Digitale soevereiniteit: het nieuwe buzzword?

Hoewel experts al geruime tijd voor te grote digitale afhankelijkheid en concentratie-risico’s waarschuwen, hebben recente ontwikkelingen zoals Microsoft die onder ede in Frankrijk verklaarde data en jurisdictie soevereiniteit van haar Europese klanten niet te kunnen garanderen, en het blokkeren van een e-mailaccount van de hoofdaanklager van het Internationaal Strafhof in Nederland de alarmbellen pas echt doen afgaan. Recente studies, zoals het onderzoek van de Algemene Rekenkamer ‘Het Rijk in de cloud’, het onderzoeksdrieluik van het Rathenau Instituut ‘Van digitale afhankelijkheid naar digitale autonomie’, de reactie op de Nederlandse Digitaliseringsstrategie van het Adviescollege ICT-toetsing maken onomwonden duidelijk dat digitale soevereiniteit de volle aandacht nodig heeft en wel direct.

Er is een evident gebrek aan digitale soevereiniteit. Digitale soevereiniteit gaat over het vermogen om op een betekenisvolle wijze zelfstandig, zonder invloed van buitenaf en op basis van eigen zeggenschap en in vrijheid te kunnen kiezen, beslissen, bijsturen, overstappen en anderszins te kunnen handelen met betrekking tot essentiële digitale aspecten van invloed op economie, maatschappij en democratie. De risico’s betreffen niet alleen een onwenselijke surveillance, invloed en sturing en daarmee beperking van de keuzevrijheid en bescherming van fundamentele rechten, maar ook aantasting van geopolitieke en economische posities.

Kort en goed: Het onderwerp digital soevereiniteit staat - eindelijk - op de radar, ook in bestuurskamers, bij de overheid en in de politiek.

Geowashing

Er zijn ogenschijnlijk hardnekkige misverstanden over de bescherming van data toevertrouwd aan het beheer door niet-Europese partijen. Echter, de suggestie dat het oprichten van een Europese vestiging en het fysiek opslaan van data in Europa de problemen zou oplossen, biedt eenvoudigweg geen enkele garantie. De Clarifying Lawful Overseas Use of Data Act (CLOUD Act) en sectie 702 van de Foreign Intelligence Surveillance Act (FISA 702) geven Amerikaanse autoriteiten op bevel toegang tot bedrijfs- en klantgegevens opgeslagen door cloud- en andere leveranciers met hoofdkantoor of anderszins actief in de VS, ongeacht waar deze gegevens zich fysiek bevinden. En wat als een leidende organisatie of persoon besluit en beveelt de knop om te draaien en iets uit te zetten?

Ook met betrekking tot andere niet-Europese digitale producten, systemen en diensten waarbij de ernstige afhankelijkheidsrisico’s al eerder zijn onderkend en stappen worden genomen om de afhankelijkheid af te bouwen, is nog altijd sprake van een te grote afhankelijkheid en gebrek aan keuze. Denk bijvoorbeeld aan digitale systemen van containerkranen en scannertechnologie in onder andere havens en luchthavens.

AI Factories daadwerkelijk Nederlands/Europees?

Nu Nederland, andere Europese lidstaten en Commissie groots investeren in het mogelijk maken van AI fabrieken, is het zaak om te voorkomen dat we wederom in dergelijke digitale sovereiniteitsproblemen raken. Alleen al in de eerste twee rondes van AI fabrieken is bijna EUR2 miljard aan EU en nationale fondsen vrijgemaakt. De aanvraag van Nederland, in de derde en laatste ronde wacht op dit moment op goedkeuring. Als die er komt, kunnen we eenvoudigweg niet weer in dezelfde valkuil vallen door massaal niet-Europese digitale componenten, producten, software en systemen af te nemen om een AI fabriek te bouwen.

Van denken uit de slachtoffer rol naar actieve en leidende rol, als protagonist

Een en ander vergt kennis, kunde en vooral een actieve en leidende rol, als protagonist en niet als het spelen van leidend voorwerp. Het goede nieuws is, dat de afgelopen vijf jaar een enorme hoeveelheid aan raamwerken en praktische hulpmiddelen zijn ontwikkeld die voor en in Nederland en EU-breed van toepassing zijn. Zo is de Dataverordening niet alleen van toepassing maar is per 12 september 2025 ook van kracht en dus handhaafbaar.

Data: Jij hebt nu de controle; Hoog tijd om die te benutten

Voor het eerst in de Nederlandse en Europese geschiedenis is de controle over data (welke zeer ruim is gedefinieerd) teruggeven aan de eigenaar c.q. gebruiker van digitale producten en diensten. Dit gaat niet alleen om eigenaar-, klanten- of gebruikersgegevens, maar strekt heel veel verder, zoals meta-data en machine-data. En, het gaat zowel om consumenten als professionele klanten en gebruikers van die producten en diensten, zowel in de private als publieke sector. Hoog tijd dus om dat recht ook voor te benutten.

Primair gaat de Dataverordening over het ontsluiten van data, en de producteigenaren en gebruikers in hun macht zetten, het bevorderen van gebruik, interoperabiliteit en datadelen. Volgens de Europese Raad moet actief gebruik van de Dataverordening al EUR 270 miljard aan additionele bruto nationaal product (BNP) aan de lidstaten gaan toevoegen, voor eind 2028. Dat vergt grote aandacht, ambitie en combinatorische innovatie en andere grote kansen voor Nederland en EU lidstaten.

De Dataverordening biedt verder het antwoord inclusief handvaten waaronder standaard contractuele bepalingen op vendor-lockins, met name door kunnen wisselen van cloud-leverancier, datasets en zelfs software te kunnen overbrengen naar andere cloud-leverancier en andere dataverwerkers verplicht te stellen, en dat praktisch onvoorwaardelijk.

Nederlandse/Europese Digitale soevereiniteit: van gebrek naar digitale grip en kracht

Dit is maar een van de vele middelen die we in Nederland onze beschikking hebben om strategische, organisatorische, technische en operationele grip te krijgen op digitale soevereiniteit. Daarmee zetten we niet alleen een organisatie, publiek en privaat, maar ook haar burgers, klanten en de maatschappij in hun kracht. Het wordt hoog tijd om te stoppen met alleen praten over een gebrek aan digitale soevereiniteit maar gewoon tot actie over te gaan.

Zo kan de huidige ongewenste situatie worden omgebogen op basis van het doen van impact assessments en op basis van de stand van zaken en mogelijke scenario’s maatregelen te nemen. Nieuwe programma’s, projecten, inkoop en contractverlengingen kunnen vanaf de basis gewoon meteen goed gedaan worden, bij voorkeur op een georkestreerde wijze vanaf bestuursniveau.

Amsterdam, 1 november 2025

Mr Arthur van der Wees en Mr Dunja Madunic zijn beide strategisch en juridisch specialist op gebied van technologie, beleid en recht bij ARTHUR (Arthur’s Legal, Strategies & Systems). Van der Wees is ook vice-voorzitter van de Edge-Cloud Werkgroep van de EU Alliance for Industrial Data, Cloud & Edge, opgezet door de Europese Commissie en de lidstaten.