Het is uiterst urgent digitalisering bestuurlijk en politiek te maken, omdat de soevereiniteit van de gemeente op het spel staat. Om daarin handelingsruimte te vinden is het nodig goed onderscheid te maken tussen verschillende aspecten en perspectieven, die wel overlap vertonen met digitale soevereiniteit maar toch iets anders zijn. Teneinde die gevonden handelingsruimte te benutten is technische kennis nodig én een andere kijk op inkoop. Op twee manieren dient een gemeente daarbij over de eigen schaduw te springen. Ten eerste door minder krampachtig vast te houden aan de kamerindeling in het Huis van Thorbecke, zodat je voorkomt dat je ondertussen volledig opgehokt raakt in de cloud. Samenwerking binnen en over bestuurslagen heen is daarbij cruciaal om je digitale soevereiniteit te bewaren.
Ten tweede is het nodig enkele kleine maar zichtbare eerste daden te stellen. Daarmee laat je zien dat de status quo doorbroken kan worden, en dat mobiliseert vervolgens mensen in de eigen organisatie en daarbuiten.
Uiteindelijk is het voor een overheidsinstelling al heel lang niet geloofwaardig uit te leggen waarom je voor bepaalde non-Europese technologie kiest. Tijd voor actie.

De Stadsbron in Amersfoort organiseert in de aanloop naar de gemeenteraadsverkiezingen komend voorjaar een aantal gesprekken over diverse thema’s. Gisteravond was de eerste, rond het thema digitalisering, en vooral wat een gemeente t.a.v. digitale autonomie en soevereiniteit kan doen. Ik was gevraagd om vanuit ons werk bij The Green Land over digitale soevereiniteit te vertellen. In de zaal een diverse groep geïnteresseerden, met en zonder IT invalshoek, en een handvol leden van de Amersfoortse gemeenteraad.

Ik woon in Amersfoort maar weet niets van de informatiehuishouding van de Gemeente Amersfoort, dus mijn bijdrage ging vooral over patronen en invalshoeken die ik elders tegenkom.
Het eerste in het oog springende patroon is dat als het gaat over ‘digitale autonomie’ en ‘digitale soevereiniteit’, dat vaak als synoniem wordt gezien, en wordt samengevoegd met privacy en informatieveiligheid. Deels omdat de dreigingen voor alle vier kunnen overlappen.
Bovendien wordt hierbij vaak door elkaar heen gesproken over het individuele perspectief, en over organisaties.
Het openbaar bestuur heeft bovendien nog weer een andere positie en verantwoordelijkheden (jegens burgers, democratie en rechtsstaat) die meespelen.
Het is dus goed om te onderkennen wanneer je het over welk onderdeel hebt, en dat we het hier over weliswaar overlappende maar verschillende dingen hebben.

Bij digitale autonomie staat voor mij centraal dat je zelf controle hebt over de gereedschappen die je gebruikt. Jij bepaalt waar en hoe je ze inzet, en je kunt de werking instellen. De leverancier dwingt dan geen instellingen af, en neemt geen invloed op jouw gebruik van het gereedschap. Open source software bijvoorbeeld stelt je in staat de werking van je gereedschap precies na te gaan. De algoritmische bepaalde tijdslijnen in social media platforms als Facebook en X ontnemen je de mogelijkheid te bepalen wat je daar ziet en van wie je dingen ziet. Er zijn grote verschillen in hoe LLMs, de modellen achter generatieve AI toepassingen, wel of niet transparant maken op welke gegevens ze zijn getraind. De mate waarin een ander bepaalt of en hoe jij je digitaal gereedschap gebruikt is de mate van uitholling van jouw autonomie. Soms is dat heel navrant: de software in Poolse treinen detecteerde wanneer onderhoud plaatsvond in andere werkplaatsen dan die van de leverancier, en deed dan alsof de trein niet meer werkte. John Deere tractoren zijn op afstand uit te schakelen door de fabrikant. Handig bij roof, maar het werd ook gebruikt om boeren te dwingen niet zelf aan hun machine te sleutelen. JD betoogde in een rechtbank zelfs dat een boer een trekker helemaal niet in bezit had, maar alleen een licentie op gebruik ervan.

Digitale soevereiniteit gaat een stap verder dan digitale autonomie. Daar is de vraag of een leverancier (of een andere actor achter die leverancier) invloed neemt op wat je als organisatie doet, via hun controle over jouw gereedschap. Doe je als organisatie iets dat iemand anders onwelgevallig is, dan stopt de werking van je gereedschap. De invloed reikt dan dus verder dan alleen het gereedschap, en richt zich op de taken en belangen van je organisatie als geheel. Niet eens met de openbare aanklager van het internationaal gerechtshof? Dan werkt de e-mail niet meer. Voor het openbaar bestuur is digitale soevereiniteit cruciaal, om te zorgen dat het openbaar bestuur zelf, en alleen zelf, democratisch toetsbare besluiten kan nemen over hun werkingsgebied. Het is heel platgeslagen de vraag wie aan jouw ‘uitknop’ kan zitten.

