Samenvatting
Digitale soevereiniteit staat centraal in het Europese beleid, maar de praktische uitvoering wordt gekaapt door commerciële belangen. Dit artikel onderzoekt hoe propriëtaire Europese IT-bedrijven en Big Tech-gelieerde partijen het soevereiniteitsdebat misbruiken om nieuwe vormen van vendor lock-in te creëren. Aan de hand van een analyse van de Cyber Resilience Act (CRA), EU AI Act, en concrete voorbeelden zoals Nextcloud, OpenStack en Lomiri, wordt betoogd dat free en open source software (FOSS) de enige haalbare route is naar echte digitale onafhankelijkheid. Het artikel sluit af met beleidsaanbevelingen en een kritische reflectie op de uitdagingen die Europa moet overwinnen.
Sleutelwoorden: digitale soevereiniteit, free en open source software, Cyber Resilience Act, EU AI Act, vendor lock-in, technologische onafhankelijkheid
1. Inleiding
Digitale soevereiniteit is een centraal thema in het Europese beleid, gedreven door de behoefte aan onafhankelijkheid van niet-Europese techreuzen en controle over kritieke infrastructuur (Bendrath 2021; EU Parlement 2022). Initiatieven zoals de Digital Sovereignty Act, GAIA-X, en de EU Cloud Rulebook benadrukken het belang van lokale dataopslag en Europese technologie. Echter, de implementatie wordt bemoeilijkt door twee tegengestelde krachten:
- Propriëtaire Europese IT-bedrijven die onder het mom van soevereiniteit nieuwe vendor lock-in creëren.
- Big Tech-gelieerde bedrijven die 'soevereiniteitswashing' toepassen om hun propriëtaire modellen te behouden.
Dit artikel onderzoekt hoe FOSS de enige duurzame oplossing biedt voor echte digitale soevereiniteit, met speciale aandacht voor de Cyber Resilience Act (CRA) en EU AI Act als regelgevend kader.
2. Propriëtaire Europese IT-bedrijven: Een Nieuwe Vorm van Afhankelijkheid
Het Europese streven naar digitale soevereiniteit heeft geleid tot een opmerkelijke paradox: terwijl de EU probeert afhankelijkheid van Amerikaanse en Chinese techreuzen te verminderen, ontstaan er nieuwe afhankelijkheden bij propriëtaire Europese bedrijven. Deze bedrijven presenteren zich als ‘soevereine’ alternatieven, maar hun gesloten systemen en propriëtaire licentiemodellen creëren in feite een nieuwe vorm van vendor lock-in. Dit fenomeen ondermijnt het oorspronkelijke doel van digitale soevereiniteit, namelijk het herwinnen van controle over kritieke technologieën en data.
2.1 SAP: Gesloten Systemen Onder het Mom van Soevereiniteit
SAP promoot zijn RISE with SAP-initiatief als een ‘soevereine’ cloudoplossing voor Europese bedrijven en overheden. In de praktijk betekent dit echter dat klanten zich binden aan een gesloten ecosysteem, waarbij migratie naar andere platformen moeilijk en kostbaar wordt. SAP’s benadering is symptomatisch voor een bredere trend: het gebruik van het soevereiniteitsargument om marktaandeel te vergroten, zonder dat klanten daadwerkelijk meer controle krijgen over hun data of software (Techzine.nl 2025; Computable.nl 2026b). Recentelijk heeft SAP concessies moeten doen aan de EU om een mededingingsonderzoek te voorkomen, wat aantoont dat ook Europese spelers niet immuun zijn voor kritiek op hun gesloten modellen (Techzine.nl 2025).
2.2 OVHcloud: Soevereiniteit met Beperkingen
OVHcloud positioneert zich sinds de brand in Straatsburg (2021) als een symbool van Europese digitale onafhankelijkheid. De brand verwoestte het SBG2-datacenter en beschadigde SBG1 ernstig, wat leidde tot een herziening van de veiligheidsprotocollen (Tweakers 2021; OVHcloud 2021; Techzine.nl 2021). Hoewel OVHcloud zich profileert als een ‘soevereine’ cloudprovider, is de onderliggende infrastructuur grotendeels propriëtair. Klanten die hun data bij OVHcloud onderbrengen, kunnen weliswaar rekenen op Europese datacenters, maar hebben geen toegang tot de broncode van de gebruikte software. Dit beperkt hun vermogen om de infrastructuur aan te passen of te verplaatsen, wat in strijd is met de kernprincipes van digitale soevereiniteit: transparantie en controle (Solutions Magazine 2023a; Solutions Magazine 2023b).
