🇳🇱

BeLibre

Digitale Autonomie

BeLibre

Wat de academische wereld overheden vertelt over digitale afhankelijkheid

🖊️ Jurgen Gaeremyn
digitale soevereiniteit open source publieke sector gefedereerd bestuur

Er is iets aan het schuiven in het debat over digitale afhankelijkheid. Het gesprek in de publieke sector is geëvolueerd van waarschuwingen vanuit het middenveld naar parlementaire rapporten, van IT-conferenties naar kabinetsagenda’s. De academische wereld volgde dit al eerder dan het een beleidsprioriteit werd: Paul van Vulpen begon onderzoek te doen naar digitale soevereiniteit en gedecentraliseerd IT-bestuur toen geen van beide hoog op de agenda stond. Hij verdedigde zijn dissertatie Debating Digital Dominance: Decentralized Technology Governance For Strategic Autonomy aan de Universiteit Utrecht in januari 2026.

We danken hem daarvoor. Zijn werk geeft beleidsmakers een goed onderbouwd kader dat verder gaat dan de keuze tussen “blijf bij de huidige leverancier” en “bouw alles zelf.” Vrij beschikbaar via doi.org/10.33540/3269.

Dit artikel brengt zijn belangrijkste bevindingen in kaart voor de Belgische situatie en wijst op wat al mogelijk is.

Het structurele probleem, helder benoemd

Het centrale argument van van Vulpen is niet dat Amerikaanse techbedrijven kwade actoren zijn. Het is dat de economie van software digitale infrastructuur naar concentratie duwt: near-zero marginale kosten, netwerkeffecten en ecosysteemvergrendeling werken allemaal in dezelfde richting. Elke voldoende dominante actor zal uiteindelijk voorwaarden stellen die in zijn eigen belang zijn. Dat is geen slechte bedoeling van een actor; het is hoe markten met deze eigenschappen nu eenmaal werken.

Voor publieke instellingen is de consequentie tastbaar. Een gemeente of ziekenhuis dat in de praktijk niet kan overstappen van zijn kernsoftwareleverancier heeft zijn operationele continuïteit en de gegevens van zijn burgers gekoppeld aan een contract met een buitenlandse onderneming die onder buitenlands recht valt. Het recente datalek bij ChipSoft in Nederland (76% van de ziekenhuizen) en ook enkele Belgische ziekenhuizen illustreert dit punt duidelijk.

Van Vulpen bespreekt ook een verleidelijke binnenweg: het bouwen van een Europees equivalent van Microsoft of AWS. Hij onderzoekt dit pad en vindt dit ook risicovol. Macht centraliseren binnen één Europese entiteit, hoe Europees ook, reproduceert dezelfde structurele concentratie. Het probleem zit niet in de vestigingsplaats van het bedrijf; het zit in de mate van afhankelijkheid zelf.

Gefedereerd Technologiebestuur: de middenweg die werkt

Van Vulpen noemt het Federated Technology Governance (FTG): een hybride model tussen volledige centralisatie en volledige decentralisatie, die hij beide onwerkbaar acht in de praktijk. FTG is de conceptuele realisatie die het beste van beide combineert.

Een centrale autoriteit bepaalt architectuur, standaarden en langetermijnvisie. Gedecentraliseerde actoren verzorgen implementatie en lokale aanpassing. Strategie wordt collectief bepaald, niet door een kleine bestuurlijke laag. Het subsidiariteitsbeginsel geldt: lokale entiteiten behouden controle over hun gegevens en diensten binnen de gedeelde structuur.

Hij leent Eric Raymonds kathedraal-en-bazaarmetafoor en consolideert ze: de kathedraal symboliseert de top-down strak gearchitecteerde ontwikkeling van een project, de bazaar weerspiegelt de organisch gegroeide kleine projecten die inspelen op lokale noden. Waar Raymond ze als tegengesteld beschouwt, verweven ze elkaar in het FTG-model op een manier waarbij de twee benaderingen elkaar versterken. Wat we nodig hebben is een gestructureerde, op standaarden gebaseerde basis met een divers, open ecosysteem bovenop. De basis biedt coherentie; het ecosysteem biedt aanpasbaarheid.

Federated Technology Governance

Dit is geen theoretisch construct. Het gebeurt al, ook in België.

Wat experimenten in collectief bestuur ons leren

De tweede onderzoekslens van Van Vulpen richt zich op gedecentraliseerde autonome organisaties: collectieve bestuursstructuren waar regels expliciet worden gemaakt, vastgelegd en gehandhaafd door de gemeenschap zelf in plaats van door een centrale autoriteit. De technische implementaties die hij bestudeerde zijn voornamelijk op blockchain gebaseerd, maar de bestuurslessen zijn ook veel breder toepasbaar.

