De afgelopen jaren zijn er tientallen rapporten verschenen over digitale autonomie, digitale soevereiniteit en strategische afhankelijkheden. Vrijwel allemaal schetsen zij hetzelfde beeld. Europese overheden zijn in belangrijke mate afhankelijk geworden van een beperkt aantal internationale technologiebedrijven. Die afhankelijkheden raken niet alleen technologie, maar ook economie, veiligheid, geopolitiek en publieke dienstverlening.
Over de analyse bestaat inmiddels weinig discussie meer. De vraag die mij steeds vaker bezighoudt is een andere.
Waarom praten we nog steeds vooral over het probleem, terwijl we eigenlijk al weten wat er moet gebeuren?
Tijdens een recent seminar die ik mocht hosten als gastheer over digitale soevereiniteit viel op dat experts vanuit verschillende disciplines – van cloudarchitectuur en cybersecurity tot Europese samenwerking en publieke dienstverlening – uiteindelijk tot dezelfde conclusie kwamen. De grootste uitdaging ligt niet in de techniek. De grootste uitdaging ligt in het organiseren van regie. Want regie, dat is feitelijk de soevereiniteit waar we naar op zoek zijn.
Die conclusie sluit opvallend goed aan bij de recente verkenning van Gartner naar een soevereine cloud voor de Nederlandse overheid. Ook daarin wordt overtuigend beschreven waarom afhankelijkheden problematisch kunnen zijn. Tegelijkertijd laat de verkenning als bijvangst een tweede probleem zien: tussen ambitie en uitvoering gaapt nog een aanzienlijk gat.
We formuleren eindbeelden, maar geen transitiepaden
Een opvallend patroon in discussies over digitale soevereiniteit is dat we vaak beginnen bij het gewenste eindbeeld. Een volledig soevereine cloud. Volledige controle over data. Maximale autonomie. Europese alternatieven. Begrijpelijke ambities,maar de vraag is of ze helpen bij het nemen van besluiten in het hier en nu.
Want welke systemen verdienen daadwerkelijk het hoogste niveau van bescherming? Welke gegevens vormen de digitale kroonjuwelen van de overheid? Welke afhankelijkheden zijn acceptabel en welke niet? Juist die afweging ontbreekt vaak. Want we hebben dat inzicht in ons applicatielandschap nog onvoldoende in beeld. Daardoor ontstaat het risico dat soevereiniteit een generiek streven wordt dat op alles van toepassing is, terwijl de werkelijke opgave juist vraagt om differentiatie. Een identity-platform, een gegevensknooppunt of een voorziening waarop meerdere uitvoeringsorganisaties afhankelijk zijn vraagt immers een andere benadering dan een ondersteunende applicatie met een beperkt risicoprofiel.
De menselijke factor ontbreekt opvallend vaak
Wat mij daarnaast opvalt, zowel in beleidsstukken als in discussies, is hoe sterk de aandacht uitgaat naar infrastructuur, leveranciers en technologie. Veel minder vaak gaat het over mensen.
- Wie beheert de systemen?
- Wie beschikt over de kennis?
- Wie heeft toegang tot de data?
- Wie kan daadwerkelijk ingrijpen wanneer geopolitieke of juridische omstandigheden veranderen?
- Welke capabilities raken we kwijt binnen 5 – 10 jaar als gevolg van de golf van pensionados die er aankomt?
Formele soevereiniteit betekent weinig wanneer de operationele kennis, beheercapaciteit en expertise buiten de overheid zijn georganiseerd. Juist daar ligt misschien wel de grootste kwetsbaarheid. Niet in de cloud zelf, maar in het vermogen om die cloud te begrijpen, aan te sturen en zo nodig te vervangen. Kortom: de regie in handen hebben.
Digitale autonomie vraagt om architectuurdiscipline
Een ander terugkerend thema is gebrek aan naleving van onze architectuurafspraken. Vrijwel iedere overheidsorganisatie beschikt over architectuurprincipes. Vrijwel iedere organisatie onderschrijft het belang van standaarden, interoperabiliteit en herbruikbaarheid. Toch worden uitzonderingen vaak sneller geaccepteerd dan naleving. Want budget, gebruiksgemak of korte termijn doelstellingen worden hoger ingeschaald. Dat lijkt om het moment zelf vaak logisch en een goede afweging te zijn, maar juist dan ontstaan veel strategische afhankelijkheden.
Digitale soevereiniteit wordt uiteindelijk niet gerealiseerd door één grote migratie of een nieuw programma. Zij ontstaat door jarenlang consequent architectuurprincipes toe te passen. Door standaardisatie, vervangbaarheid, open koppelingen en uitvoerbare exitstrategieën als harde randvoorwaarden te behandelen in plaats van als wenselijke uitgangspunten.
De echte vraag
Misschien moeten we daarom stoppen met de vraag hoe een volledig soevereine cloud eruitziet. Interessanter is het om te kijken naar vragen als:
- Is de overheid in staat om onafhankelijk te blijven handelen wanneer omstandigheden veranderen?
- Kan zij leveranciers vervangen?
- Kan zij data verplaatsen?
- Kan zij identiteiten beheren?
- Kan zij dienstverlening voortzetten als geopolitieke verhoudingen verschuiven?
- Kan zij zelf voldoende kennis organiseren om richting te blijven geven?
Dat zijn uiteindelijk de vragen die bepalen of digitale soevereiniteit meer wordt dan een beleidsambitie. Want digitale soevereiniteit begint niet in de cloud. Ze begint bij bestuurlijke keuzes, architectuurdiscipline, vakmanschap en de bereidheid om regie daadwerkelijk te organiseren.
Soevereine innovatie
Digitale soevereiniteit raakt aan veel meer dan technologie. Het gaat over sturing, publieke waarden, verandercapaciteit en het organiseren van duurzame vernieuwing. In de opleiding Innovatiemanagement voor Overheidsprofessionals leren deelnemers hoe zij complexe vraagstukken zoals deze kunnen vertalen naar uitvoerbare strategieën, bestuurlijke keuzes en maatschappelijke impact.
Reflectievragen
- Welke digitale kroonjuwelen kent jouw organisatie en zijn deze expliciet benoemd?
- Welke afhankelijkheden zijn strategisch en welke zijn vooral operationeel?
- Beschikt jouw organisatie over voldoende kennis en capaciteit om kritische digitale voorzieningen zelfstandig aan te sturen?
- Hoe vaak wordt afgeweken van bestaande architectuurprincipes en wat zijn daarvan de gevolgen?
- Is digitale soevereiniteit binnen jouw organisatie een ambitie, of al onderdeel van concrete besluitvorming?