Digitale Soevereiniteit

door Diana Wildschut
26 november 2025om 16:43u

Stel je voor dat de stadsbussen op afstand door de Chinese overheid kunnen worden geblokkeerd, dat de data van Amersfoortse burgers door de Amerikaanse overheid ingezien kan worden, dat grote technologiebedrijven de hele dienstverlening van de gemeente plat kunnen leggen... In de aanloop naar de gemeenteraadsverkiezingen organiseert de Stadsbron samen met de SGLA en De WAR een serie journalistieke café’s. Het doel is om inzicht te krijgen in de grote opgaven voor de komende jaren.

Op 13 november ging de bijeenkomst over digitale soevereiniteit.

Een functionerende samenleving is niet meer denkbaar zonder computers. Maar de stormachtige opkomst van digitale systemen heeft ook een afhankelijkheid opgeleverd van een klein aantal grote softwareleveranciers voor wie onze privacy, veiligheid en democratie niet de eerste prioriteit hebben.
Welke problemen brengt deze afhankelijkheid met zich mee? Kan de gemeente nog functioneren zonder de grote techbedrijven? En hoe zit dat op scholen? We gaan op zoek naar succesvolle strategieën die organisaties elders al hebben beproefd.

In het publiek zaten, naast geïnteresseerden uit de stad, raadsleden Christian van Barneveld (PvdD), Arie den Ouden (CDA), Harmen Niemeijer Scheffer (GL) en Henk Pijper (Beter Amersfoort).
Op het podium zaten Ton Zijlstra, expert in de transparantie en kwaliteit van de informatiehuishouding bij de overheid in Nederland en Europa, en Geert-Jan Meewisse die zich vanuit de Coalitie Eerlijk Digitaal Onderwijs verdiept in digitale privacy op scholen. Het gesprek werd gemodereerd door Björn Wijers, die zich bezighoudt met open en eerlijke software.

Ton Zijlstra trapte af met een presentatie over de dingen waar een overheid rekening mee zou moeten houden bij keuzes voor het gebruik van digitale systemen. De belangrijkste overwegingen zijn privacy, veiligheid, autonomie en soevereiniteit. Daarover moet een overheid nadenken bij ieder digitaal systeem dat gebruikt wordt. Volgens hem hebben overheden twee goede redenen om zich goed te verdiepen in deze overwegingen, namelijk hun wettelijke taken en hun voorbeeldrol.
Die onderwerpen hebben veel overlap en worden vaak door elkaar gehaald, dus maakt Ton ons het onderscheid duidelijk.

Privacy

Privacy gaat om de bescherming van persoonsgegevens. Daar heeft een overheid een vanzelfsprekende verantwoordelijkheid. Om de privacy van inwoners te garanderen moet een overheid kiezen welke persoonsgegevens er bewaard worden en hoe en waar die opgeslagen worden.
Goede uitgangspunten zijn om niet meer data te verzamelen dan je nodig hebt, en dat zo kort mogelijk te bewaren. En wat je dan over hebt, dat moet je veilig opslaan.

Autonomie

Autonomie zegt iets over de handelingsmacht die je hebt bij het gebruik van de technologie. Wat mag ik met de software die ik gebruik? Mag ik het zelf repareren als het stuk is? Mag ik weten wat de software ‘onder de motorkap’ doet? Mag ik het zelf aanpassen en uitbreiden? Ben ik eigenaar van de software als ik ervoor betaald heb? Kan ik overstappen naar een andere software-aanbieder of zit ik vast?

Als voorbeeld van wanneer dat relevant kan worden geeft Ton de tractors van John Deere, die een systeem hebben waarmee de tractor, op afstand door de fabrikant, uit kan worden geschakeld als hij gestolen wordt. Dat klinkt handig, maar de fabrikant gebruikt dat systeem ook als een boer bijvoorbeeld zelf een reparatie aan de tractor doet. Dan wordt de tractor uitgeschakeld. Heel vervelend als je de oogst van je land moet halen voor de hagelstorm van de komende nacht. In de voorwaarden voor de verkoop staat dat zelf repareren niet mag. John Deere claimde ook dat degene die de tractor koopt, niet de eigenaar is maar alleen een gebruiksrecht krijgt, met daaraan voorwaarden verbonden. Onderhoud door de fabrikant, en geen eigen reparaties. Zou het voor de autonomie niet beter zijn als de eigenaar zelf de tractor uit kan zetten als hij gestolen is?