Het vertrekpunt is het werk van Elinor Ostrom over het bestuur van de commons. Ostrom observeerde dat gemeenschappen die gedeelde hulpbronnen beheren (visgronden, irrigatiesystemen, bossen) consistent slaagden of faalden op basis van het al dan niet hanteren van bepaalde bestuursprincipes: duidelijk gedefinieerd lidmaatschap, regels aangepast aan lokale omstandigheden, collectieve deelname aan regelgeving, monitoring, graduele sancties bij overtredingen, toegankelijke conflictoplossing en geneste lagen van organisatie die lokale autonomie mogelijk maken binnen een bredere structuur. Gemeenschappen die deze principes misten, neigden naar wat Hardin de tragedie van de commons noemde: individueel rationeel gedrag dat collectieve schade produceert.

Van Vulpen past dit direct toe op gedeelde digitale infrastructuur. Elke gemeente die IT-software individueel aankoopt handelt rationeel vanuit eigenbelang. Het collectieve resultaat - gefragmenteerde systemen, gedupliceerde kosten, geen gedeelde onderhandelingsmacht en oplopende leveranciersafhankelijkheid - is het digitale equivalent van overbegrazing. De commons-literatuur suggereert dat de oplossing niet ligt in centrale controle of volledige privatisering, maar in een derde weg: gestructureerd collectief bestuur door de betrokken stakeholders zelf.

Wat het DAO-onderzoek toevoegt is een reeks concrete ontwerpinzichten over wat dat collectief bestuur in de praktijk laat werken of falen.

Expliciete constituties doen er toe. De DAOs die goed functioneerden hadden oprichtingsdocumenten die collectief lidmaatschapsgrenzen, besluitvormingsprocessen, conflictoplossingsmechanismen en sancties bij overtredingen definieerden. Diegene die steunden op impliciete normen of informeel leiderschap neigden naar fragmentatie of werden gekaapt. Voor een gedeelde publieke softwarecoöperatief betekent dit dat het bestuurdocument geen bureaucratische formaliteit is, maar de structurele basis die voorkomt dat de coöperatief wegdrijft naar de belangen van haar meest actieve of meest gefinancierde leden.

Infrastructuur decentraliseren is niet hetzelfde als bestuur decentraliseren. Dit is een van de scherpste bevindingen van van Vulpen. Verschillende DAO’s decentraliseerden hun technische infrastructuur, data en berekeningen verspreid over vele knooppunten, terwijl strategische beslissingen bleven in handen van een kleine oprichtergroep of een enkele beheerderssleutel. Het resultaat was de schijn van decentralisatie zonder de inhoud. De les voor publieke IT is dat het runnen van eigen servers je niet soeverein maakt als de softwarestrategie, roadmap en leveranciersrelaties elders worden beheerd. Wat telt is wie de strategische laag beheert.

Incentive-ontwerp is een reëel probleem. Gedeelde softwareprojecten worden geconfronteerd met een free-rider-dynamiek: het is rationeel voor elk individueel lid om de gedeelde hulpbron te gebruiken zonder bij te dragen aan het onderhoud of de ontwikkeling. Succesvolle DAO’s investeerden sterk in het ontwerpen van bijdragestimulansen: reputatiesystemen, financiële beloningen en wat van Vulpen een participatiecultuur noemt. iMio pakt dit aan via zijn in-house aanbestedingsprincipe en co-productiemodel, waarbij gemeenten collectief de features financieren die ze nodig hebben. Dat is een incentivestructuur, ook al noemt niemand het zo.

De faalpatronen zijn leerzaam. Van Vulpen documenteert gevallen waar bestuur werd uitgebuit: een DAO waarvan de schatkist werd leeggeroofd via een vijandige bestuurspropositie, een andere waarbij een enkele beheerderssleutelhouder in feite een nominaal gedecentraliseerde organisatie beheerste. Dit zijn geen exotische randgevallen. Elke gedeelde publieke IT-structuur die effectieve controle concentreert bij één beheerder, één leverancier of een kleine oprichtersgroep, draagt dezelfde structurele kwetsbaarheid, ongeacht hoe de bestuurdocumenten zijn opgesteld.