2.3 Probleem: Schijnsoevereiniteit
Deze ontwikkeling roept fundamentele vragen op over wat digitale soevereiniteit eigenlijk inhoudt. Volgens Richard Stallman (2002) is het antwoord duidelijk:
“Echte soevereiniteit vereist niet alleen lokale hosting, maar ook de vrijheid om software te inspecteren, aan te passen en te verlaten zonder boetes of technische barrières.”Dit principe wordt echter vaak genegeerd in het huidige beleidsdebat, waar de nadruk ligt op geografische locatie in plaats van technologische onafhankelijkheid (Stallman 2002; ICTMagazine.nl 2026).
3. Big Tech en Soevereiniteitswashing: Een Wolf in Schaapskleren
Nog problematischer is de rol van Big Tech-bedrijven zoals Microsoft, Google en Amazon, die hun propriëtaire oplossingen vermarkten als ‘soevereine’ alternatieven. Microsoft’s EU Data Boundary is hier een schoolvoorbeeld van. Deze initiatieven beloven dat Europese data binnen de EU blijft, maar de onderliggende technologie—van de besturingssystemen tot de beheerssoftware— blijft volledig in handen van Microsoft. Dit betekent dat Europese overheden en bedrijven weliswaar voldoen aan lokale databeschermingswetten, maar nog steeds afhankelijk zijn van een Amerikaans bedrijf voor kritieke updates, beveiligingspatches en licenties.
3.1 Microsoft’s EU Data Boundary: Schijnveiligheid
De EU Data Boundary van Microsoft beperkt waar persoonsgegevens worden opgeslagen en verwerkt, maar adresseert niet het fundamentele probleem: de technologie zelf blijft propriëtair en onder Amerikaanse jurisdictie (Microsoft 2026; Kiteworks 2026; Follow the Money 2026). De Schrems II-uitspraak (2020) heeft duidelijk gemaakt dat lokale datacenters niet volstaan als de technologie zelf niet soeverein is. Toch blijven Europese instellingen massaal gebruikmaken van Microsoft 365 en Azure, vaak onder het mom van ‘praktische noodzaak’ of ‘gebrek aan alternatieven’ (Follow the Money 2026).
3.2 Soevereiniteitswashing in de Praktijk
Dit fenomeen, dat we kunnen typeren als ‘soevereiniteitswashing’, is een bewuste strategie om de status quo te behouden. Door te benadrukken dat data ‘lokaal’ wordt opgeslagen, creëren deze bedrijven de schijn van soevereiniteit, terwijl de daadwerkelijke controle over de technologie elders ligt. Ralf Bendrath (2021) noemt dit een “gevaarlijke illusie”:
“Het idee dat je soeverein bent zolang je data maar in Europa staat, is misleidend. Als je niet weet wat er in de software gebeurt, of als je afhankelijk bent van een buitenlandse partij voor updates en beveiliging, ben je niet soeverein.”
3.3 Kritiek uit de Sector
Europese cloudbedrijven hebben in een open brief aan de EU gevraagd om strengere regels om digitale soevereiniteit te beschermen tegen AWS, Azure en Google Cloud, die hun diensten als ‘soeverein’ in de markt zetten zonder Europese klanten daadwerkelijk volledige controle te geven (Computable.nl 2026b).
4. Free en Open Source Software: De Enige Route naar Echte Soevereiniteit
Gelukkig zijn er wel degelijk alternatieven die wél voldoen aan de principes van digitale soevereiniteit. Free en open source software (FOSS) biedt een radicaal andere benadering, waarbij transparantie, interoperabiliteit en lokale controle centraal staan. In tegenstelling tot propriëtaire oplossingen stelt FOSS gebruikers in staat om de broncode te inspecteren, aan te passen en te delen. Dit betekent dat Europese overheden en bedrijven niet alleen hun data, maar ook hun software volledig onder controle kunnen houden.