Een ander voorbeeld komt uit Polen, waar treinen van de fabrikant Newag om onverklaarbare redenen plotseling uit begonnen te vallen. De fabrikant weigerde het probleem op te lossen. Hackers ontdekten dat het altijd gebeurde als een trein een paar keer naar een reparatiewerkplaats was geweest die niet verbonden was aan de fabrikant. Ook als er in die werkplaats nog niets aan de treinen was gedaan. De werkplaats had een tender voor het onderhoud gewonnen van Newag, die een hogere prijs hadden gevraagd. De hackers die waren ingehuurd om het probleem op te lossen vonden een stukje code in de software die ervoor zorgde dat de treinen geblokkeerd werden als ze zich langer dan een paar dagen op GPS coördinaten bevonden waar een reparatiewerkplaats was die niet van Newag was. Newag ontkende alles en startte een rechtszaak tegen de ingehuurde hackers.

De hackers ontdekten ook dat de software de treinen sowieso blokkeerde nadat ze een miljoen kilometer hadden gereden. Dat komt ook vaak voor bij consumentenproducten zoals printers. Er is zelfs een naam voor, planned obsolescence, ofwel opzettelijk ingebouwde veroudering. De EU werkt aan regels die deze praktijken verbieden.

Soevereiniteit

Soevereiniteit gaat nog een stap verder. Bij soevereiniteit gaat het erom of je beïnvloed kunt worden in de keuzes die je op andere terreinen maakt, dus buiten de het gebruik van de software. 

In de VS wil de overheid bij gegevens kunnen en zeggingskracht hebben over data en software van Amerikaanse bedrijven. Daarvoor werd in 2001 de Patriot Act aangenomen en in 2018 de Cloud Act. Ook bedrijven die elders gevestigd zijn en hun data buiten de VS opslaan vallen daaronder als ze onderdeel zijn van een Amerikaans bedrijf. Als je dus software gebruikt waar een Amerikaanse partij deel in heeft, bijvoorbeeld software van een bedrijf uit de VS, of gegevens die door middel van die software verzameld zijn.

Het is een misvatting dat, zolang de data op een Europese server staat, die niet kunnen worden ingezien door de Amerikaanse overheid, als die bijvoorbeeld verzameld zijn door het gebruik van Gmail, Whatsapp of Office 365. Het kan dus zijn, en sinds de regering van Trump aan de macht is weten we dat dat ook gebeurt, dat een andere overheid invloed uitoefent op buitenlands beleid, door de macht te gebruiken die ze hebben doordat we hun software gebruiken.

In een recent voorbeeld werd de hoofdaanklager van het Internationaal Strafhof in Den Haag door Microsoft de toegang tot zijn email geweigerd, als onderdeel van de sancties van president Trump tegen het Strafhof, vanwege diens onderzoek naar oorlogsmisdaden van Netanyahu, aldus het AP.
Als overheid moet je je daarvan bewust zijn als je besluit bepaalde digitale gereedschappen te gebruiken.

In het begin van de oorlog tussen Rusland en Oekraïne waren er juichende berichten dat John Deere de tractors die door de Russen gestolen waren uit had geschakeld. Dat klinkt op het eerste gezicht goed, aangezien de Russen de aggressor waren, maar de vraag is of je moet willen dat een bedrijf op deze manier geopolitieke macht heeft. Wat gaat het doen met tractoren in landen waar de VS een conflict mee krijgen?

Ook als je de algemene voorwaarden van digitale diensten hebt gelezen en er staat niets schadelijks in, dan moet je ze vaak goed in de gaten blijven houden. Vaak staat er in dat de voorwaarden elk moment kunnen veranderen. Ook moet je kijken wat er in staat over wat er met data gebeurt als een aanbieder van een dienst overgenomen wordt door een ander bedrijf.
Een recente zorgwekkende ontwikkeling is de overname van Solvinity door een Amerikaans bedrijf. Bij Solvinity zijn de data van DigiD opgeslagen. De CEO van Solvinity zegt dat de dienstverlening (het veilig opslaan van clouddata) niet in gevaar is. Maar dat is een belofte waar het bedrijf zich niet aan kan houden, vanwege de Amerikaanse Patriot Act en Cloud Act.

Lokaal

Dit zijn allemaal grote problemen waarvan je je af kunt vragen wat je er op lokaal niveau mee te maken hebt. Maar als lokale overheid maak je ook een keuze voor een cloudaanbieder om de data van je inwoners op te slaan. In Amsterdam heeft de gemeente voor Solvinity gekozen en werden ze pas een dag van tevoren op de hoogte gesteld van de overname. Vind op die termijn maar eens een nieuwe oplossing.