En die vraag moet je elke keer opnieuw stellen. De Amerikaanse overheid claimt bijvoorbeeld sinds de Patriot Act (2001) en sinds de Cloud Act (2018) zeggenschap over alle Amerikaanse entiteiten, ongeacht waar die zich bevinden, en inclusief onderliggende entiteiten. Heeft een leverancier uiteindelijk een Amerikaanse eigenaar dan kan de Amerikaanse overheid die opdragen toegang te verschaffen of diensten te stoppen. Als na een overname een Amerikaanse speler eigenaar is geworden van een tot dat moment soevereine digitale oplossing, dan is die soevereiniteit daarmee verdwenen. Een recent voorbeeld: Solvinity biedt, naast al niet-soevereine cloud oplossingen via o.a. Microsoft Azure, ook een geheel eigen product aan waarop bijvoorbeeld Digid draait. Dat valt na overname onder Amerikaanse overheidszeggenschap. Het maakt daarbij niet uit of data en servers wel of niet in Nederland of Europa staan. Veel ‘soevereine cloud’ aanbiedingen zijn dat dan ook niet, domweg omdat er Amerikaanse leveranciers bij zijn betrokken, die uiteindelijk zullen moeten buigen voor eisen van de Amerikaanse overheid. Ongeacht of dat nu wel of niet in de praktijk voorkomt, de aanwezigheid van de mogelijkheid ondergraaft de soevereiniteit van het openbaar bestuur in Nederland (en de hele EU). Alle leveranciergaranties ten spijt, het fundament eronder is dan rot.

Hoe verklein je de afhankelijkheden, hoe werk je aan digitale autonomie en digitale soevereiniteit? Door na te gaan waar precies de problemen en afhankelijkheden zitten die effect hebben op privacy, digitale veiligheid, autonomie en soevereiniteit. Je pelt het af in lagen. Van kritieke grondstoffen die nodig zijn om bijvoorbeeld chips en computers te maken, via de hardware, fysieke infrastructuur, zachte infrastructuur als cloud en open source componenten, naar data, en toepassingen en diensten. Op elk van die lagen weeg je de risico’s en kun je het hebben over beschermende en mitigerende maatregelen. Eurostack en DOSA, dat ook door de Nederlandse overheid wordt gehanteerd, geven zo’n opdeling in lagen.

Eurostack, Bertelsmann Stiftung (PDF), licentie CC-BY NC ND

DOSA stapelmodel

Dat maakt het mogelijk om strategisch en bestuurlijk naar digitalisering te kijken, in plaats van het als technologie keuze bij de IT-afdeling te laten. En je ziet ook waarom hyperscalers een probleem zijn: ze bieden een stapeling van hun eigen hardware, cloud infrastructuur en data centers, plus databeheer, software en AI tools aan als een geheel.
Door te analyseren waar je als organisatie zelf van bent, en niet, en wat je zelf doet en niet, plus hoe dat is verschoven de afgelopen jaren, open je een directiegesprek over hoe dat zich verhoudt tot de taken en doelen van de organisatie zelf. Dat kan tot keuzes leiden weer meer zelf te doen, het aan anderen te laten, of om de samenwerking te zoeken met gelijksoortige organisaties. Onderstaande plaatjes komen uit een casus van een grote uitvoeringsorganisatie. Van belang is vooral het constateren van hoe er wordt uitbesteed waar je zelf als organisatie ook van bent. Met dergelijke uitbesteding verdwijnt ook belangrijke kennis uit je organisatie. In de uitkomst is het aanwijzen van plekken voor samenwerking belangrijk: in plaats van uitbesteden wordt met gelijksoortige organisaties samengewerkt om gezamenlijk met de juiste kennis en inkoopkennis een oplossing te vinden.

DOSA analyse, wat is er veranderd?

DOSA analyse, andere keuzes maken

Cruciaal daarin is het los van elkaar zien van de verschillende elementen die nu bijvoorbeeld bij een hyperscaler zijn ondergebracht. Welke alternatieven zijn er voor die losse elementen, of groepjes ervan? De ene geïntegreerde verticale kolom uit de stack vervangen door een andere is alleen het wisselen van wie je inmenging in je autonomie en soevereiniteit toestaat.
Dit proces vergt kennis van techniek, organisatie, en inkoop.

