De vraag of een Europees, open source alternatief voor de digitale werkplek werkt, is inmiddels beantwoord. De scherpere vraag is hoeveel afhankelijkheid je bereid bent te accepteren, want elke laag die je soeverein maakt, legt de afhankelijkheid in de laag eronder bloot.
Het Franse ministerie van Onderwijs heeft een werkend soeverein samenwerkingsplatform voor 1,2 miljoen mensen, maar houdt de groei in gebruikers bewust laag. Op dit moment zijn ruim 400.000 accounts actief op Nuage, de Franse Nextcloud-infrastructuur, en dat aantal mag van projectmanager Benoît Piédallu voorlopig niet te hard stijgen. Niet omdat de software het niet aankan, maar omdat de hardware eronder te duur is geworden. “We zitten midden in de AI-hardwarecrisis”, zegt Piédallu. “Opslag uitbreiden is op dit moment simpelweg te duur.” Het ministerie heeft bewust nog geen officiële communicatie naar zijn medewerkers gestuurd. De interne aankondiging die voor mei gepland stond, is vooruit geschoven om te voorkomen dat een plotselinge toeloop de huidige 1,2 petabyte aan opslag opvreet voordat de capaciteit is uitgebreid.
Het is een opvallend beeld: een koploper die de adoptie van zijn eigen soevereine platform afremt, niet vanwege een tekortkoming in de oplossing, maar vanwege de laag eronder: de opslagcapaciteit en de hardware die die groei moet dragen. Wie dacht dat soevereiniteit een softwarevraagstuk was, merkt dat het een keten is. Met andere woorden: je kunt software wel in eigen hand nemen, maar dan blijkt de volgende afhankelijkheid te zitten in opslag, rekenkracht of de chipketen daarachter.
Beleid loopt voor op praktijk
Dat maakt het debat groter dan één toepassing of één leverancier: het gaat om de hele digitale keten. Nextcloud-oprichter Frank Karlitschek, die dit jaar het tienjarig bestaan van zijn bedrijf viert, schetst op de Nextcloud Summit in München hoe het denken is verschoven. Zijn bedrijf bouwt open source samenwerkingssoftware, waarvan de broncode openligt en die organisaties zelf in beheer kunnen nemen, precies wat soevereiniteit in de praktijk vraagt. Waar mensen vroeger dachten dat IT een nutsvoorziening was die vanzelf uit de kraan komt, dringt het besef nu door dat IT strategisch is. “De huidige geopolitiek heeft dat versneld”, stelt hij. Soevereiniteit gaat daarbij niet om het vervangen van één product, maar om controle over de lagen daaronder.
Die verschuiving is niet alleen zichtbaar in bedrijven, maar ook in beleid. Op 3 juni presenteerde de Europese Commissie het Technology Sovereignty Package, een bundel maatregelen om de Europese afhankelijkheid van niet-Europese techleveranciers terug te dringen. Het pakket zet open source als principe voorop, koppelt daar een budget aan en een kader om de voortgang te meten. Voor Sachiko Muto, voorzitter van OpenForum Europe en senior onderzoeker bij onderzoeksinstituut RISE, is dat een mijlpaal waar ze naar eigen zeggen twintig jaar op heeft gewacht. De aanleiding is groot: volgens de Europese Commissie geven EU-landen jaarlijks meer dan 265 miljard euro uit aan digitale producten en diensten van buiten de Unie.
Dat de urgentie niet alleen in Brussel wordt gevoeld, blijkt uit de markt zelf. In het onderzoek Staat van Cloudsoevereiniteit van hostingprovider Leaseweb, onder 383 Nederlandse IT-beslissers, noemt 84 procent data-soevereiniteit een topprioriteit of belangrijk, en zegt 55 procent dat het belang de afgelopen twee jaar is toegenomen. Veelzeggend is vooral waar diezelfde beslissers naartoe willen: hun ideaalbeeld van de cloudarchitectuur schuift terug naar eigen regie, weg van het idee dat alles per definitie in de publieke cloud moet landen.
