Het debat over digitale soevereiniteit draait vooral om Europese onafhankelijkheid van Amerikaanse techreuzen. Maar voor organisaties speelt een andere vraag: blijven ze zelf de baas over de bedrijfskritische software waarop hun processen draaien? Volgens ICT-jurist Victor de Pous overschatten ze hun grip, want sturing op een leverancier is nog geen ingrijpen als die wegvalt. De norm moet verschuiven van regie naar zeggenschap en controle.
Digitale soevereiniteit staat hoog op de politieke agenda, maar dat debat gaat vooral over de staat, de cloud en infrastructuur. De software waarop een individuele organisatie haar kernprocessen draait, blijft veelal buiten beeld. En juist daar valt volgens De Pous het meest te winnen.
Maar hij wil eerst een stap terug. Soevereiniteit op organisatieniveau draait om twee dingen die je uit elkaar moet houden, zegt hij. “Het eerste is zeggenschap, oftewel beslissingsmacht. Mag jij bepalen wat er met een systeem gebeurt, kun je het aanpassen, stopzetten of vervangen? Het tweede is controle, de uitvoeringsmacht. Kun je die beslissing ook echt zelf uitvoeren, of ben je daarvoor volledig afhankelijk van je leverancier? Pas als je allebei hebt, ben je daadwerkelijk de baas over je software.” Die twee zaken samen zijn voor De Pous de toets voor échte softwaresoevereiniteit. De rest biedt hooguit grip op papier.
Grip ontbreekt
Het probleem is dat veel bestuurders denken al grip en regie te hebben. Er zijn contracten, er liggen service level agreements, er zijn certificaten en verwerkersovereenkomsten, en er is een leveranciersmanager die de relatie bewaakt. Op papier lijkt alles dus goed geregeld. Maar juist regie is volgens De Pous het meest overschatte onderdeel van het hele soevereiniteitsvraagstuk. “Leveranciersregie is geen norm, maar hooguit een middel, en een regieorganisatie is niet meer dan een mechanisme”, zegt hij. “Regie zonder afdwingbare rechten en feitelijke uitvoeringsmacht blijft afhankelijkheidsmanagement. Laten we ophouden regie centraal te stellen en het vervangen door zeggenschap en controle.” Een organisatie die regie voert, stuurt haar leverancier aan. Een soevereine organisatie kan zelf ingrijpen als die leverancier wegvalt.
Die illusie van grip zit volgens De Pous in vier blinde vlekken. Een organisatie kan vaak niet afdwingen dat ze de eigen data in een bruikbaar formaat terugkrijgt. Ze heeft geen gegarandeerde toegang tot de broncode, de configuratie, de sleutels en de documentatie die nodig zijn om het systeem opnieuw op te bouwen. Een exit is bovendien zelden getest. En er is geen alternatief, geen eigen beheerteam of andere partij, dat het systeem kan overnemen als de leverancier wegvalt. “De prijs van die illusie is dat de organisatie pas tijdens een crisis ontdekt dat zij geen handelingsopties heeft”, zegt De Pous. “Dan wordt betaald met downtime, noodmaatregelen, juridische vertraging, reputatieschade en soms jarenlange migratiekosten.”
Verstoring zonder uitweg
Hoe het ontbreken van controle uitpakt, werd in april zichtbaar bij ChipSoft, de leverancier van het patiëntendossier HiX. Naar schatting 70 procent van de Nederlandse ziekenhuizen werkt met dat systeem. Na een ransomware-aanval schakelde het bedrijf verbindingen als het Zorgportaal, HiX Mobile en het Zorgplatform uit voorzorg uit, en vijftien ziekenhuizen haalden preventief systemen offline. Later bevestigde forensisch onderzoek dat criminelen medische persoonsgegevens van enkele instellingen hadden ontvreemd. “Dat incident bewijst niet dat elk ziekenhuis zijn dossiers kwijt was”, zegt De Pous, “maar wel dat kritische zorgprocessen kunnen afhangen van koppelingen, portalen, apps, hosting en sleutels die buiten de eigen bestuursmacht vallen.”
Dat is voor De Pous de controle-kant. De vraag is niet of de leverancier betrouwbaar is, maar of de afnemer bij een verstoring nog genoeg eigen handelingsvermogen overhoudt. De ziekenhuizen die afhankelijk waren van de gehoste omgeving, konden weinig anders dan wachten tot ChipSoft de verbindingen stap voor stap herstelde. Maar de ziekenhuizen die de software in eigen beheer draaiden, bleven volgens hem grotendeels buiten schot. “Dat is softwaresoevereiniteit in de praktijk”, zegt hij.
De kwetsbaarheid zit ook in de concentratie, zegt De Pous. “Wanneer organisaties massaal op dezelfde leveranciers en softwareketens leunen, kan één storing of incident grote systemische gevolgen hebben.”
Overstap die vastloopt
Het belang van zeggenschap, de beslissingsmacht, laat zich het scherpst zien in een zaak rond het Universitair Medisch Centrum Groningen. Het UMCG werkt sinds 2015 met een patiëntendossier van het Amerikaanse Epic. Toen twee andere ziekenhuizen wilden aansluiten omdat hun eigen leverancier ermee stopte, vond marktleider ChipSoft dat dit gezamenlijke dossier opnieuw Europees moest worden aanbesteed.