Aan de inkoopkant is het zaak factoren in de vereisten en in de weging op te nemen die de gewenste autonomie, soevereiniteit en ethische aspecten borgen. Nu is het veelal zo dat een IT inkoper niet in staat is dergelijke dingen te vergelijken met een door zo iemand als veel tastbaarder ervaren categorie als ‘total cost of ownership’. Er is geen prijs te bepalen voor je soevereiniteit als openbaar bestuur, die te verdisconteren is in de ‘TCO’. Inkopers hebben dus nieuwe taal nodig om zich rekenschap te kunnen geven van factoren die het functioneren van het openbaar bestuur kunnen aantasten.
In naam van efficiëntie worden nu IT-keuzes gemaakt die onnodige kwetsbaarheden introduceren. Doorgedreven efficientie maakt je organisatie en processen heel broos.
Dat bleek de afgelopen weken meerdere keren, weliswaar door storingen in plaats van een actor die bewust aan je uitknop zit maar met hetzelfde effect. In de VS viel een stukje van Microsoft Azure om en bij de NS kon geen OV fiets meer worden gehuurd, werkte de reisplanner niet en vielen de kaartautomaten uit. Een storing aan de Amerikaanse oostkust bij Amazon AWS verstoorde in Nederland Digid, de Belastingdienst, KPN en meerdere banken. Een instellingsfoutje in de VS dat Nederlandse kerndiensten (OV, belasting, banken, telecom) meteen verstoort. Want dat is efficiënt bij de aanschaf, echter zeer broos in de operatie.

Decentrale overheden bewaken in het Huis van Thorbecke nauwkeurig hun soevereiniteit ten opzichte van het Rijk. Dat is ook de reden dat ze hun eigen IT inkopen doen. Maar het wrange is dat men daarmee de soevereiniteit die men verdedigt tegen het Rijk uitlevert aan grote IT bedrijven. De grondwettelijk netjes ingerichte kamer in het Huis van Thorbecke verwordt zo tot een ophokplicht in de cloud.

De soevereiniteit die men verdedigt tegen het Rijk is uitgeleverd aan grote IT bedrijven.

Samenwerking biedt de weg naar voren, zodat je dingen kunt doen die buiten je eigen bereik liggen zonder je uit te leveren aan ondermijning van je soevereiniteit.
Dergelijke samenwerkingsmogelijkheden zijn ruimschoots voorhanden. De VNG uiteraard, en het overheidsbrede digitale overheid overleg (OBDO). Het is zinvol je als gemeente actief bezig te houden met de Nederlandse Digitaliseringsstrategie (NDS) en de interbestuurlijke datastrategie (IBDS). Op meer operationeel vlak zijn er ook genoeg mogeljkheden samen aan kennis en verandering te werken. Developer.overheid.nl, de open source policy officer bij BZK en het Rijks ICT Gilde zijn logische ingangen.
Europees is die samenwerking ook beschikbaar. Sinds kort is er de EDIC Digital Commons, een samenwerkingsverband van EU Lidstaten om met praktische projecten digitale autonomie en soevereiniteit in de publieke sector te versterken. Nederland is een van de oprichtende landen, en levert de voorzitter, in de persoon van de directeur CIO Rijk. In het algemeen is de Europese regelgeving t.a.v. data en digitalisering veel nadrukkelijker in te zetten als kwaliteitsinstrument voor de eigen informatiehuishouding en de IT-markt.

Beginnen met laaghangend fruit is ook belangrijk. Je hoeft niet met verandering te wachten tot je op papier een oplossing hebt voor de lastigste stukken van je IT-inrichting. Dat is eerder een vijgenblad voor niet willen veranderen. In beweging komen is een helder signaal naar de organisatie en de omgeving dat het openbaar bestuur de eigen digitale soevereiniteit en het beschermen van burgerrechten daarbij serieus neemt.
Feit is ook dat 80% van ons op het werk niet veel meer doet met IT dan technisch eenvoudige documenten schrijven en mailen. Dit betekent dat niets een organisatie in de weg staat om per direct bijv. de MS Office suite te verruilen voor bijvoorbeeld LibreOffice of de Nextcloud Suite. De paar mensen die met lastige macro’s of ingewikkelde spreadsheets werken laat je de switch dan later maken. Evenzo is het een heel eenvoudig maar wel sterk signaal naar buiten om per direct te stoppen met het gebruik van communicatiemiddelen die burgers vasthouden in van AI-gegenereerde inhoud en desinformatie vergeven advertentieplaforms als X en die van Meta (Facebook, Instagram, WhatsApp). Die stapjes lossen het soevereiniteitsprobleem niet op, maar ze doorbreken de status quo. Die status quo doorbreken is een noodzakelijk signaal om te laten zien dat verandering kan en dat jij en je organisatie daarin handelingsmacht hebben.

Want goed beschouwd is het voor het openbaar bestuur al zeker twee decennia niet fatsoenlijk uit te leggen waarom de huidige IT keuzes worden gemaakt, afgezet tegen autonomie, soevereiniteit, en het uitleveren van handelingsmacht aan derden. Op het kruispunt van de spelregels, zoals die uit de digitale markten en diensten verordeningen (DMA, DSA), de AVG, de Datagovernance en Data verordeningen t.a.v. interoperabiliteit en portabiliteit, en de zeer verschillende waardensets die geopolitiek langs digitale weg worden uitgedragen (Europa, VS, China) is het duidelijk welke afslag de overheid moet nemen. De soevereine weg, want anders is die weg.