Terug naar Vancis

Deel dit artikel:

10 jul 2026

|

Gesponsord

Digitale soevereiniteit is een vijftig jaar oude vraag

Al in 1971 richtten de Universiteit van Amsterdam, de Vrije Universiteit en het Mathematisch Centrum samen een eigen rekencentrum op. De rekenkracht waar hun onderzoek van afhing wilden ze niet aan een externe partij overlaten; die hielden ze in eigen hand.

Dat rekencentrum heette SARA, later SURFsara. Er groeiden twee organisaties uit voort die er vandaag nog zijn: SURF, de coöperatie die de digitale infrastructuur van het Nederlandse onderwijs en onderzoek verzorgt, en Vancis, de spin-off die diezelfde kennis naar de zorg, de (semi-)overheid en het onderwijs bracht. De vraag waarmee het in 1971 begon, wie de controle houdt over de digitale ruggengraat van een organisatie, is inmiddels een vraag voor de bestuurskamer.

Een tijdlang leek die vraag niet zo relevant meer. In de jaren van de cloud won vooral het gemak. Zet data bij de goedkoopste en makkelijkste aanbieder, het liefst eentje die het hele beheer uit handen neemt. Dat het bijna altijd een Amerikaans bedrijf betrof, vond nauwelijks iemand bezwaarlijk. Inmiddels weten we beter, om drie redenen. De eerste is de Cyberbeveiligingswet, de Nederlandse invulling van de Europese NIS2-richtlijn. Zodra die naar verwachting medio augustus 2026 ingaat, zijn bestuurders persoonlijk aansprakelijk voor hun digitale weerbaarheid én die van hun leveranciers. De tweede is de AI Act, die organisaties dwingt aantoonbaar grip te houden op hun data en modellen. De derde is de Amerikaanse Cloud Act, die bedrijven met een Amerikaanse moeder kan verplichten data af te staan, waar ter wereld ook opgeslagen. Een Europees datacenter beschermt u daar niet tegen. Microsoft kon vorig jaar in de Franse Senaat niet garanderen dat gegevens van Europese klanten buiten het bereik van de Amerikaanse overheid blijven.

De combinatie van die drie maakt het urgent. Waar soevereiniteit lang een tamelijk vaag begrip was, wordt het in Europa nu concreet. De Europese Commissie werkt sinds dit voorjaar met een raamwerk dat de soevereiniteit van clouddiensten beoordeelt met scores. Daarnaast wil Brussel de Europese datacentercapaciteit de komende jaren verdrievoudigen. Bij aanbestedingen wordt soevereiniteit daardoor steeds vaker een harde eis. Enige nuchterheid is wel op zijn plaats, want een dienst die weliswaar in Europa draait maar een Amerikaanse eigenaar heeft, valt nog altijd onder de Cloud Act.

Wat betekent dat concreet? Niet dat u alles naar Nederland moet halen; zoiets is duur en remt vernieuwing. Bij de grote Amerikaanse aanbieders blijven is makkelijk, maar evenmin gratis. Elke euro die daarheen gaat, versterkt hun voorsprong en de lock-in die ons afhankelijk houdt, waardoor Europese alternatieven hun achterstand nooit inlopen. Soevereiniteit is daarom ook een investeringskeuze: wie voor Europese diensten en datacenters kiest, bouwt mee aan het alternatief. Het gaat dus om een bewuste afweging per soort data, waarbij telkens de vraag is welke afhankelijkheid u vergroot of doorbreekt. Nergens speelt dit sterker dan in het onderwijs en onderzoek. Universiteiten draaien op infrastructuur die mede bepaalt hoe kennis ontstaat, gedeeld wordt en beschermd blijft. Onderzoeksdata, internationale samenwerkingsverbanden en de gegevens van honderdduizenden studenten staan steeds vaker op systemen die onder buitenlands recht vallen. Dat gaat om privacy én academische vrijheid. Wie volledig afhankelijk is van één grote leverancier, geeft een stuk zeggenschap uit handen. Hoe reëel dat is, bleek eind 2023, toen het open-sourceplatform waarop de opslagdiensten van de Nederlandse kennissector draaiden werd overgenomen door een Amerikaanse partij. Plotseling stond ruim een petabyte aan onderzoeks- en studentdata onder een ander rechtssysteem. De sector wachtte niet af. Via SURF stappen inmiddels tientallen instellingen over naar een Europees alternatief op basis van open source.

Dit blijft niet beperkt tot universiteiten. Dezelfde factoren die het onderwijs nu tot keuzes dwingen, gevoelige data, internationale samenwerking en afhankelijkheid van een paar grote leveranciers, spelen ook voor de zorg, de financiële sector en de (semi-)overheid. Het onderwijs loopt vooral voorop doordat de afhankelijkheid er het grootst is. Wat daar nu gebeurt, is een voorbode van wat andere sectoren te wachten staat.

Soevereiniteit koopt u niet kant-en-klaar; dat bouwt een organisatie zelf op. Dat begint met een paar ongemakkelijke vragen die te lang bij de IT-afdeling zijn blijven liggen. Welke gegevens zijn écht kritiek? Onder welk rechtssysteem valt die op dit moment? Wie beheert de encryptiesleutels? En hoe snel kunnen we overstappen als een leverancier van eigenaar of van koers verandert? Dat zijn geen technische vragen, maar bestuurlijke. Het zijn in feite dezelfde vragen die de drie Amsterdamse instellingen zich in 1971 al stelden. Hun antwoord was simpel: doe het zelf, doe het samen en houd de regie. Een halve eeuw later is dat advies opnieuw actueel. Wie deze les uit het onderwijs serieus neemt, doet dat niet uit angst voor Brussel of Washington, maar gewoon uit eigenbelang.

Gesponsord