4.1 Nextcloud: Een Europees Succesverhaal
Nextcloud is een open source alternatief voor Dropbox en Microsoft 365, dat steeds vaker wordt gebruikt door Europese overheden. In Duitsland heeft het Bundeswehr Nextcloud geïmplementeerd voor veilige bestandsdeling, terwijl in Frankrijk overheidsdiensten zoals het Ministère de l’Éducation Nationale de software gebruiken voor interne communicatie (Tweakers 2026; Nextcloud 2026; Belgiumcloud 2026). In Nederland heeft SURF Nextcloud breed beschikbaar gesteld voor onderwijs- en onderzoeksinstellingen, als alternatief voor Amerikaanse clouddiensten (NU.nl 2025).
4.2 OpenStack: Open Infrastructuur voor Europa
OpenStack is een open source cloudplatform dat wordt gebruikt door organisaties zoals CERN en Deutsche Telekom. OpenStack stelt gebruikers in staat om hun eigen cloudomgeving te bouwen, op basis van open standaarden. Dit betekent dat ze niet gebonden zijn aan één leverancier, maar vrij kunnen kiezen tussen verschillende hardware- en softwareleveranciers. Dit is precies wat de Cyber Resilience Act (CRA, 2022) beoogt: een ecosysteem waarin gebruikers niet gevangen zitten in gesloten systemen, maar vrij kunnen schakelen tussen aanbieders (Computable.nl 2026a; T-Systems 2026; Open Telekom Cloud 2026).
4.3 Beleidskader: Cyber Resilience Act (CRA) en EU AI Act
De Cyber Resilience Act (CRA) verplicht fabrikanten om kwetsbaarheden in software te melden en stimuleert het gebruik van FOSS voor veiligheid en transparantie. De wet maakt opvallende uitzonderingen voor open source software, omdat deze essentieel is voor de cyberveiligheid van digitale producten. Open source stewards hebben eigen verplichtingen, zoals het opstellen van een cybersecuritybeleid en het melden van actief misbruikte kwetsbaarheden, maar zijn niet onderworpen aan administratieve boetes (Europese Commissie 2024; ibestuur 2026; OpenSSF 2026). De EU AI Act (2024) moedigt open source AI-modellen aan om afhankelijkheid van propriëtaire systemen te verminderen. De verordening is op 1 augustus 2024 in werking getreden en stelt bindende eisen aan de veiligheid en transparantie van AI-systemen, met speciale aandacht voor open source als middel om innovatie en controle te bevorderen (Europese Commissie 2024; Rijksoverheid.nl 2024; Consilium 2024).
5. Beleid en Toekomstperspectief: Wat Europa Moet Doen
Om FOSS echt tot de norm te maken, moet Europa nog een aantal stappen zetten.
- Vendor lock-in tegengaan: De Cyber Resilience Act en EU AI Act moeten niet alleen open source stimuleren, maar ook actief garanderen dat overheden alleen software inkopen die voldoet aan open standaarden en interoperabiliteit.
- Financiering voor FOSS-projecten: Er is meer financiering nodig voor open source projecten, bijvoorbeeld via programma’s zoals NLnet en NGI Zero, die innovatie in FOSS ondersteunen.
- Educatie en kennisdeling: Europa moet investeren in het ontwikkelen van vaardigheden bij overheden en bedrijven om open source oplossingen te implementeren en te onderhouden.
5.1 Voorlopers in Europa
Frankrijk loopt hierin voorop: het land heeft een open source-strategie die voorschrijft dat overheidssoftware standaard open source moet zijn, tenzij er dwingende redenen zijn om dit niet te doen. Het Franse ministerie van Binnenlandse Zaken gebruikt Nextcloud als veilig alternatief voor Amerikaanse cloudoplossingen (Interoperable Europe 2019; Open Overheid 2025).
Duitsland volgt met initiatieven zoals Matrix/Element, een open source communicatieplatform dat wordt gebruikt door verschillende ministeries en gezondheidsinstellingen (Tweakers 2021; ICTMagazine.nl 2026). Ook de Nederlandse overheid heeft een ‘open, tenzij’-beleid voor overheidssoftware, waarbij broncode standaard openbaar moet worden gemaakt (Digitale Overheid 2024; Open Overheid 2025).
5.2 Uitdagingen en Fragmentatie
Een belangrijke uitdaging is de fragmentatie van open source oplossingen in Europa. Elk land kiest vaak voor eigen oplossingen (bijv. Nextcloud in Duitsland, Tchap in Frankrijk), wat schaalvoordelen en interoperabiliteit in de weg staat. Om dit te overwinnen, is samenwerking op EU-niveau nodig, bijvoorbeeld via GAIA-X en Eurostack, die open standaarden en gedeelde architecturen promoten (ICTMagazine.nl 2026).
