Strategische autonomie voorbij buzzwords: (on)afhankelijkheid moet meetbaar zijn

In dit artikel:

Digitale soevereiniteit is uitgegroeid tot een politiek trefwoord in Brussel en op internationale podia zoals Davos, maar in de praktijk blijft onduidelijk wat het precies betekent en hoe het gemeten kan worden. Grégoire Germain (medeoprichter en CEO van HarfangLab) betoogt dat de kernvraag niet zozeer het label is, maar of organisaties daadwerkelijk controle hebben over hun data, systemen en beveiligingsprocessen — ook tijdens incidenten.

Een concreet praktijkvoorbeeld illustreert de kloof: een Europees bedrijf onderzoekt welke beveiligingsrelevante data een endpointtool verzamelt en stelt drie eenvoudige vragen: waar wordt data verwerkt, wie heeft toegang en welke mogelijkheden zijn er voor aanpassing of incidentreactie? De antwoorden zijn teleurstellend: onvolledige documentatie, logbestanden buiten Europa opgeslagen en nauwelijks mogelijkheden voor individuele aanpassingen. Dat toont aan dat het gebrek aan controle vaak structureel is en niet uitsluitend technisch.

Germain wijst op problemen in cloud- en hostingrelaties: contracten kunnen opslaglocaties regelen, maar de feitelijke toegangsketen, update- en patchprocessen, en support- en incidentrespons blijven vaak ondoorzichtig en buiten Europa gepositioneerd. Complexe toeleveringsketens maken rolverdelingen en toegangsrechten moeilijk traceerbaar, en inkooppraktijken blijven vaak prijsgedreven in plaats van gericht op controleerbaarheid. Een peiling onder Nederlandse IT-beslissers toont dat 67% digitale soevereiniteit belangrijk acht bij securitykeuzes, ruim twee derde Europese afhankelijkheid van buitenlandse technologie ziet en 66% zich zorgen maakt over buitenlandse toezichtwetten op niet-EU-cyberproducten.

In plaats van het vage begrip soevereiniteit pleit Germain voor meetbare strategische autonomie, opgebouwd uit drie samenwerkende dimensies:
- Vertrouwelijkheid: technisch en juridisch weten wie toegang heeft tot gevoelige data, met verwerking binnen Europa en transparante toegangspaden.
- Integriteit: kunnen traceren wie systemen wijzigt, inzicht in code, architectuur en leveranciersafhankelijkheden, en controle over updates.
- Beschikbaarheid: operationele veerkracht en incidentrespons binnen een Europees juridisch kader, met escalatiepaden en de mogelijkheid om systemen onder crisisomstandigheden te blijven exploiteren.

Strategische autonomie vereist consistente architectuur- en inkoopkeuzes en systematische inventarisatie van afhankelijkheden langs deze drie dimensies. De markt alleen zal dit niet oplossen: aanbestedingen die vooral op prijs sturen houden afhankelijkheden in stand. Daarom is volgens Germain een Europees kader nodig dat veiligheid en veerkracht beloont — met nadruk op vertrouwen in toeleveringsketens, wederzijdse erkenning en verplicht gebruik van Europese certificeringen.

Als concreet voorbeeld noemt hij Frankrijk, dat Microsoft Teams en Zoom wil vervangen door een Frans videoplatform in alle ministeries en departementen tegen 2027, als onderdeel van een strategie om controle over kritieke digitale infrastructuur terug te winnen. Zonder harmonisatie van regels door Europa dreigt echter een lappendeken van nationale initiatieven, waardoor niet-Europese aanbieders hun structurele voordelen behouden.

Germain concludeert dat meetbare autonomie geen eigenschap van één technologie is, maar het resultaat van bewuste, gezamenlijke beleidskeuzes, inkoopstrategieën en technische architecturen die vertrouwelijkheid, integriteit en beschikbaarheid samenbinden.