Aanbestedingen wijzen anders uit
Maar de retoriek loopt voor op de praktijk, en dat is nou precies waar het verhaal kantelt. Holger Pfister, VP DACH bij softwarebedrijf SUSE, een Europese open source-leverancier, ziet het in de aanbestedingen die nu uitkomen. De IT-tak van de Duitse krijgsmacht staat volgens hem op het punt de komende drie jaar een miljard euro te besteden, waarvan het leeuwendeel naar Amerikaanse leveranciers gaat. “Zo’n 95 procent gaat naar Amerikaanse, IP-gebaseerde leveranciers”, zegt Pfister. “Ondanks alle mooie woorden zie ik in de aanbestedingen geen verschuiving naar open source. Het is business as usual.”
Ron Trompert, senior consultant bij de Nederlandse onderwijscoöperatie SURF, ziet hetzelfde mechanisme, maar dan van de andere kant. SURF beheert de digitale infrastructuur voor het hoger onderwijs en onderzoek in Nederland, en biedt met SURFdrive een eigen, soevereine opslagdienst aan. Toch daalde het gebruik daarvan in 2024 met 20 procent. De reden is simpel: “OneDrive zit al ‘gratis’ in het Microsoft-pakket dat de meeste instellingen toch al afnemen, dus waarom zou je voor het alternatief kiezen”.
Adoptie is grootste uitdaging
Dat de discussie niet theoretisch is, blijkt uit organisaties die al daadwerkelijk zijn overgestapt. De Duitse deelstaat Sleeswijk-Holstein verwijderde Microsoft Office van het overgrote deel van zijn werkplekken, en bespaart daarmee 15 miljoen euro per jaar aan licentiekosten. Het Franse onderwijs draait op nationale schaal. Het Nederlandse SURF mikt op termijn op honderdduizenden gebruikers in het hoger onderwijs en onderzoek. En Amnesty International Spanje, dat al veertien jaar geleden de overstap maakte, geldt inmiddels als bewijs dat de keuze houdbaar is. “We werden radicalen genoemd omdat we het Microsoft 365-model niet adopteerden”, zegt de IT-manager Carlos López-Belenguer. “Tegenwoordig vragen mensen ons om advies, dus we hebben onderweg iets goed gedaan.”
De technologie is duidelijk niet het moeilijkste deel. De echte drempel ligt bij de gebruiker, en dat punt komt op de Summit uit verschillende monden. Philipp Eickhoff, Head of DWP CTO & Growth Central Europe bij Atos, noemt change management het meest onderschatte en tegelijk belangrijkste onderdeel van de hele reis. Nextcloud-CEO Karlitschek illustreert het met een anekdote over Nextcloud Office, dat aanvankelijk neutrale kleuren had. “Toen klaagden mensen dat Word blauw moet zijn, Excel groen en PowerPoint oranje”, zegt hij. “Technisch is dat zinloos, maar voor de acceptatie werkt het.” Lars Neumann, SVP T Cloud bij Deutsche Telekom, verklaart waarom grote IT-organisaties juist de Microsoft-laag niet durven aanraken. ‘Zelfs als maar 1 procent van driehonderdduizend gebruikers een probleem heeft, is dat al een aantal met enorme impact’, zegt hij.