6. Het Debacle van de Belastingdienst: Een Schoolvoorbeeld van Schijnsoevereiniteit
Een van de meest treffende voorbeelden van hoe digitale soevereiniteit in Nederland wordt ondermijnd, is het beleid van de Belastingdienst. Ondanks alle lokale en Europese wetgeving die digitale onafhankelijkheid en databescherming moet waarborgen, heeft de Belastingdienst de afgelopen jaren twee omstreden beslissingen genomen die de Nederlandse overheid juist afhankelijker maken van Amerikaanse techbedrijven en hun propriëtaire systemen.
6.1 De Vervanging van Lotus Domino door Microsoft Office 365
In 2021 besloot de Belastingdienst om haar verouderde Lotus Domino-omgeving (voorheen IBM Notes) te vervangen door Microsoft Office 365. Deze keuze werd gepresenteerd als een noodzakelijke modernisering, maar kritici wijzen erop dat de Belastingdienst hiermee een nieuwe vorm van vendor lock-in creëert, waarbij de Nederlandse overheid voor jaren gebonden is aan een Amerikaans techbedrijf. De migratie, die inmiddels meer dan 14,4 miljoen euro heeft gekost, wordt doorgezet ondanks politieke en maatschappelijke kritiek over de afhankelijkheid van Amerikaanse technologie en de risico’s voor digitale soevereiniteit (Accountancy Vanmorgen 2026; Tweakers 2026; Computable.nl 2026b).
6.2 De Uitbesteding van het BTW-Systeem aan een Amerikaans Bedrijf
Nog schokkender is de recente beslissing van de Belastingdienst om het beheer van het BTW-systeem volledig uit te besteden aan het Amerikaanse bedrijf Fast Enterprises. Dit betekent dat een kritieke Nederlandse belastinginfrastructuur, die wekelijks 1,5 miljard euro aan staatsinkomsten genereert, in handen komt van een buitenlandse partij. Experts waarschuwen dat dit de Nederlandse overheid kwetsbaar maakt voor politieke druk en chantage, bijvoorbeeld als de Amerikaanse overheid via de CLOUD Act toegang eist tot Nederlandse belastinggegevens of het systeem platlegt bij een conflict (de Volkskrant 2026; AD.nl 2026; Techzine.nl 2026). Het meest ernstige van de zaak is misschien wel dat de beslissers zich niet realiseren welk kapitaal risico er speelt.
6.3 Politieke en Maatschappelijke Reacties
De Tweede Kamer heeft zich kritisch uitgelaten over beide beslissingen, maar een meerderheid vindt het te ingrijpend om de projecten stil te leggen. Staatssecretaris Eelco Eerenberg (Financiën) heeft benadrukt dat de keuzes voldoen aan het rijksbrede cloudbeleid en dat toekomstige beslissingen aan zijn opvolger worden overgelaten (Accountancy Vanmorgen 2026; AD.nl 2026).
6.4 Conclusie: Een Gemiste Kans voor Echte Soevereiniteit
Het debacle van de Belastingdienst illustreert hoe Nederlandse overheidsinstellingen, ondanks alle retoriek over digitale onafhankelijkheid, in de praktijk actief kiezen voor afhankelijkheid van Amerikaanse techreuzen. De argumenten die hiervoor worden aangevoerd—zoals het ontbreken van alternatieven of de noodzaak van modernisering— worden door experts en open source-gemeenschappen weerlegd. Het feit dat de Belastingdienst Nextcloud en andere Europese oplossingen niet serieus heeft overwogen, toont aan dat het niet gaat om een gebrek aan opties, maar om een gebrek aan politieke moed en visie.
7. Conclusie
Echte digitale soevereiniteit is alleen mogelijk met free en open source software. Propriëtaire ‘soevereine’ oplossingen zijn vaak nieuwe vormen van vendor lock-in, terwijl Big Tech-bedrijven soevereiniteit gebruiken als marketingtool. Europa moet FOSS omarmen als fundament voor digitale onafhankelijkheid, ondersteund door regelgeving zoals de CRA en EU AI Act.
