Zelf sprak ik vanuit mijn rol bij Databeamer recent met veel verschillende professionals: investeerders, onderzoekers, ondernemers, auditors en potentiële klanten. Ik bezocht lezingen waaronder op de Zorg & ICT en Cybersec Brussel en las een aardige hoeveelheid vakartikelen over security, privacy en data-uitwisseling. Eén onderwerp dat voor ons al ‘vanzelfsprekend’ is, kwam hierbij telkens weer terug: digitale (Europese) autonomie en de twijfel bij bedrijven en organisaties om af te stappen van de vertrouwde Big Tech. Op dat vlak lijkt er in Nederland nog een behoorlijke slag te maken.
Brussel: een jaar verschil
Vorig jaar was Cybersec Brussel voor ons een bevestiging. We waren destijds al bezig onze eigen tech stack te herzien en zo veel mogelijk te vervangen door Europese onderdelen. Op de beurs werd dat pleidooi van alle kanten onderschreven; alle aanwezige (met name Franse) partijen claimden volledig Europees te zijn. Dit jaar waren de directe boodschappen in Brussel meer gericht op de risico’s van AI. Er lag een stuk minder expliciete nadruk op de digitale soevereiniteit, wat mij aanvankelijk verbaasde.
De verklaring bleek echter simpel: de beurs telde veel Franse bedrijven en voor hen is de keuze voor Europese software inmiddels geen statement meer. Het is de dagelijkse praktijk geworden, zowel bij de overheid als in toenemende mate bij het bedrijfsleven. De Franse bedrijven die ik sprak, leken de discussie al achter zich te hebben gelaten.
Natuurlijk waren er ook partijen (waaronder Nederlandse) die zich nadrukkelijk profileerden als Europees en ‘soeverein’ . De grap was dat een aantal van hen aangaf in Europa te hosten, maar dan wel bij de 'Europese Cloud' van AWS of Microsoft Azure. Voor mij voelt dat als een vorm van sovereignty washing. Juridisch gezien vallen zij qua hosting namelijk nog steeds onder de Amerikaanse Cloud Act. En dan hebben we het alleen nog maar over de hosting; laat staan welke diepere lagen van hun tech stack van Big Tech-origine zijn. Ook daar is de invloed van de Cloud Act of een zogeheten kill switch een reëel risico.
Volledig soeverein is een illusie, maar geen excuus
Ik schreef er al eerder over: absolute onafhankelijkheid van Big Tech is nauwelijks haalbaar. Een moderne technologiestack bestaat uit vele lagen en ergens sluipt er altijd wel een Amerikaans of ander buitenlands element tussen. Dat werd onlangs bevestigd door Gartner in het artikel “Almost all Vendors, including sovereign clouds, have a U.S. “Kill Switch” in their contracts”. Het blijkt bovendien uit de SEAL-score van de Europese Commissie, een methode om de mate van digitale autonomie van cloudproviders te meten van SEAL-0 tot SEAL-4. Hoewel SEAL-4 staat voor een situatie waarin de technologie en operatie voor de volle 100% onder controle van de EU staan (van de chips tot de applicatielaag) is er momenteel geen enkele Europese aanbieder die dit niveau haalt.
Dit gegeven mag echter geen vrijbrief zijn om het vraagstuk simpelweg te negeren.
Regelgeving: bescherming én obstakel
Europa werkt hard aan regulering op het gebied van cybersecurity en digitale weerbaarheid. Maar eerlijk is eerlijk: het is soms een wirwar van richtlijnen die elkaar overlappen of zelfs tegenwerken. Organisaties die willen samenwerken en gegevens moeten uitwisselen, lopen soms vast in wetgeving rondom het beroepsgeheim, de AVG of sectorale regels. Gelukkig wordt er op meerdere vlakken gewerkt aan stroomlijning, zoals met de Europese digitale omnibus of op lokale schaal met de Wet aanpak meervoudige problematiek sociaal domein (Wams). Europa moet de weg naar digitale autonomie, een gezond investeringsklimaat en de groei van nieuwe Europese bedrijven stimuleren met de juiste regelgeving, maar er tegelijkertijd voor zorgen dat deze wetgeving geen drempel of belemmering vormt
Op Cybersec Brussel deelde de directeur van CyberTrust Austria een scherpe observatie: pragmatisme en haalbaarheid moeten zwaarder wegen bij het beoordelen van leveranciers in de toeleveringsketen. Kleine Europese start-ups die exact dezelfde zware certificeringstrajecten moeten doorlopen als gigantische Amerikaanse techbedrijven, haken simpelweg af. En dat terwijl ze voor niet-bedrijfskritische toepassingen prima zouden voldoen. Een verstandige risicoafweging is hier meer op zijn plaats dan het blind hanteren van dezelfde lat voor iedereen.
Ook de aanpak van ENISA verdient een vermelding. Hun holistische kijk op cybersecurity – waarbij kennisinstituten, politiek en het bedrijfsleven samenwerken via organen zoals CSIRT, CyCLONe en de NIS-samenwerkingsgroep – laat zien dat Europa serieus werk maakt van gecoördineerde weerbaarheid. Al is er nog altijd ruimte voor een betere afstemming om overlap te voorkomen.