Goed, nog een voorbeeld om lokale relevantie te laten zien. Een Noors busbedrijf wil weten of hun stadsbussen, van Chinese makelij, in geval van oorlog door de Chinezen misbruikt kunnen worden. Ze ontdekken dat de bussen inderdaad op afstand uitgezet kunnen worden. In Denemarken is dit type bus 57% van alle stads- en streekbussen. Van deze mogelijkheid is (nog) geen misbruik gemaakt, maar het feit dat het kan betekent dat iemand anders macht heeft over lokaal vervoer

Deze soevereiniteitsproblemen kun je voorkomen door andere keuzes te maken. Bijvoorbeeld als je in plaats van een praktische keuze (kosten, gebruikersgemak) een conceptuele keuze maakt. Daarmee bedoel ik dat je als overheid kunt kiezen om alleen te investeren in Open Source projecten. Open source betekent dat de computercode die de basis is van de software, beschikbaar is voor iedereen die hem wil lezen. Als een project Open Source is kan elke programmeur dus zien of er malafide functies in zitten, zoals die blokkade van de Poolse treinen, of het doorsturen van data naar derde partijen.

Als overheid geef je veel geld uit aan licenties voor software van Amerikaanse Big Tech, geld dat nu over de grens verdwijnt, en waar je ook Europese, Nederlandse of Amersfoortse programmeurs in had kunnen huren. Daarmee zou je software hebben waar je volledige zeggenschap over hebt, die door iedereen gratis te gebruiken is, die je volledig in staat stelt om te voldoen aan je eisen voor privacy, autonomie en soevereiniteit. De organisatie Public Money, Public Code zet zich daarvoor in. Volgens hen zou je naast bovenstaande voordelen ook nog belastinggeld besparen, innovatie aanjagen en de lokale economie versterken. Ook als je een voorstander bent van marktwerking zou je dus voor deze systemen kunnen kiezen, in plaats van het steunen van monopolisten.

Het is overigens niet zo dat je alles van de grond af zelf zou moeten bouwen. Er bestaan al heel veel open source alternatieven voor de diensten waar de overheid gebruik van maakt en ook voor die waar de misschien lezer van dit artikel gebruik van maakt. Die alternatieven zijn vaak al heel goed uitgewerkt en gebruikersvriendelijk.

De alternatieven

Daarmee kom ik bij het verhaal van Geert-Jan Meewisse. Zijn kinderen kwamen tijdens de pandemie ineens met een Google account van hun school thuis, wat gevolgen heeft voor de privacy en de autonomie van kinderen, zie ons eerdere artikel. Ook leren kinderen op school dat het prima is om ongezien alle voorwaarden te accepteren die voorbijkomen bij het gebruik van niet-open source software. Om deze redenen richtte hij met ander bezorgde ouders de Coalitie Eerlijk Digitaal Onderwijs op. De coalitie brengt scholen in contact met alternatieve IT-oplossingen en werkt daarnaast aan bewustwording. Ook helpen ze een aantal pilotscholen met het volledig overstappen op open source systemen.

Naast zijn betrokkenheid bij CEDO schreef Geert-Jan mee aan de Delftse principes voor digitale soevereiniteit, dat unaniem door de Delftse gemeenteraad werd aangenomen.

Vrijheid door opensourcesoftware en contractafspraken: de gemeente zorgt voor vrijheid in haar digitale diensten, infrastructuur en de data van haar burgers. Dit betekent dat:

  • De gemeente bij aanbestedingen voor software of clouddiensten uitgaat van opensource-oplossingen tenzij er zwaarwegende redenen zijn waardoor een propriëtaire oplossing noodzakelijk is. Opensource wordt daarmee altijd een wens bij een aanbesteding en een eis als er op de markt opensource-oplossingen verkrijgbaar zijn.
  • De gemeente in contracten met leveranciers altijd duidelijke afspraken maakt over beëindiging en de mogelijke toekomstige transitie van de gekozen oplossing naar de gemeente Delft zelf en/of andere (markt)partijen. Denk hierbij aan afspraken als: alle belangrijke kennis en kunde documenteren, een exitplan en controleren op gebruik van open standaarden. Zo kan voorkomen worden dat een leverancier of dienstverlener er baat bij heeft om een exit zo complex en duur mogelijk te maken.
  • De gemeente in contracten met leveranciers altijd duidelijk afspraken maakt wat betreft het eigenaarschap van de data die wordt verwerkt. Uitgangspunt hierbij is dat de gemeente eigenaar is van alle data die essentieel zijn voor de gemeentelijke processen.

