatsen naar de public cloud van Amazon Web Services. Daarnaast heeft de internationale politieke dynamiek ongetwijfeld een rol gespeeld in de gedachtegang over digitale autonomie, in Europa en in Nederland.

De gemeente Amsterdam heeft inmiddels een concreet plan om die afhankelijkheid te verminderen. Vorig jaar nam de gemeenteraad unaniem een voorstel aan waarin werd opgeroepen om digitaal onafhankelijker te worden. Dit is vertaald naar een ‘Verkenning Amsterdam Digitaal Onafhankelijk’. De eerste stappen die de gemeente hiertoe zet, zijn meer data in eigen beheer opslaan, eisen stellen aan digitale autonomie bij de inkoop van nieuwe digitale diensten, en experimenteren met nieuwe, Europese software.

Acteren als één overheid

Om data in eigen beheer te kunnen opslaan, zal de (rijks)overheid moeten gaan investeren in lokale of Europese datacenters. De Rekenkamer concludeerde in januari dit jaar dat het Rijk beperkt zicht heeft op de clouddiensten die het gebruikt, en onvoldoende strategische risicoafwegingen maakt ten aanzien van de afhankelijkheid van leveranciers. Op dit moment kent het Rijk ongeveer 1.588 clouddiensten, waarvan 44% een publieke cloud betreft en 30% een private; van 26% is het soort cloudoplossing onbekend. Bij publieke clouds heeft de overheid die data niet zelf in handen. Dat de rijksoverheid niet altijd goed in beeld heeft welke cloud ze gebruikt en waarom, is reden tot zorg.

De Nederlandse Digitaliseringsstrategie (NDS) is in onze ogen geschikt om gemeenten, provincies en Rijk te laten samenkomen en het beleid omtrent cloudgebruik uniformer en concreter te maken. Het plan van aanpak voor de NDS wordt dit voorjaar gepresenteerd, met als ambitie: digitale autonomie en efficiëntere samenwerking als één overheid. Daarnaast zou de deelname vanuit zowel Rijk als gemeenten en provincies aan bijvoorbeeld Gaia-X geïntensiveerd kunnen worden. Dit Europese cloudinitiatief heeft als doel om data binnen de EU te houden.

De Nederlandse Digitaliseringsstrategie (NDS) is in onze ogen geschikt om gemeenten, provincies en Rijk te laten samenkomen en het beleid omtrent cloudgebruik uniformer en concreter te maken.

Risico’s rond kwaliteit en operabiliteit

Om een bepaalde mate van digitale autonomie en soevereiniteit te realiseren, is ook aandacht vereist voor open-source-initiatieven. Het gebruik van open source kan een zogenaamde ‘vendor lock-in’ voorkomen. Ook is er dan geen sprake van neveneffecten door buitenlandse wetgeving (denk aan de Cloud Act) op de leverancier van (gesloten) software. Het risico van open-source-software is echter dat deze lokaal geprogrammeerd en geïnitieerd kan worden, wat mogelijk ten koste gaat van de interoperabiliteit. Het gaat immers een flinke opgave worden om lokale softwaresystemen van verschillende overheidsorganisaties naadloos op elkaar te laten aansluiten. Een ander risico is dat de Europese oplossingen minder geavanceerd zijn dan de huidige (veelal Amerikaanse) oplossingen. Er zal dus op grote schaal innovatie gestimuleerd moeten worden eenzelfde kwaliteit en interoperabiliteit te realiseren als van Amerikaanse oplossingen, om deze vervolgens op eenzelfde schaal te distribueren. Een Europees consortium lijkt hierin haast randvoorwaardelijk. De CIO Rijk heeft inmiddels een intentieverklaring getekend met de Duitse en Franse overheid voor gezamenlijke open-source-oplossingen om digitaal soevereine werkplekken te creëren in de publieke sector.

Gemeenschappelijke standaard

Een andere aanvliegroute om als rijksoverheid digitaal onafhankelijker te worden op de lange termijn, is om bij de inkoopkeuzes van bepaalde applicaties strakker te sturen op de verbinding met nationale en Europese wet- en regelgeving. Zowel op Europees als op Nederlands vlak wordt nieuwe, scherpe regelgeving gecreëerd. Denk aan de Interbestuurlijke Datastrategie als beleid en de AI Act als concrete wet. Door deze centraal te stellen bij de verkenning en aankoop van nieuwe digitale diensten en dit op grote schaal te doen door samen te werken met andere steden en landen, ontstaat een gemeenschappelijke standaard waar de markt zich aan zal moeten conformeren. Zo worden publieke waarden op termijn beter geborgd in ontwikkelde technologie.

Langjarig proces

Met de Voorjaarsnota op komst – waarbij logischerwijs de nodige aandacht zal uitgaan naar de geopolitieke situatie en het ravijnjaar voor gemeenten in 2026 – wordt het niet makkelijk om het nodige budget vrij te krijgen voor de transitie naar meer digitale autonomie. Des te belangrijker dus voor alle overheidslagen om elkaar op te zoeken en de handen ineen te slaan. Daarnaast hebben overheden simpelweg niet alle (technische) kennis in huis om dit gedaan te krijgen. Kijkend naar genoemde factoren, is het waarschijnlijker dat overheden een hybride benadering zullen hanteren: autonomie nastreven waar dat noodzakelijk is en bestaande oplossingen gebruiken als het niet anders kan. Sowieso zal het een meerjarig proces worden, waarbij overheden stap voor stap steeds digitaal onafhankelijker worden. En op zijn minst natuurlijk niet nog afhankelijker.