"Het is tijd voor een scherp, praktisch kader voor soevereiniteit: open source is sovereign source"

In dit artikel:

James Lovegrove, Director EMEA Government Affairs bij Red Hat, besprak tijdens de recente EU Open Source Policy Summit in Brussel het belang van digitale soevereiniteit en waarom organisaties hun afhankelijkheden nu systematisch moeten aanpakken. Hij gebruikt Maslows behoeftenhiërarchie als metafoor om te laten zien dat zonder solide basis (data en continuïteit) hogere digitale ambities kwetsbaar blijven. Red Hat ontwikkelde hiervoor ook een Sovereignty Readiness-assessment (door Chris Jenkins) dat als open source beschikbaar is op GitHub.

Kernpunten uit zijn betoog:
- Data- en informatiesoevereiniteit als fundering: organisaties moeten weten waar hun data fysiek staat, onder welk rechtsstelsel het valt en wie er daadwerkelijk toegang toe kan krijgen. Vooral publieke diensten, banken, energiebedrijven en zorginstellingen kunnen het zich niet veroorloven die basis onduidelijk te laten, omdat bedrijfszekerheid en besluitvorming daarvan afhankelijk zijn.
- Technologiecontrole als tweede laag: echte soevereiniteit vereist toegang tot broncode, ontwikkeling in open source-repositories met onafhankelijke governance, en voorkomen dat één leverancier de ontwikkeling of licentievoorwaarden kan monopoliseren. Dat geeft organisaties de vrijheid om workloads te verplaatsen en voorkomt dat een leverancier de toegangspoort tot cruciale systemen wordt.
- Operationele continuïteit als bovenlaag: organisaties moeten gegarandeerd kunnen blijven draaien als een leverancier wegvalt of als geopolitieke omstandigheden veranderen. Copyleft-licenties en open source maken het juridisch en praktisch haalbaar dat klanten of alternatieve partijen onderhoud en doorontwikkeling overnemen. Voor kritieke infrastructuur wordt rekening gehouden met tail risks zoals handelsbeperkingen; oplossingen omvatten onder meer in de EU gehoste code-repositories en support geleverd door in de EU gevestigde engineers.

Lovegrove benadrukt dat open standaarden alleen niet genoeg zijn: zonder concrete open source-implementaties blijft er vaak sterke afhankelijkheid van een beperkt aantal leveranciers bestaan. Daarom pleit hij voor een "open source, tenzij"-benadering, waarbij open source de standaardoplossing is, tenzij aantoonbaar ongeschikt voor een specifieke toepassing.

Digitale soevereiniteit is volgens hem geen louter IT-aangelegenheid. Naast CIO-verantwoordelijkheid raakt het governance, juridische risico’s, reputatie, commerciële flexibiliteit en geopolitieke exposure; de hele board moet mede-eigenaar zijn van de keuzes. Hij formuleert drie basale vragen die elke organisatie zich moet kunnen beantwoorden: weet je waar je meest kritieke data zich bevindt en onder welk rechtskader het valt; heb je daadwerkelijke keuzevrijheid in de technologie waarop kernprocessen draaien; en kunnen je belangrijkste systemen blijven functioneren als een leverancier morgen wegvalt of de geopolitieke context verandert?

Praktische implicatie: als je bij één van die vragen twijfelt, zijn de fundamenten van je digitale Maslow-piramide onvoldoende op orde en moet je prioriteit geven aan datazichtbaarheid, open implementaties en migratie- of overnamepaden. Open source fungeert daarbij niet als ideologisch doel, maar als instrument om continuïteit, keuzevrijheid en risicobeperking te verankeren.