Samenvatting
Digitale soevereiniteit staat centraal in het Europese beleid, maar de praktische uitvoering wordt gekaapt door commerciële belangen. Dit artikel onderzoekt hoe propriëtaire Europese IT-bedrijven en Big Tech-gelieerde partijen het soevereiniteitsdebat misbruiken om nieuwe vormen van vendor lock-in te creëren. Aan de hand van een analyse van de Cyber Resilience Act (CRA), EU AI Act, en concrete voorbeelden zoals Nextcloud, OpenStack en Lomiri, wordt betoogd dat free en open source software (FOSS) de enige haalbare route is naar echte digitale onafhankelijkheid. Het artikel sluit af met beleidsaanbevelingen en een kritische reflectie op de uitdagingen die Europa moet overwinnen.
Sleutelwoorden: digitale soevereiniteit, free en open source software, Cyber Resilience Act, EU AI Act, vendor lock-in, technologische onafhankelijkheid
1. Inleiding
Digitale soevereiniteit is een centraal thema in het Europese beleid, gedreven door de behoefte aan onafhankelijkheid van niet-Europese techreuzen en controle over kritieke infrastructuur (Bendrath 2021; EU Parlement 2022). Initiatieven zoals de Digital Sovereignty Act, GAIA-X, en de EU Cloud Rulebook benadrukken het belang van lokale dataopslag en Europese technologie. Echter, de implementatie wordt bemoeilijkt door twee tegengestelde krachten:
- Propriëtaire Europese IT-bedrijven die onder het mom van soevereiniteit nieuwe vendor lock-in creëren.
- Big Tech-gelieerde bedrijven die 'soevereiniteitswashing' toepassen om hun propriëtaire modellen te behouden.
Dit artikel onderzoekt hoe FOSS de enige duurzame oplossing biedt voor echte digitale soevereiniteit, met speciale aandacht voor de Cyber Resilience Act (CRA) en EU AI Act als regelgevend kader.
2. Propriëtaire Europese IT-bedrijven: Een Nieuwe Vorm van Afhankelijkheid
Het Europese streven naar digitale soevereiniteit heeft geleid tot een opmerkelijke paradox: terwijl de EU probeert afhankelijkheid van Amerikaanse en Chinese techreuzen te verminderen, ontstaan er nieuwe afhankelijkheden bij propriëtaire Europese bedrijven. Deze bedrijven presenteren zich als ‘soevereine’ alternatieven, maar hun gesloten systemen en propriëtaire licentiemodellen creëren in feite een nieuwe vorm van vendor lock-in. Dit fenomeen ondermijnt het oorspronkelijke doel van digitale soevereiniteit, namelijk het herwinnen van controle over kritieke technologieën en data.
2.1 SAP: Gesloten Systemen Onder het Mom van Soevereiniteit
SAP promoot zijn RISE with SAP-initiatief als een ‘soevereine’ cloudoplossing voor Europese bedrijven en overheden. In de praktijk betekent dit echter dat klanten zich binden aan een gesloten ecosysteem, waarbij migratie naar andere platformen moeilijk en kostbaar wordt. SAP’s benadering is symptomatisch voor een bredere trend: het gebruik van het soevereiniteitsargument om marktaandeel te vergroten, zonder dat klanten daadwerkelijk meer controle krijgen over hun data of software (Techzine.nl 2025; Computable.nl 2026b). Recentelijk heeft SAP concessies moeten doen aan de EU om een mededingingsonderzoek te voorkomen, wat aantoont dat ook Europese spelers niet immuun zijn voor kritiek op hun gesloten modellen (Techzine.nl 2025).
2.2 OVHcloud: Soevereiniteit met Beperkingen
OVHcloud positioneert zich sinds de brand in Straatsburg (2021) als een symbool van Europese digitale onafhankelijkheid. De brand verwoestte het SBG2-datacenter en beschadigde SBG1 ernstig, wat leidde tot een herziening van de veiligheidsprotocollen (Tweakers 2021; OVHcloud 2021; Techzine.nl 2021). Hoewel OVHcloud zich profileert als een ‘soevereine’ cloudprovider, is de onderliggende infrastructuur grotendeels propriëtair. Klanten die hun data bij OVHcloud onderbrengen, kunnen weliswaar rekenen op Europese datacenters, maar hebben geen toegang tot de broncode van de gebruikte software. Dit beperkt hun vermogen om de infrastructuur aan te passen of te verplaatsen, wat in strijd is met de kernprincipes van digitale soevereiniteit: transparantie en controle (Solutions Magazine 2023a; Solutions Magazine 2023b).
