Het debat over digitale soevereiniteit verdient een nuchterder toon. Dat vindt Dave Bakker, IT-professional en business consultant bij FrieslandCampina, die onlangs op persoonlijke titel een paper publiceerde waarin hij de juridische en technische claims in het soevereiniteitsdebat tegen het licht houdt. Zijn conclusie: veel van wat als vaststaande feiten wordt gepresenteerd, is een stuk complexer dan het debat suggereert.
Bakker volgt het debat al langer met een groeiend ongemak. “Sentiment en emotie spelen steeds vaker een rol, waarbij stellingen worden versimpeld of uit context gehaald en vervolgens als feiten worden gepresenteerd”, zegt hij. Dat stoorde hem dermate dat hij er een uitgebreid paper over schreef: ‘Digitale soevereiniteit en de mythe van de uit-knop‘. Wat hem tijdens dat onderzoek vooral opviel, is dat de discussie is gepolariseerd tot een binaire keuze. “Het woord digitale soevereiniteit is een soort zwart-witverhaal geworden: kies je voor open source, dan kies je voor soevereiniteit. Kies je voor een Amerikaanse hyperscaler, dan ben je dat automatisch niet”, legt hij uit. Dat is volgens hem een veel te simplistische weergave van de werkelijkheid.
Postzegeldiscussie
In zijn paper hekelt Bakker wat hij de ‘postzegeldiscussie’ noemt. Het vizier is vrijwel uitsluitend gericht op de grote Amerikaanse hyperscalers — Microsoft, AWS en Google — terwijl we ondertussen op tal van andere vlakken net zo diep verweven zijn met Amerikaanse technologie, en dat voor het gemak even vergeten. “Als je met je telefoon naar buiten loopt voor een locatiebepaling, worden jouw coördinaten bepaald door zo’n tweeëndertig satellieten — de helft Amerikaans, een deel Russisch en Chinees, en een paar Europese”, zegt Bakker. “GPS is zo gewoon geworden dat we er niet meer bij stilstaan. Maar ondertussen wordt het gewoon gevoed door satellieten die ooit vanuit de defensie-industrie zijn gebouwd. En dan heb ik het nog niet eens over alle Amerikaanse streamingdiensten en andere producten waar we dagelijks gebruik van maken. Als je nadenkt over hoe verweven dat allemaal is, dan is die discussie over de hyperscalers eigenlijk een postzegeldiscussie: we pakken één klein dingetje eruit en vergeten de rest.”
Bakker wijst in zijn analyse ook op de selectieve verontwaardiging in het debat. Zo is Apple, net als Microsoft, een volledig Amerikaans bedrijf dat onderworpen is aan exact dezelfde wetgeving, inclusief de veelbesproken Cloud Act. Toch hoor je nauwelijks oproepen om iPhones of iPads te weren. “Dat lijkt vooral te maken te hebben met imago”, schrijft Bakker in zijn paper. “Als Microsoft als ‘Big Tech-risico’ wordt neergezet en Apple buiten schot blijft, dan is dat geen rationele analyse, maar selectieve verontwaardiging.”
De mythe van de uit-knop
Een van de hardnekkigste verhalen in het huidige debat is de aanname dat een Amerikaanse president met één druk op de knop de Europese cloudinfrastructuur plat kan leggen. Hoewel zo’n centrale kill-switch in de praktijk een mythe is, snapt Bakker de fundamentele zorg over afhankelijkheid heel goed. De afhankelijkheid van grote technologieleveranciers is wat hem betreft een serieus governance-vraagstuk, en Bakker benadrukt dat organisaties moeten nadenken over een plan B en hun meest kritieke data gericht moeten beschermen. Maar hij pleit voor een gedegen risicoafweging in plaats van ideologisch wensdenken. “Je moet heel nuchter kijken: wat voor soort data hebben we eigenlijk? Dat moet je categoriseren”, legt hij uit. “Pas als je data hebt die juridisch zó explosief is dat openbaarmaking in een ander land funest zou zijn voor je bedrijfsvoering, dan moet je zorgen voor een plan B en het ergens anders hosten.”
