De recente bijdragen van zowel Stichting LibreKAT als NLdigital aan het rondetafelgesprek over de (beoogde) overname van Solvinity en de gevolgen daarvan voor DigiD laten zien dat digitale soevereiniteit inmiddels breed wordt erkend als een serieus beleidsvraagstuk. Dat is winst. Afhankelijkheid wordt niet langer ontkend, maar expliciet benoemd.
Tegelijkertijd blijft het debat steken op precies het punt waar het ongemakkelijk wordt. Zowel het LibreKAT-position paper als de schriftelijke inbreng van NLdigital blijven opereren binnen een risicomanagement-paradigma waarin afhankelijkheid als gegeven wordt geaccepteerd en digitale soevereiniteit wordt voorgesteld als iets dat men in gradaties kan vergroten.
Een glas water kun je bijvullen, verdunnen of half leeg laten staan. Digitale soevereiniteit werkt anders. Op het moment dat een externe actor afdwingbare macht heeft over data of sleutels, is het glas niet halfvol maar helemaal leeg.
Dit artikel betoogt dat die benadering fundamenteel tekortschiet. Digitale soevereiniteit is geen temperatuur die men kan bijregelen, maar een lichtschakelaar: aan of uit.
NLdigital stelt dat cloudgebruik en digitale autonomie moeten worden benaderd via het begrijpen, beoordelen en beheersen van risico’s. Leveranciersrisico’s verschillen per toepassing, per type data en per organisatie. De juiste balans moet worden gezocht op een spectrum tussen controle en capaciteit (NLdigital, 2026).
Die redenering is intern consistent, maar normatief leeg. Zij beantwoordt namelijk niet de kernvraag die bij vitale overheidsvoorzieningen onvermijdelijk op tafel ligt:
Is afhankelijkheid in dit geval überhaupt aanvaardbaar?
Zolang deze vraag niet expliciet wordt gesteld en beantwoord, blijft afhankelijkheid het impliciete uitgangspunt en wordt het debat gereduceerd tot optimalisatie van een situatie die principieel ter discussie zou moeten staan.
Het centrale probleem in zowel de LibreKAT- als de NLdigital-benadering is de conceptualisering van soevereiniteit als een gradueel verschijnsel. Meer audits, betere contracten, sterkere encryptie en volwassenere governance zouden de mate van soevereiniteit verhogen.
Dat is een categoriefout.
Soevereiniteit manifesteert zich niet in normale omstandigheden, maar uitsluitend onder dwang. Op het moment dat een externe actor — juridisch, technisch of operationeel — afdwingbare macht kan uitoefenen over data, sleutels of beschikbaarheid, is soevereiniteit afwezig. Niet gedeeltelijk, maar volledig.
Er bestaat geen ‘beetje soeverein’. Net zoals een lichtschakelaar geen halve stand kent.
NLdigital erkent terecht dat bepaalde wettelijke verplichtingen van leveranciers niet contractueel kunnen worden uitgesloten. Wetgeving zoals de Amerikaanse CLOUD Act en FISA Section 702 kan leveranciers verplichten tot geheime gegevensverstrekking, inclusief zwijgplicht (NLdigital, 2026).
De voorgestelde oplossing is risicoreductie: encryptie, beperkte toegang, ringfencing en verificatie.
Deze maatregelen kunnen de kans op misbruik verkleinen, maar zij elimineren de machtsrelatie niet. Encryptie zonder volledige en exclusieve sleutelcontrole is geen soevereiniteit, maar uitgestelde afhankelijkheid. Verificatie verliest betekenis zodra dwang geheim en niet-verifieerbaar wordt toegepast. Ook onderbreking van dienstverlening valt onder uitoefenen van macht; het maakt dan niet uit of data versleuteld is of niet.
Afsprakenrecht kan zichtbare processen reguleren, maar onzichtbare macht niet neutraliseren.
Deze logica is niet nieuw. In de zaak S. and Marper v. the United Kingdom oordeelde het Europees Hof voor de Rechten van de Mens dat het bewaren van DNA-profielen van niet-veroordeelde personen een schending vormt van artikel 8 EVRM (ECHR, 2008).
Doorslaggevend was niet aantoonbaar misbruik, maar het enkele feit dat de staat blijvende controle uitoefende over uiterst gevoelige data. Het Hof stelde daarmee impliciet vast dat rechten niet falen bij incidenten, maar bij machtsconcentratie.
Exact dezelfde normatieve grens geldt voor digitale infrastructuur: zodra een externe actor afdwingbare macht kan uitoefenen over vitale data of dienstverlening, is soevereiniteit afwezig.