Gebruik van open standaarden: door gebruik te maken van open standaarden vergroot de gemeente de mogelijkheid om samen te werken met de omgeving, zowel binnen als buiten de gemeente Delft. Dit vermindert naast de afhankelijkheid van externe leveranciers ook de mogelijke exitkosten.

Inzetten op hergebruik: de gemeente kiest, waar mogelijk, voor hergebruik van bewezen publieke middelen (bijvoorbeeld in de vorm van opensourcesoftware) die al door andere gemeenten of (keten)partners zijn gerealiseerd. Naast software kan het hier ook gaan om documentatie zoals specificaties, ontwerpen en handleidingen.

Open tenzij: de door de gemeente ontwikkelde voorzieningen worden wanneer er geen beperkende factoren zijn, beschikbaar gesteld richting de omgeving zodat andere gemeenten, publieke instellingen, bedrijven en burgers hiervan kunnen profiteren. Dit verhoogt de duurzaamheid van onze publieke investeringen en verbetert de kwaliteit en veiligheid doordat de gemeenschap ook een bijdrage levert. Het delen van de broncode en algoritmes van de gemeente verhoogt de transparantie van de gemeentelijke processen.

Duurzame samenwerking: bij de doorontwikkeling van de digitale dienstverlening en processen kijkt de gemeente Delft hoe de samenwerking met andere gemeenten en overheden (of burgers) kan bijdragen aan een betere en duurzame dienstverlening voor Delftenaren, zeker bij ontwikkelingen of wetgeving die nieuwe software vragen.

De situatie van scholen is heel vergelijkbaar met die van overheden: Ze hebben de verantwoordelijkheid voor de veiligheid van data van anderen, die anderen vertrouwen erop dat die data veilig zijn, ze hebben een voorbeeldfunctie, ze hebben mensen in dienst die niet perse veel kennis hebben van digitale systemen en de bijbehorende vraagstukken, en ze maken veel gebruik van digitale systemen.

Voor het onderwijs maakte Geert-Jan een uitgebreid overzicht van open source alternatieven voor diensten die nu al veel door overheden of scholen worden gebruikt.

digitale_alternatieven.jpg

Enkele alternatieven voor digitale gereedschappen voor het onderwijs. Door Geert-Jan Meewisse (CC BY-SA 4.0).

Dat zou voor overheden ook handig zijn. Voor alles is al een alternatief beschikbaar en er zijn, vooral in andere Europese landen, al veel overheden en scholen die gebruik maken van deze ethisch verantwoorde software.
Het grootste probleem bij het overstappen naar open source systemen is de gebruikersacceptatie, niet de gebruikersvriendelijkheid. Een overheid of een school zou haar voorbeeldfunctie in kunnen zetten om die acceptatie te bevorderen.

Waar te beginnen?

Begin met samenwerken met andere overheden. Die zitten allemaal in hetzelfde schuitje. De Vereniging Nederlandse Gemeenten (VNG) heeft een position paper digitale autonomie geschreven. Het document liegt er niet om:

“De digitale autonomie van Nederlandse en Europese overheden staat onder stevige druk. Diverse belangrijke adviesraden als de Algemene Rekenkamer, de Cyber Security Raad en het Rathenau Instituut waarschuwen dat de afhankelijkheid van grote (niet-Europese) techbedrijven te aanzienlijk is geworden. In het licht van de huidige geopolitieke spanningen kent Nederland zorgwekkende strategische afhankelijkheden. Dit heeft directe gevolgen voor Nederlandse gemeenten. In de huidige situatie bestaan er namelijk grote risico’s voor het vermogen van gemeenten om zelf strategische keuzes te maken, voor het borgen van de continuïteit van de gemeentelijke dienstverlening en voor het beschermen van de gegevens van inwoners en ondernemers.”

De VNG kan dus een goed startpunt zijn voor die samenwerking.

Die samenwerking maakt ook dat je een grotere speler bent dan een enkele gemeente, en dat je makkelijke eisen kunt stellen aan de voorwaarden voor het gebruik van digitale diensten.