The Firewall en het recht om terug te bijten
Een ander sterk initiatief is The Firewall, een journalistieke stichting die zich richt op de macht, invloed en impact van grote technologiebedrijven op onze samenleving, democratie en economie. Ze beschrijvenzich niet enkel de misstanden, maar stappen waar nodig ook naar de rechter, gewapend met Europese wetgeving zoals de Digital Services Act (DSA) en de Digital Markets Act (DMA). Zij stellen terecht dat technologische complexiteit geen excuus mag zijn voor een gebrek aan transparantie. Bedrijven verschuilen zich te vaak achter vaag jargon om hun feitelijke werkwijze te verhullen (een vorm van de eerder genoemde sovereignty washing). Een van de doelen van The Firewall is om hier dwars doorheen te prikken. En kiezen bewust voor Nederlandse/Europese platformen of eigen beheer.
Het investeringsvraagstuk
Tijdens mijn gesprekken met investeerders stuitte ik op een interessant dilemma: als je als Europese software-start-up voluit inzet op soevereiniteit, betekent dit in de praktijk dat een overname door een Amerikaanse partij feitelijk onmogelijk wordt. En laten dat nu net de partijen zijn die de hoogste overnamewaarde bieden. Dit vooruitzicht weerhoudt Europese investeerders er soms van om in te stappen. Dit is een reëel dilemma, maar tegelijkertijd een self-fulfilling prophecy die de opbouw van een sterk Europees technologie-ecosysteem belemmert.
Geen tijdelijke trend
Ik hoorde van professionals bij verschillende partijen (waaronder een Nederlandse zorgorganisatie, gemeenten, leveranciers en investeerders) geluiden die mij oprecht verbaasden. Zij stelden dat de urgentie rondom digitale autonomie wel meevalt. De gedachte is dat zodra er in de VS een meer Europa-gezinde regering aantreedt, organisaties snel weer zullen terugvallen op de vertrouwde Microsoft- en Google-omgevingen. Daarbij werd de vergelijking getrokken met het publiek, dat een datalek na een halfjaar vaak alweer vergeten is.
Die mening deel ik absoluut niet. Europa heeft de afgelopen jaren pijnlijk ervaren dat bondgenoten en geopolitieke verhoudingen snel kunnen verschuiven. De lessen die we hieruit moeten trekken gelden voor energie, voedselzekerheid en defensie, maar net zo hard voor software en hardware. Dit hoor en lees je ook overal terug in analyses over strategische autonomie: de lange termijn moet leidend zijn, niet de waan van de dag.
Het recente artikel van Bert Hubert over digitale autonomie triggerde mij om mijn eigen ervaringen van de afgelopen weken op papier te zetten, uiteraard vanuit ons perspectief als Nederlandse start-up. Bert geeft in zijn stuk over digitale autonomie onder meer het volgende advies: begin met kleine maar betekenisvolle projecten op basis van Europese technologie, samen met partijen die echte betrokkenheid tonen bij het resultaat en de gebruikers. Gun die partijen de opdrachten. Alleen op die manier bouwen we het ecosysteem op dat nodig is voor echte onafhankelijkheid).
Onze eigen ervaring als leverancier
Als start-up met beperkte middelen maar de juiste intenties, lopen wij bij Databeamer precies tegen deze dynamiek aan. Wij bouwen een platform voor veilige, vertrouwelijke gegevensuitwisseling tussen organisaties op basis van een zero-knowledge architectuur: client-side versleuteld, inclusief het grootste deel van de metadata, zonder AI-scanning en volledig post-quantum gecodeerd om voorbereid te zijn op toekomstige dreigingen.
Ja, dat is een flinke lijst aan technische terminologie, maar wij proberen hierin wel maximale transparantie te bieden. Op onze website hebben we onze technologische opzet dan ook volledig uiteengezet. Daarbij tonen we bijvoorbeeld aan dat we een minimale, controleerbare hoeveelheid metagegevens bewust niet versleutelen, om zo een aantoonbare audit trail te kunnen bieden die organisaties op basis van wet- en regelgeving nodig hebben.
Technisch gezien zijn we op veel vlakken veiliger dan de gevestigde alternatieven. Toch merken we in de praktijk dat gemak en vertrouwdheid het nog te vaak winnen van veiligheid, autonomie en goede wil.
Maak de juiste keuze
De vraag is niet óf Europa digitaal zelfstandiger moet worden. De vraag is of men de urgentie tijdig genoeg voelt. Dus zowel blijven praten over soevereiniteit vlak onder de schaduw van het Atomium maar er tegelijkertijd ook simpelweg naar handelen. Kies bij uw volgende IT-project of aanbesteding voor een transparant, Europees alternatief. Start met kleine projecten en werk aan de juiste bewijsvoering van succes. Want autonomie begint naast de politieke of journalistieke intenties, vooral ook met de concrete keuzes die we vandaag zelf maken.