Want de praktijk voor de gemiddelde IT-verantwoordelijke is weerbarstiger dan het debat doet vermoeden. Een middelgrote organisatie heeft al snel 30 tot 40 applicaties in gebruik, waaronder specifieke branchesoftware en legacy-systemen die naadloos met elkaar moeten communiceren. “Je kunt niet zeggen: we halen het Microsoft-component weg en dan zijn we digitaal soeverein”, legt Bakker uit. In een tijd van toenemende security-eisen en compliance-audits biedt een geïntegreerd platform bovendien veel praktische voordelen. “Het is gewoon comfortabel als je zoveel mogelijk geclusterd binnen één organisatie hebt. Audit en security regel je dan eigenlijk met één druk op de knop vanuit een compliance center.”
Bovendien stopt de afhankelijkheid niet bij de software die een organisatie zelf kiest — ook de leveranciersketen telt mee. Bakker illustreert dat met een concreet voorbeeld: “Stel dat je een Nederlandse brancheleverancier gebruikt die je niet kunt missen, maar die zijn data host bij Amazon. Dan kun je je eigen bestandsopslag naar Nextcloud hebben verplaatst, maar via die leverancier heb je toch nog een Amerikaanse schakel in je keten. Het is dus niet zo zwart-wit als het debat suggereert.”
Wie kiest voor een landschap van decentrale open source-oplossingen, heeft daarvoor een heel ander type organisatie en aanzienlijk meer resources nodig. Dat is niet voor elke commerciële organisatie weggelegd — en dat verklaart volgens Bakker ook direct waarom voorlopers in digitale soevereiniteit, zoals Nextcloud, momenteel vooral overheden bedienen en nog relatief weinig commerciële bedrijven. “Overheden kunnen het zich permitteren om vanuit een politieke ideologie te redeneren en zo een voorbeeldfunctie uit te dragen”, stelt hij. In het bedrijfsleven ontbreekt die luxe. Bij commerciële organisaties draait het primair om de dagelijkse operatie. “En dan kies je sneller voor technologie die bewezen werkt, die mensen kennen, en waarop je makkelijk kunt sturen als er iets misgaat.”
Combinatie van factoren
Toch ziet Bakker de hernieuwde aandacht voor digitale soevereiniteit als een positieve ontwikkeling. “Het heeft een soort sneeuwbaleffect gecreëerd waarbij organisaties meer kritisch gaan kijken naar hun data”, zegt hij. Wel heeft hij moeite met de slachtofferrol waarin Europa nu lijkt te schieten, alsof deze technologische afhankelijkheid ons plotseling is overkomen. “We hebben decennialang achterover geleund en gretig geprofiteerd van het gemak dat partijen als Microsoft en AWS ons boden. We hebben het zelf laten gebeuren.” De huidige geopolitieke schokgolf is volgens hem dan ook broodnodig. “Het betekent een enorme boost voor de werkgelegenheid en het jaagt nieuwe commerciële initiatieven aan”, zegt hij.
Bakker hoopt met zijn paper en zijn verhaal het debat te ontdoen van de luidste angstscenario’s. Het doel is uitdrukkelijk niet om specifieke leveranciers te verdedigen, maar om ruimte te maken voor nuchter risicomanagement en doordachte IT-architectuur. De discussie is inmiddels zo beladen dat wie probeert te nuanceren, al snel als verdacht wordt gezien. Toch hoopt hij hameren meer nuance te kunnen brengen en het soevereine debat naar een meer feitelijke benadering te sturen. De afhankelijkheid van niet-Europese technologie verdwijnt immers niet door één leverancier in de ban te doen of het debat te reduceren tot een simpele tegenstelling. “Het probleem is niet dat er geen risico’s zijn”, concludeert Bakker treffend. “Het probleem is dat deze risico’s worden gereduceerd tot één oorzaak, terwijl het in werkelijkheid altijd om een combinatie van factoren gaat. Dáár moet het gesprek over gaan.”