Sommige treinexploitanten, zoals SNCF, eisen dat in het koopcontract staat dat de software open source moet zijn. Als een klant groot en machtig genoeg is kan die dat eisen. In het kader van privacy, autonomie en soevereiniteit zouden overheden ook dat soort eisen moeten stellen.

Naast goed samenwerken kun je nog kijken naar wat je makkelijk nu aan kunt pakken. Ton zegt: “95% Kunnen we morgen anders gaan doen. Door iets kleins en makkelijks aan te pakken kun je de status quo doorbreken en dat heeft kracht want daarmee krijg je beweging. Je laat zien dat het anders kan. Dat is je voorbeeldfunctie.”
Je hoeft ook niet alles in een keer te doen. Pak nu aan wat je nu kunt. Als gemeente kun je dus kijken: Wat is het laaghangende fruit?

Betaalbaarheid

Maar waar betaal je dat van? Je moet zelf meer expertise in huis hebben of inhuren. Maar nu wordt er ook veel geld uitgegeven, geld dat vrijkomt bij overstap naar open source systemen. Overheden geven een enorm bedrag uit aan softwarelicenties, die je niet nodig hebt voor open source software. Daarnaast worden veel computers afgeschreven, niet omdat ze fysiek achteruitgaan of te langzaam zijn, maar omdat bijvoorbeeld Microsoft er geen updates meer voor beschikbaar stelt. Als een computer niet op Windows draait maar op het open source besturingssysteem Linux, dan overkomt dat de eigenaar niet.

Ik (DW) heb geen inzicht in de hoeveelheid geld die door de gemeente Amersfoort uit wordt gegeven aan licenties. Dat zou ik graag in een volgend artikel uitzoeken. Als we dat weten kunnen we een inschatting maken van hoeveel lokale mensen je nodig zou hebben om zelf de expertise en menskracht in huis te hebben om de digitale systemen goed te laten werken.

Aan de slag!

Ton Zijlstra eindigt met een oproep aan de lokale politiek: “We kunnen al 20 jaar niet meer verantwoorden dat we de gereedschappen van Big Tech nog gebruiken. Als je het lijstje met voorwaarden voor fatsoenlijk bestuur naast de algemene voorwaarden van die digitale diensten legt dan matcht dat niet. Wie gaat de status quo doorbreken? Het is aan ons om er beweging in te brengen.”

Dus om het maar even iets concreter te maken in het kader van de komende verkiezingen: Welke partij durft een statement in het verkiezingsprogramma te zetten? Je hoeft het wiel niet uit te vinden, vraag iemand als Geert-Jan en Ton om mee te denken. Want, geeft de VNG ons nog mee: “Technologie moet immers de samenleving dienen, en niet andersom.”

bijsluiter

Diana Wildschut is kunstenaar en wetenschapper en houdt zich bezig met de ethische kant van het gebruik van digitale systemen.

bronnen

Blog van Ton Zijlstra: https://www.zylstra.org/blog/2025/11/een-goed-gesprek-over-digitale-soevereiniteit-in-de-gemeente/

Cloud Act: https://en.wikipedia.org/wiki/CLOUD_Act

Patriot Act: https://en.wikipedia.org/wiki/Patriot_Act

John Deere Tractors: https://www.msn.com/en-us/money/companies/american-farmers-demand-right-to-repair-tractors-amid-rising-costs/ar-AA1QT48L

Overname Solvinity: https://www.computable.nl/2025/11/13/verkoop-van-solvinity-aan-kyndryl-valt-slecht-bij-nederlandse-overheid/
https://www.haarlemsdagblad.nl/binnenland/kabinet-bekijkt-gevolgen-overname-bedrijf-achter-digid/106717685.html

Noorse en Deense stadsbussen: https://www.zetland.dk/historie/svNwC3c5-aOPVxA4K-224e5

Public money, public code: https://publiccode.eu/nl/

CEDO: https://eerlijkdigitaalonderwijs.nl/

Interview Douwe Schmidt: https://destadsbron.nl/nl/Interview_met_Douwe

Delftse principes voor digitale soevereiniteit: https://delft.raadsinformatie.nl/document/10240009/1

Position Paper VNG: lin naar https://vng.nl/sites/default/files/2025-10/position-paper-digitale-autonomie.pdf

    nog geen reacties

(maak u bekend met uw volledige naam)

opmerkingen

Steun de Stadsbron!

U steunt ons met een gift via IDeal al met een bedrag vanaf 2 euro per artikel.

Draag bij!