2.3 Probleem: Schijnsoevereiniteit
Deze ontwikkeling roept fundamentele vragen op over wat digitale soevereiniteit eigenlijk inhoudt. Volgens Richard Stallman (2002) is het antwoord duidelijk:
“Echte soevereiniteit vereist niet alleen lokale hosting, maar ook de vrijheid om software te inspecteren, aan te passen en te verlaten zonder boetes of technische barrières.”Dit principe wordt echter vaak genegeerd in het huidige beleidsdebat, waar de nadruk ligt op geografische locatie in plaats van technologische onafhankelijkheid (Stallman 2002; ICTMagazine.nl 2026).
3. Big Tech en Soevereiniteitswashing: Een Wolf in Schaapskleren
Nog problematischer is de rol van Big Tech-bedrijven zoals Microsoft, Google en Amazon, die hun propriëtaire oplossingen vermarkten als ‘soevereine’ alternatieven. Microsoft’s EU Data Boundary is hier een schoolvoorbeeld van. Deze initiatieven beloven dat Europese data binnen de EU blijft, maar de onderliggende technologie—van de besturingssystemen tot de beheerssoftware— blijft volledig in handen van Microsoft. Dit betekent dat Europese overheden en bedrijven weliswaar voldoen aan lokale databeschermingswetten, maar nog steeds afhankelijk zijn van een Amerikaans bedrijf voor kritieke updates, beveiligingspatches en licenties.
3.1 Microsoft’s EU Data Boundary: Schijnveiligheid
De EU Data Boundary van Microsoft beperkt waar persoonsgegevens worden opgeslagen en verwerkt, maar adresseert niet het fundamentele probleem: de technologie zelf blijft propriëtair en onder Amerikaanse jurisdictie (Microsoft 2026; Kiteworks 2026; Follow the Money 2026). De Schrems II-uitspraak (2020) heeft duidelijk gemaakt dat lokale datacenters niet volstaan als de technologie zelf niet soeverein is. Toch blijven Europese instellingen massaal gebruikmaken van Microsoft 365 en Azure, vaak onder het mom van ‘praktische noodzaak’ of ‘gebrek aan alternatieven’ (Follow the Money 2026).
3.2 Soevereiniteitswashing in de Praktijk
Dit fenomeen, dat we kunnen typeren als ‘soevereiniteitswashing’, is een bewuste strategie om de status quo te behouden. Door te benadrukken dat data ‘lokaal’ wordt opgeslagen, creëren deze bedrijven de schijn van soevereiniteit, terwijl de daadwerkelijke controle over de technologie elders ligt. Ralf Bendrath (2021) noemt dit een “gevaarlijke illusie”:
“Het idee dat je soeverein bent zolang je data maar in Europa staat, is misleidend. Als je niet weet wat er in de software gebeurt, of als je afhankelijk bent van een buitenlandse partij voor updates en beveiliging, ben je niet soeverein.”
3.3 Kritiek uit de Sector
Europese cloudbedrijven hebben in een open brief aan de EU gevraagd om strengere regels om digitale soevereiniteit te beschermen tegen AWS, Azure en Google Cloud, die hun diensten als ‘soeverein’ in de markt zetten zonder Europese klanten daadwerkelijk volledige controle te geven (Computable.nl 2026b).
4. Free en Open Source Software: De Enige Route naar Echte Soevereiniteit
Gelukkig zijn er wel degelijk alternatieven die wél voldoen aan de principes van digitale soevereiniteit. Free en open source software (FOSS) biedt een radicaal andere benadering, waarbij transparantie, interoperabiliteit en lokale controle centraal staan. In tegenstelling tot propriëtaire oplossingen stelt FOSS gebruikers in staat om de broncode te inspecteren, aan te passen en te delen. Dit betekent dat Europese overheden en bedrijven niet alleen hun data, maar ook hun software volledig onder controle kunnen houden.