Een terugkerend element in het risicodenken is de exit-strategie. Als overstappen mogelijk is, zo luidt de redenering, blijft de afhankelijkheid beheersbaar.
Dit miskent een fundamenteel punt: een exit die slechts mogelijk is zolang de leverancier meewerkt, is geen exit. In crisissituaties — precies het moment waarop soevereiniteit relevant wordt — verdwijnt deze veronderstelde keuzevrijheid.
Lock-in is niet primair contractueel, maar architecturaal. Wie de sleutels, data en diensten beheert, beheert de uitgang.
Recente voorbeelden tonen hoe Europese regelgeving Big Tech dwingt tot aanpassingen, zonder structurele afhankelijkheid op te heffen.
Deze voorbeelden tonen dat regelgeving gedrag kan sturen, maar geen soevereiniteit creëert. De machtspositie blijft intact; alleen de voorwaarden wijzigen.
Daarom is een andere benadering nodig. Bring Your Own Data and Keys (BYODK) is geen technische optimalisatie, maar een normatief en architecturaal grenscriterium.
Voor vitale overheidsvoorzieningen moet op vier binaire vragen ondubbelzinnig JA worden geantwoord:
Deze vragen zijn niet gradueel, maar binair. Voor vitale systemen geldt: viermaal JA of het systeem faalt de soevereiniteitsnorm.
BYODK vereist geen volledige overheidscloud met alle functionaliteiten. De overheid hoeft uitsluitend data en sleutels soeverein te beheren. Functionaliteit blijft uitwisselbaar en kan door marktpartijen worden geleverd via computing-to-data-architecturen.
Daarmee wordt de stap naar een soevereine overheidscloud niet groter, maar juist kleiner.
NLdigital waarschuwt terecht tegen zwart-witdenken. Niet alles hoeft soeverein te zijn. Dat is correct voor niet-vitale processen.
Maar DigiD en vergelijkbare kernvoorzieningen zijn vitaal. Zij vormen de ruggengraat van de democratische rechtsstaat en de toegangspoort tot publieke dienstverlening.
Voor dergelijke systemen is grijs beleid geen nuance, maar ontkenning van verantwoordelijkheid.
Digitale soevereiniteit is geen kwestie van betere risicomodellen, maar van expliciete politieke keuzes. Zolang afhankelijkheid impliciet wordt geaccepteerd en slechts technisch wordt ‘beheerst’, blijft de overheid digitaal kwetsbaar.
De vraag is niet of het goedkoper, efficiënter of innovatiever is om afhankelijk te blijven.
De vraag is of wij bereid zijn te accepteren dat vitale staatsfuncties onder externe afdwingbare macht vallen — en dat vervolgens nog soevereiniteit noemen.
AP News (2025) Meta will cease political ads in European Union by fall, blaming bloc’s new rules. Available at: https://apnews.com/article/89efeac96723308d2a0469740d24d433
European Court of Human Rights (2008) S. and Marper v. the United Kingdom, Applications nos. 30562/04 and 30566/04 Available at: https://hudoc.echr.coe.int/eng?i=001-90051
European Union (2024) Regulation (EU) 2024/900 on the transparency and targeting of political advertising. Available at: https://en.wikipedia.org/wiki/Transparency_and_targeting_of_political_advertising
TechCrunch (2024) Meta pauses plans to train AI using European users’ data, bowing to regulatory pressure. Available at: https://techcrunch.com/2024/06/14/meta-pauses-plans-to-train-ai-using-european-users-data-bowing-to-regulatory-pressure/
The Verge (2024) Apple may delay AI features in the EU because of its big tech law. Available at: https://www.theverge.com/2024/6/21/24183251/apple-eu-delay-ai-screen-mirroring-shareplay-dma
Reuters (2025) Meta to use public posts, AI interactions to train models in EU. Available at: https://www.reuters.com/technology/artificial-intelligence/meta-use-public-posts-ai-interactions-train-models-eu-2025-04-14/
Reuters (2024) Apple to delay launch of AI-powered features in Europe, blaming EU rules. Available at: https://www.reuters.com/technology/artificial-intelligence/apple-delay-launch-ai-powered-features-europe-blames-eu-tech-rules-2024-06-21/
Hier kan je reageren op onze artikelen en een inhoudelijke bijdrage leveren. Lees ook even onze huisregels.
Om te reageren dien je eerst aan te melden.
Reageer je voor de eerste keer? Registreer je dan hier.