Meerdere lagen van soevereiniteit
Wie de softwarelaag eenmaal heeft afgedekt, stuit op de volgende soevereiniteitsuitdaging. Die kwam op de Summit duidelijk naar voren, en dat zit hem in de hardware. Soevereine software moet ergens draaien, op opslag en rekenkracht, en juist die zijn schaars en duur geworden door de wereldwijde run op AI-infrastructuur. Piédallu loopt vast op opslag, López-Belenguer op rekenkracht. Een zelf-gehoste AI is volgens de Amnesty-manager het laatste puzzelstuk dat hij nodig heeft, maar de hardware is onbetaalbaar geworden. “Het is een grote crisis”, zegt López-Belenguer. “We voelen dat er geen rekencentrum is waarop we kunnen aansluiten.” Dezelfde wrijving zit aan de aanbodkant. Deutsche Telekom bouwt soevereine AI-rekenkracht, vertelt Neumann, maar doet dat op GPU’s van het Amerikaanse Nvidia. De afhankelijkheid van de softwarelaag verschuift zo naar de hardwarelaag.
Hoe diep die laag reikt, werd in München pijnlijk concreet toen het gesprek op de toeleveringsketen kwam. “Voor hardware heb je chips nodig, voor chips de machines van het Nederlandse ASML, voor die machines de lasers van het Duitse Trumpf”, zegt Neumann. “Sommige schakels hebben we in Europa volledig in handen, maar er zit altijd een stuk tussen dat we missen. Het laat zien dat we een mondiaal verbonden samenleving zijn.” Volledige soevereiniteit op elke laag zou de-globalisering vergen, en dat wil niemand. Karlitschek trekt de grens expliciet: “Ik denk niet dat het de bedoeling is om een muur om Europa te bouwen. Ik heb geen probleem met een wereldmarkt”, zegt hij. “Het probleem is een monopolie, zeker een monopolie dat in handen is van iemand die niet erg vriendelijk is.” Soevereiniteit, zo vat Neumann samen, gaat niet om alles zelf produceren, maar om de vrijheid om te kiezen.
De kracht van open source
Waarom dan toch open source, en niet simpelweg een Europese leverancier? Het antwoord dat op de Summit telkens terugkeert, gaat over eigendom. Karlitschek wijst erop dat Nextcloud nooit proprietary kan worden, omdat de code toebehoort aan iedereen die er ooit aan heeft bijgedragen. Een licentiewijziging is daarmee structureel onmogelijk, en wie twijfelt aan de richting van het project kan de code altijd afsplitsen. SUSE-VP Pfister trekt diezelfde lijn door naar de Europese discussie. ‘Buy European’ helpt de economie en de kennisopbouw, zegt hij, maar het is niet genoeg. “Als zo’n Europees bedrijf heel succesvol wordt, komt er iemand met diepe zakken die het opkoopt, en dan is het niet meer in Europese handen. Maar als het bedrijf gebaseerd is op open source, dan blijft de code voor iedereen beschikbaar, wat er ook gebeurt.”
Die garantie heeft een prijs, en die ligt in de bereidheid om kortetermijnfrictie te accepteren. Pfister maakt dat concreet aan de hand van virtualisatiesoftware, de techniek waarmee bedrijven hun servers efficiënt indelen. De markt wordt al jaren gedomineerd door het Amerikaanse VMware, en sinds chipfabrikant Broadcom het overnam en de prijzen opschroefde, zoeken klanten massaal naar een uitweg. Er bestaat een open source-alternatief, KVM, dat vijftien jaar geleden net zo goed had kunnen worden, zegt Pfister, maar waarin destijds nauwelijks werd geïnvesteerd omdat de proprietary-weg makkelijker was. “Nu kloppen klanten bij ons aan of ze KVM alsnog kunnen gebruiken”, zegt hij. “Maar er is vijftien jaar lang bijna geen geld en moeite in gestoken. Dan kun je niet verwachten dat het meteen net zo goed is als het product waar honderden miljoenen in zijn gegaan.”