4.1 Nextcloud: Een Europees Succesverhaal
Nextcloud is een open source alternatief voor Dropbox en Microsoft 365, dat steeds vaker wordt gebruikt door Europese overheden. In Duitsland heeft het Bundeswehr Nextcloud geïmplementeerd voor veilige bestandsdeling, terwijl in Frankrijk overheidsdiensten zoals het Ministère de l’Éducation Nationale de software gebruiken voor interne communicatie (Tweakers 2026; Nextcloud 2026; Belgiumcloud 2026). In Nederland heeft SURF Nextcloud breed beschikbaar gesteld voor onderwijs- en onderzoeksinstellingen, als alternatief voor Amerikaanse clouddiensten (NU.nl 2025).
4.2 OpenStack: Open Infrastructuur voor Europa
OpenStack is een open source cloudplatform dat wordt gebruikt door organisaties zoals CERN en Deutsche Telekom. OpenStack stelt gebruikers in staat om hun eigen cloudomgeving te bouwen, op basis van open standaarden. Dit betekent dat ze niet gebonden zijn aan één leverancier, maar vrij kunnen kiezen tussen verschillende hardware- en softwareleveranciers. Dit is precies wat de Cyber Resilience Act (CRA, 2022) beoogt: een ecosysteem waarin gebruikers niet gevangen zitten in gesloten systemen, maar vrij kunnen schakelen tussen aanbieders (Computable.nl 2026a; T-Systems 2026; Open Telekom Cloud 2026).
4.3 Beleidskader: Cyber Resilience Act (CRA) en EU AI Act
De Cyber Resilience Act (CRA) verplicht fabrikanten om kwetsbaarheden in software te melden en stimuleert het gebruik van FOSS voor veiligheid en transparantie. De wet maakt opvallende uitzonderingen voor open source software, omdat deze essentieel is voor de cyberveiligheid van digitale producten. Open source stewards hebben eigen verplichtingen, zoals het opstellen van een cybersecuritybeleid en het melden van actief misbruikte kwetsbaarheden, maar zijn niet onderworpen aan administratieve boetes (Europese Commissie 2024; ibestuur 2026; OpenSSF 2026). De EU AI Act (2024) moedigt open source AI-modellen aan om afhankelijkheid van propriëtaire systemen te verminderen. De verordening is op 1 augustus 2024 in werking getreden en stelt bindende eisen aan de veiligheid en transparantie van AI-systemen, met speciale aandacht voor open source als middel om innovatie en controle te bevorderen (Europese Commissie 2024; Rijksoverheid.nl 2024; Consilium 2024).
5. Beleid en Toekomstperspectief: Wat Europa Moet Doen
Om FOSS echt tot de norm te maken, moet Europa nog een aantal stappen zetten.
- Vendor lock-in tegengaan: De Cyber Resilience Act en EU AI Act moeten niet alleen open source stimuleren, maar ook actief garanderen dat overheden alleen software inkopen die voldoet aan open standaarden en interoperabiliteit.
- Financiering voor FOSS-projecten: Er is meer financiering nodig voor open source projecten, bijvoorbeeld via programma’s zoals NLnet en NGI Zero, die innovatie in FOSS ondersteunen.
- Educatie en kennisdeling: Europa moet investeren in het ontwikkelen van vaardigheden bij overheden en bedrijven om open source oplossingen te implementeren en te onderhouden.
5.1 Voorlopers in Europa
Frankrijk loopt hierin voorop: het land heeft een open source-strategie die voorschrijft dat overheidssoftware standaard open source moet zijn, tenzij er dwingende redenen zijn om dit niet te doen. Het Franse ministerie van Binnenlandse Zaken gebruikt Nextcloud als veilig alternatief voor Amerikaanse cloudoplossingen (Interoperable Europe 2019; Open Overheid 2025).
Duitsland volgt met initiatieven zoals Matrix/Element, een open source communicatieplatform dat wordt gebruikt door verschillende ministeries en gezondheidsinstellingen (Tweakers 2021; ICTMagazine.nl 2026). Ook de Nederlandse overheid heeft een ‘open, tenzij’-beleid voor overheidssoftware, waarbij broncode standaard openbaar moet worden gemaakt (Digitale Overheid 2024; Open Overheid 2025).
5.2 Uitdagingen en Fragmentatie
Een belangrijke uitdaging is de fragmentatie van open source oplossingen in Europa. Elk land kiest vaak voor eigen oplossingen (bijv. Nextcloud in Duitsland, Tchap in Frankrijk), wat schaalvoordelen en interoperabiliteit in de weg staat. Om dit te overwinnen, is samenwerking op EU-niveau nodig, bijvoorbeeld via GAIA-X en Eurostack, die open standaarden en gedeelde architecturen promoten (ICTMagazine.nl 2026).