In eerste aanleg kreeg ChipSoft gelijk, maar in hoger beroep oordeelde het gerechtshof in april anders. Het UMCG had in de aanbesteding van 2015 al gevraagd om een dossier waarop andere ziekenhuizen konden aansluiten, en mocht daardoor onder voorwaarden en in aangepaste vorm doorgaan, zonder nieuwe aanbesteding. Het ging om een kort geding; de bodemprocedure loopt nog.
Voor De Pous laat die zaak zien dat een strategisch softwarebesluit alleen uitvoerbaar is als de juridische route vooraf klopt. “De les is niet dat overstappen onmogelijk is, maar dat keuzevrijheid contractueel vooruit moet worden georganiseerd”, zegt hij. Wie uitbreidingsrechten, migratierechten, exit-rechten en aanbestedingsruimte niet vooraf vastlegt, kan met een strategische keuze jarenlang juridisch of operationeel vastlopen. Beslissingsmacht die niet vooraf is geborgd, is op het beslissende moment geen beslissingsmacht meer.
Nationaliteit als risicofactor
Hier wringt iets wat het soevereiniteitsdebat op zijn kop zet. De afhankelijkheid zat namelijk in beide zaken bij de Nederlandse marktleider. In de zaak rond het UMCG bood juist het Amerikaanse Epic een uitweg. “Die omkering toont aan dat soevereiniteit niet mag worden gereduceerd tot nationaliteit”, zegt De Pous. Een Nederlandse leverancier kan een bron van afhankelijkheid zijn als de klant te weinig exit-mogelijkheden, broncoderechten of operationele overnamerechten heeft. Een Amerikaanse leverancier kan in een concreet geval meer ruimte geven als contract en governance beter zijn ingericht. Bij Amerikaanse partijen blijven daarnaast wel risico’s rond jurisdictie en geopolitiek spelen.
Het nieuwe Europese kader maakt dat onderscheid scherper. De Cloud and AI Development Act, onderdeel van het Tech Sovereignty Package, introduceert voor het eerst vier soevereiniteitsniveaus voor clouddiensten. Niveau één eist verwerking en opslag in de EU, niveau vier eist volledige controle over de softwareketen zonder inmenging van derde landen. “Nationaliteit is een risicofactor, geen bewijs van controle”, vat De Pous samen.
Kader als kompas
Dat kader helpt, maar volgens De Pous niet vanzelf. De classificatie geeft inkopers begrippen en toetsingsniveaus, en koppelt die aan audits en publieke risicoafwegingen. Daardoor wordt het makkelijker om een soevereiniteitsclaim niet alleen commercieel, maar ook juridisch en technisch te beoordelen.
Dat is nodig ook, want soevereiniteit is inmiddels een verkoopargument. Leveranciers zetten de term als productlabel in. “Zulke claims zijn pas iets waard als ze contractueel afdwingbaar, technisch aantoonbaar en controleerbaar zijn”, zegt De Pous. Een inkoper moet een soevereiniteitsclaim dus behandelen als een bewijsclaim, niet als marketing.
Maar tot het niveau van de individuele organisatie reikt het Europese kader niet, zegt De Pous. “Voor een individueel ziekenhuis, een gemeente of een bedrijf is dat onvoldoende als het contract voor een bedrijfskritische applicatie geen antwoord geeft op broncode, configuratie, datamigratie, escrow, step-in, audit en exit”, zegt hij. Hij ziet de wet vooral als kompas dat een organisatie zelf moet vertalen naar de applicatie, het contract en de crisisoperatie.
Dat vertalen begint met de erkenning dat niet elk systeem evenveel soevereiniteit nodig heeft. De Pous onderscheidt commodity-software zoals e-mail, operationele systemen zoals een ERP-pakket, en strategische systemen die direct aan de kernactiviteit vastzitten. Een patiëntendossier is van die laatste categorie het scherpste voorbeeld, omdat het geen administratief systeem is maar de operationele basis voor klinische beslissingen. “Een dossier bevat niet alleen data, maar ook workflows, autorisaties, koppelingen en jaren aan procesoptimalisatie”, zegt hij. Overstappen wordt daardoor geen technische migratie, maar een herontwerp van de organisatie.
Dat herontwerp vraagt om meer dan een goed contract. Wie zeggenschap en controle wil afdwingen, kan kiezen uit een reeks instrumenten, van escrow en auditrechten tot exit-afspraken en broncodetoegang. Maar zonder de mensen, de kennis en de documentatie om een systeem zelf te draaien, blijven die rechten leeg. Het meest onderschat is volgens De Pous het step-in recht, het recht om zelf of via een aangewezen derde tijdelijk het beheer, het herstel of de migratie over te nemen. Broncode in een kluis heeft weinig waarde als niemand het systeem kan bouwen en draaien. “Zonder oefening is step-in een papieren nooduitgang”, zegt De Pous. “Mét oefening is het het hart van softwaresoevereiniteit.”