Wat hij wel ziet, is een eerste kentering in houding. Waar klanten vroeger een alternatief afwezen zodra het niet alles kon wat hun vertrouwde software kon, nemen ze daar nu vaker genoegen mee. “Steeds meer klanten zeggen dat ze met tachtig procent van de functionaliteit kunnen leven, zolang ze maar niet weer vastzitten aan één leverancier”, zegt Pfister. Niet iedereen deelt dat optimisme. Aline Blankertz, Tech Economy Lead bij de Duitse anti-monopolie-organisatie Rebalance Now, waarschuwt dat openheid alleen de machtsongelijkheid met de grote techbedrijven niet verkleint. Haar organisatie bepleit een ouder en zwaarder instrument: het opbreken van techreuzen, zodat ze niet langer hele markten aan elkaar kunnen knopen. Een open alternatief naast een ongebroken monopolie verandert volgens haar weinig, omdat de dominante partij de schaal, de data en de macht behoudt om de spelregels te bepalen. Wie echt iets wil verschuiven, moet volgens haar direct die macht zelf aanpakken en niet louter een alternatief ernaast zetten.
Soevereiniteit als containerbegrip
Maar zelfs als de techniek werkt en de markt beweegt, blijft er nog een probleem over: het woord soevereiniteit zelf. Het is zo opgerekt dat het bijna alles kan betekenen. “Iedereen claimt het nu op te lossen”, zegt Karlitschek. “Een uur geleden probeerde hier op het event iemand mij een volledig proprietair product te verkopen als supersoeverein.” Dennis-Kenji Kipker, hoogleraar IT-beveiligingsrecht en oprichter van het Cyber Intelligence Institute in Frankfurt, is onverbiddelijk: wat organisaties als soevereine cloud wordt verkocht, is bij nadere beschouwing vaak niet meer dan een marketingclaim. De data staat weliswaar in Europa, maar de juridische toegang van buitenaf is niet afgesneden. Hij verankert het debat bovendien dieper in de tijd dan de actualiteit suggereert. “Veel mensen denken dat dit met Trump begon, maar we hadden er vijftien jaar geleden al over moeten praten, na Snowden”, zegt Kipker.
Blankertz legt nog een gevoeliger laag bloot. Het soevereiniteitsframe wordt volgens haar ook gekaapt door nationalistische en extreemrechtse krachten, die technologische autonomie presenteren als een manier om buitenlanders buiten de deur te houden. Niemand kan doen alsof technologie losstaat van politiek, en wie soevereiniteit serieus neemt als Europees project, moet die onderstroom benoemen.
Twintig jaar verkeerde keuzes
De afhankelijkheid waarin Europa zich nu bevindt, is volgens SUSE-VP Pfister geen natuurverschijnsel maar het resultaat van honderdduizenden inkoopbeslissingen die de afgelopen twintig jaar verkeerd uitvielen. Telkens werd de makkelijke, proprietary weg gekozen, en iedere keer werd de investering in een open alternatief uitgesteld tot de kennis om het zelf te bouwen en te onderhouden was weggezakt. De kernel-based virtualisatie (KVM) die organisaties nu missen, is daarvan slechts één voorbeeld.
Dat maakt de vraag voor de Europese CIO een andere dan of het alternatief bestaat. Dat is bewezen: Sleeswijk-Holstein deed het, het Franse ministerie van Onderwijs deed het, SURF doet het, en Amnesty International Spanje doet het al veertien jaar. De vraag is tot hoe diep in de keten hij de afhankelijkheid wil terugdringen, en welke frictie hij bereid is daarvoor te accepteren. Wie die rekening blijft doorschuiven, betaalt hem later, met rente. De afhankelijkheid verdwijnt niet, ze verschuift, van software naar hardware, van leverancier naar toeleveringsketen, van licentie naar GPU. Karlitschek zei het in München onomwonden: organisaties die vastzitten in digitale afhankelijkheid gedragen zich als mensen die een kapotte brug blijven gebruiken en ondertussen risicoanalyses schrijven in plaats van hem te repareren. Twintig jaar lang is dat moment uitgesteld. Steeds meer organisaties beginnen alsnog te repareren. De vraag is hoeveel hen volgen, en hoe snel.