6. Het Debacle van de Belastingdienst: Een Schoolvoorbeeld van Schijnsoevereiniteit
Een van de meest treffende voorbeelden van hoe digitale soevereiniteit in Nederland wordt ondermijnd, is het beleid van de Belastingdienst. Ondanks alle lokale en Europese wetgeving die digitale onafhankelijkheid en databescherming moet waarborgen, heeft de Belastingdienst de afgelopen jaren twee omstreden beslissingen genomen die de Nederlandse overheid juist afhankelijker maken van Amerikaanse techbedrijven en hun propriëtaire systemen.
6.1 De Vervanging van Lotus Domino door Microsoft Office 365
In 2021 besloot de Belastingdienst om haar verouderde Lotus Domino-omgeving (voorheen IBM Notes) te vervangen door Microsoft Office 365. Deze keuze werd gepresenteerd als een noodzakelijke modernisering, maar kritici wijzen erop dat de Belastingdienst hiermee een nieuwe vorm van vendor lock-in creëert, waarbij de Nederlandse overheid voor jaren gebonden is aan een Amerikaans techbedrijf. De migratie, die inmiddels meer dan 14,4 miljoen euro heeft gekost, wordt doorgezet ondanks politieke en maatschappelijke kritiek over de afhankelijkheid van Amerikaanse technologie en de risico’s voor digitale soevereiniteit (Accountancy Vanmorgen 2026; Tweakers 2026; Computable.nl 2026b).
6.2 De Uitbesteding van het BTW-Systeem aan een Amerikaans Bedrijf
Nog schokkender is de recente beslissing van de Belastingdienst om het beheer van het BTW-systeem volledig uit te besteden aan het Amerikaanse bedrijf Fast Enterprises. Dit betekent dat een kritieke Nederlandse belastinginfrastructuur, die wekelijks 1,5 miljard euro aan staatsinkomsten genereert, in handen komt van een buitenlandse partij. Experts waarschuwen dat dit de Nederlandse overheid kwetsbaar maakt voor politieke druk en chantage, bijvoorbeeld als de Amerikaanse overheid via de CLOUD Act toegang eist tot Nederlandse belastinggegevens of het systeem platlegt bij een conflict (de Volkskrant 2026; AD.nl 2026; Techzine.nl 2026). Het meest ernstige van de zaak is misschien wel dat de beslissers zich niet realiseren welk kapitaal risico er speelt.
6.3 Politieke en Maatschappelijke Reacties
De Tweede Kamer heeft zich kritisch uitgelaten over beide beslissingen, maar een meerderheid vindt het te ingrijpend om de projecten stil te leggen. Staatssecretaris Eelco Eerenberg (Financiën) heeft benadrukt dat de keuzes voldoen aan het rijksbrede cloudbeleid en dat toekomstige beslissingen aan zijn opvolger worden overgelaten (Accountancy Vanmorgen 2026; AD.nl 2026).
6.4 Conclusie: Een Gemiste Kans voor Echte Soevereiniteit
Het debacle van de Belastingdienst illustreert hoe Nederlandse overheidsinstellingen, ondanks alle retoriek over digitale onafhankelijkheid, in de praktijk actief kiezen voor afhankelijkheid van Amerikaanse techreuzen. De argumenten die hiervoor worden aangevoerd—zoals het ontbreken van alternatieven of de noodzaak van modernisering— worden door experts en open source-gemeenschappen weerlegd. Het feit dat de Belastingdienst Nextcloud en andere Europese oplossingen niet serieus heeft overwogen, toont aan dat het niet gaat om een gebrek aan opties, maar om een gebrek aan politieke moed en visie.
7. Conclusie
Echte digitale soevereiniteit is alleen mogelijk met free en open source software. Propriëtaire ‘soevereine’ oplossingen zijn vaak nieuwe vormen van vendor lock-in, terwijl Big Tech-bedrijven soevereiniteit gebruiken als marketingtool. Europa moet FOSS omarmen als fundament voor digitale onafhankelijkheid, ondersteund door regelgeving zoals de CRA en EU AI Act.