De Tweede Kamer spreekt deze week over digitale autonomie. Dat is terecht. De afhankelijkheid van buitenlandse technologie, cloudplatforms en softwareketens raakt niet alleen IT-afdelingen, maar de kern van bestuurlijke handelingsvrijheid.
Toch dreigt het debat opnieuw vast te lopen op begrippen als compliance, certificering en “digitale weerbaarheid”, terwijl de kernvraag onvoldoende wordt gesteld: wie heeft uiteindelijk de macht?
Digitale soevereiniteit is geen modewoord. Het is een concrete machtsvraag met directe gevolgen voor continuïteit van de overheid, democratische controle en nationale veiligheid. Veel overheidsprogramma’s richten zich op het versterken van digitale weerbaarheid door samenwerking, kennisdeling en gezamenlijke oefening tussen departementen en ketenpartners, maar in die publieke beleidsagenda’s blijft de expliciete vraag naar juridische en technische zeggenschap over data en systemen vaak onderbelicht — terwijl die juist de kern vormt van digitale soevereiniteit.
In veel beleidsstukken wordt digitale soevereiniteit gelijkgesteld aan datalokatie, naleving van Europese regelgeving of het gebruik van “vertrouwde” cloudomgevingen. Dat is begrijpelijk, maar onvoldoende.
Digitale soevereiniteit is iets anders: de onvoorwaardelijke en exclusieve zeggenschap van een acteur over zijn digitale domein; data, systemen/computing, cryptografische sleutels en besluitvorming. Geen externe acteur (staat, onderneming of toeleveringsketen) kan technische, juridische of economische dwang uitoefenen.
Die definitie is streng, want soevereiniteit is geen gradueel comfortniveau; het is binair. Of je kunt beslissen onder druk, of niet.
Compliance, certificering en contracten beperken risico’s, maar heffen afhankelijkheid niet op. Wie dat verschil niet scherp ziet, verwart bestuurlijke geruststelling met feitelijke controle.
Dit is geen theorie. Internationale praktijk laat zien dat technologiebedrijven uiteindelijk handelen binnen het juridische kader waaraan zij onderworpen zijn, niet binnen het belang van hun klanten. Wanneer politieke of juridische druk wordt uitgeoefend, blijken contractuele afspraken en compliance-labels ondergeschikt aan afdwingbare wetgeving.
Dit geldt niet alleen voor data-toegang, maar ook voor het blokkeren van accounts, diensten of communicatiekanalen. Voor een overheid is dat geen acceptabel risico. Digitale infrastructuur moet bestuurbaar blijven, juist wanneer geopolitieke verhoudingen verslechteren, sancties worden opgelegd of belangen botsen.
Deze observatie staat niet op zichzelf. In recente publieke strategische analyses wordt technologie expliciet benoemd als geopolitieke machtsfactor. De Strategische Monitor 2025–2030 van Instituut Clingendael beschrijft hoe digitale infrastructuren en technologiebedrijven onderdeel zijn geworden van mondiale machtsverhoudingen, en hoe deze verschuivingen Europese staten dwingen tot strategische keuzes over autonomie, afhankelijkheid en bestuurlijke continuïteit. Digitale afhankelijkheid is daarmee geen technisch vraagstuk, maar een structureel geopolitiek gegeven.
Opvallend is dat veel nationale cyberstrategieën deze machtsvraag expliciet vermijden. In recente, publiek toegankelijke beleidsdocumenten ligt de nadruk sterk op cyberbeveiliging, veerkracht en risicobeheersing, terwijl de vraag naar juridische en technische zeggenschap over data en systemen buiten beschouwing blijft. Daarmee worden afhankelijkheden beheersbaar gemaakt, maar niet opgeheven. Cybersecurity wordt zo een instrument om binnen bestaande machtsverhoudingen te opereren, niet om die machtsverhoudingen te doorbreken.
Concreet: DigiD, Nederlands kritieke identiteitsinfrastructuur, heeft een architecturale kwetsbaarheid. Een laag wordt beheerd door een Amerikaanse dienstverlener, onderworpen aan de U.S. CLOUD Act, wetgeving die Amerikaanse autoriteiten extraterritoriale bevoegdheden kan geven, ongeacht waar data fysiek staat.
Betekent dit dat er nu al spionage plaatsvindt? Dat weten we niet. Maar dat is niet de relevante vraag. De relevante vraag is: kan het, en onder welke voorwaarden?
Zolang die voorwaarden bestaan, is er geen sprake van soevereiniteit, ongeacht contracten, encryptie of audits.
Veel beleidsmakers stellen encryptie gelijk aan soevereiniteit. Dat is een fundamentele denkfout. Encryptie beschermt data tegen inzage, maar alleen als:
TLS (transportbeveiliging) beschermt gegevens onderweg, maar niet tegen inzage door platforms of dienstverleners. Alleen end-to-end-encryptie verlegt macht naar de eindpunten. Dat verschil is fundamenteel.
Bovendien: data met een lange levensduur; identiteitsgegevens en dossiers, brengt het risico met zich mee van store now, decrypt later. Wat vandaag veilig is, kan morgen onveilig worden door veranderde rekenkracht. Quantum-bestendige cryptografie is daarom geen toekomststudie, maar een actuele beleidsvraag.
Deze urgentie wordt inmiddels ook breed onderkend. Europese veiligheids- en beleidsorganisaties roepen expliciet op om nu te beginnen met de transitie naar post-quantum-cryptografie, juist omdat gevoelige data die vandaag wordt opgeslagen ook in de toekomst beschermd moet blijven. Uitstel creëert een structureel soevereiniteitsrisico.
Een tweede voorbeeld illustreert deze spanning. De Nederlandsche Bank waarschuwde het financiële systeem vorig jaar voor afhankelijkheid van Amerikaanse big tech. Terecht; de risico’s zijn reëel.
Tegelijkertijd migreerde DNB zelf volledig naar Microsoft 365 en werd end-to-end-e-mailencryptie stopgezet. Hier wordt een structurele spanning zichtbaar tussen beleidsambitie en uitvoeringsrealiteit.
Niet omdat DNB incompetent is, maar omdat de keuze tussen volledige soevereiniteit enerzijds en operationele schaal, kosten en innovatie anderzijds in de praktijk vaak in het voordeel van het laatste uitvalt.
Juist daarom moet deze afweging expliciet politiek worden gemaakt.
Digitale soevereiniteit vereist vitale systemen onder Nederlands recht en eigenaarschap, of onder strikt Europese governance. Zolang juridische en economische macht elders ligt, blijft digitale autonomie een bestuurlijke illusie.
Dit betekent niet dat efficiëntie en innovatie moeten worden opgegeven. Het betekent wel dat specifieke systemen; identiteit, kerngegevens en crisiscommunicatie, anders moeten worden behandeld dan ondersteunende diensten.
De Kamer spreekt nu over digitale autonomie. Dat is goed. Maar autonomie zonder zeggenschap is leeg. Wie digitale soevereiniteit serieus neemt, moet bereid zijn kosten en complexiteit te accepteren; niet omdat het gemakkelijk is, maar omdat het noodzakelijk is. Dit is geen technische optimalisatie, maar een bestuurlijke afweging over macht en verantwoordelijkheid.
Dat vraagt om vier concrete vragen:
Zolang deze vragen niet scherp worden beantwoord, maken we onbewuste keuzes voor afhankelijkheid.
Hier kan je reageren op onze artikelen en een inhoudelijke bijdrage leveren. Lees ook even onze huisregels.
Om te reageren dien je eerst aan te melden.
Reageer je voor de eerste keer? Registreer je dan hier.
