Vendor lock-in is een nationaal veiligheidsrisico
In een recent, zeer lezenswaardig artikel laat Dion Wiggins zien hoe afhankelijkheid van buitenlandse cloud technologie niet alleen een operationeel risico is, maar steeds vaker ook een geopolitiek risico. Eén enkele e-mail (“uw licentie is verlopen”) of een algoritme (“uw profiel is niet meer geldig”) kan volledige systemen en bibliotheken aan informatie ontoegankelijk maken. Digitale soevereiniteit, zo betoogt hij terecht, is geen luxe meer. Het is een voorwaarde om als organisatie — of land — te overleven.

Trieste praktijkvoorbeelden
De voorbeelden stapelen zich op:
- Het onderwijssysteem van Turkije stond op het punt stil te vallen door één licentiebericht van Microsoft.
- De infrastructuur van de Sun Yat-sen Universiteit werd binnen 48 uur gewist — onder druk van Amerikaanse exportregels.
- Telekom Deutschland raakte klem tussen Amerikaanse sancties en Europese wetgeving. Geen veilige keuze, dus geen soevereiniteit.
- Het Britse Department for Work and Pensions moest, na twintig jaar uitbesteed beheer, alles opnieuw opbouwen.
- Een Windows 11-gebruiker verloor 30 jaar persoonlijke data, zonder herstelmogelijkheid. Een beslissing genomen door een ‘machine’, inclusief verlies van de encryptie sleutel.
- Een Amerikaanse ondernemer werd door AI als “verdacht” aangemerkt en verloor toegang tot zowel medische data van zijn kind als zijn zakelijke identiteit.
Wie heeft de kill switch? Dat is de échte vraag. Want wie die bezit, bepaalt of jouw systemen blijven draaien. Als dat een buitenlandse partij is — of het nu een overheid, een cloudprovider of een algoritme is — dan is je digitale autonomie feitelijk een leaseconstructie. En die kan zonder waarschuwing worden beëindigd. Je bent in feite één algoritme verwijderd van je digitale dood.
Dit is geen IT, dit is geopolitiek
Wat we hier zien, zijn geen incidenten, maar signalen van een nieuwe realiteit. Digitale infrastructuur is niet langer alleen technisch — ze is territoriaal geworden. Cloudleveranciers die buitenlandse wetten handhaven, zijn niet langer neutrale dienstverleners. Ze worden verlengstukken van macht. Hun infrastructuur is geen nutsvoorziening, maar een drukmiddel. Geen IT-risico, maar een geopolitiek wapen. Zie mijn blog: ‘Van Zijderoute tot Dataknooppunt: Europa’s Digitale Renaissance’.
En het gaat sneller dan velen beseffen. Waar vroeger contracten werden gesloten met duidelijke eigendomsrechten, zien we nu het tegendeel: afhankelijkheden worden vastgelegd in eenzijdige voorwaarden, SLA’s en juridische vrijwaringen. De regie verschuift onzichtbaar — maar onverbiddelijk.
Digitale kolonisatie in slow motion
We bevinden ons in een fase van digitale kolonisatie. Infrastructuur, toegang, compliance — alles onder voorwaarden van partijen waarvan de loyaliteit buiten onze landsgrenzen ligt. En we hebben het nauwelijks in de gaten. Want het gaat sluipend: via licenties, API’s en juridische bepalingen die zelden gelezen worden, maar enorme consequenties hebben.
Cloud lock-in, juridische overmacht en gebrek aan transparantie zijn geen incidenten meer — ze zijn systemisch. Overheden, bedrijven en instellingen wereldwijd raken verstrikt in infrastructuurstapels die ze niet controleren, niet kunnen auditen en niet kunnen verlaten. Maar ondertussen vallen ze wél onder buitenlandse exportregels, sancties en politieke druk.
Soevereiniteit via abonnement betekent automatische gehoorzaamheid. Ook als dat haaks staat op nationale wetgeving of het algemeen belang. Zie mijn blog: ‘Cloud: de hardware en software van een ander’.
Iedere nieuwe laag maakt ons afhankelijker
De opkomst van AI versnelt deze afhankelijkheid. We geven externe systemen toegang tot onze processen, data, medewerkers en intellectueel eigendom — en betalen daar fors voor. Niet omdat het moet, maar omdat we ‘mee willen doen’. Om erbij te horen. Om geen achterstand op te lopen.
Maar iedere nieuwe digitale laag maakt ons kwetsbaarder. Niet alleen technisch, maar ook juridisch. Contracten bevatten steeds vaker eenzijdige bepalingen die het recht op eigenaarschap ondermijnen. De onderhandelingstafel is verdwenen. Wat overblijft is klik-acceptatie — zonder tegenmacht.
Digitale soevereiniteit is geen bedreiging, maar een herstart
Voor soevereine staten zijn de implicaties fundamenteel. Wanneer toegang tot kritieke infrastructuur afhankelijk is van buitenlandse goodwill, wordt beleidsvrijheid een illusie. En zodra digitale controle van buitenaf mogelijk is — zonder inspraak, zonder transparantie — ben je niet soeverein meer.
Het probleem is: niemand heeft écht eigenaarschap genomen over de definitie van digitale soevereiniteit. Digitale soevereiniteit is geen bedreiging. Het is een noodzakelijke herstart. Het is de erkenning dat digitale infrastructuur publieke infrastructuur is geworden. En dat wie die infrastructuur controleert, controleert ook het speelveld. Als je infrastructuur met één buitenlandse klik ingetrokken kan worden, dan is je land of organisatie niet soeverein — maar uitbesteed.
Het is tijd dat we onze infrastructuur opnieuw gaan inrichten — op onze voorwaarden.
Door: Hans Timmerman (foto)