Het achtste principe van Ostrom is misschien wel het meest direct relevant voor België: geneste lagen van organisatie, waarbij lokale entiteiten autonomie behouden binnen een bredere gefedereerde structuur, en waarbij lokale jurisdictie wordt erkend door hogere autoriteiten. Dat is grosso modo het model dat iMio de afgelopen tien jaar heeft opgebouwd in Wallonië.

iMio: een Belgische blauwdruk die al meer dan tien jaar draait

In het midden van de jaren 2000 besloten twee kleine groepen Waalse gemeenten, vijf in elke groep, te stoppen met individuele IT-aanbesteding en samen te gaan bouwen. Ze creëerden gedeelde open-source tools voor gemeenteraadsvergaderingen, vergunningsbeheer en burgerportalen. In november 2011 fuseerden die twee gemeenschappen tot iMio (Intercommunale Mutualisation Informatique et Organisationnelle), met steun van de Waalse regionale overheid.

Vandaag bedient iMio 404 lokale overheden, waaronder 244 van de 262 Waalse gemeenten (93%), samen met provincies, OCMW-centra, politiezones en brandweerzones. Zo’n 25.000 ambtenaren gebruiken het platform dagelijks. Het jaarlijkse werkingsbudget bedraagt €6 miljoen, volledig gedekt door ledenbijdragen zonder structurele subsidies van het Waals Gewest. iMio is financieel zelfbedruipend sinds 2021.

Het bestuursmodel is even opmerkelijk. De algemene vergadering telt 362 leden. Gemeenten bepalen de productroadmap. Wanneer een nieuwe functie nodig is, controleert iMio eerst of er elders al iets bestaat voordat het zelf bouwt. Als het bouwt, wordt de code openlijk gepubliceerd voor hergebruik door iedereen.

iMio won in 2017 de Europese Sharing and Reuse Award van de Europese Commissie. Het is een werkende publieke instelling die stilletjes heeft aangetoond, hier in België, dat het gefedereerde model dat Van Vulpen beschrijft op schaal haalbaar is.

Ook Vlaanderen heeft zijn verwezenlijkingen. Het MAGDA-platform, een gegevensuitwisselingsdienst gebruikt door 190 agentschappen en 30 departementen van de Vlaamse overheid en 308 lokale besturen, won de tweede prijs in dezelfde awards van 2017 en werd nadien gecontacteerd door Nederland, Frankrijk en Duitsland voor grensoverschrijdende toepassingen. Digitaal Vlaanderen publiceert componenten openlijk op GitHub, waaronder MAGDA-tooling en het OSLO-vocabulaireframework voor gelinkte overheidsgegevens. Vlaanderen werkt ook met SOLID voor burgergegevenspods en deed een grote publieke investering in de technologie. Dit zijn productiesystemen, geen experimenten.

België begint duidelijk niet van nul. De vraag is hoe we op deze fundamenten voortbouwen op een meer systematische manier.

Hoe België eruitziet van buitenaf

BeLibre heeft het afgelopen jaar de Belgische publieke sectorafhankelijkheid van Amerikaanse cloudinfrastructuur in kaart gebracht. Het beeld dat ontstaat is geen gevolg van bewuste keuzes. Het is het geaccumuleerde resultaat van individuele aanbestedingsbeslissingen, elk lokaal verantwoord, zonder coördinerend kader om het totaalplaatje te beoordelen.

Alle Belgische politiezones gebruiken Microsoft 365 via een gecentraliseerd raamcontract. In de zorgsector brachten we 158 instellingen in kaart: afhankelijkheid van Amerikaanse cloudproviders voor klinische systemen, beeldvormingsinfrastructuur en administratieve software is wijdverspreid.

Dit is het patroon dat van Vulpen beschrijft: individueel rationele beslissingen die een collectief significant resultaat opleveren: voor elke gemeente of publieke dienstverlener is een lokaal ontwikkelde oplossing veel duurder en minder rijk aan functies dan het aanbod van grote spelers zoals Microsoft of Google. Elke instelling koos wat beschikbaar, betaalbaar en ondersteund was. De cruciale vraag is nu: wat verandert er als gemeenten of ziekenhuizen de krachten zouden bundelen? Hoe wijzigt dat de vergelijking? Het iMio-verhaal illustreert wat van Vulpen postuleert: de businesscase verbetert fundamenteel voor een collectief ontwikkelde oplossing.

Er is ook een juridische dimensie die het vermelden waard is. In voetnoot 82 van de dissertatie stelt van Vulpen een vraag over de Nederlandse situatie die ook van toepassing is op België. Microsoft valt onder de Amerikaanse CLOUD Act, die Amerikaanse rechtshandhavings- en inlichtingendiensten toegang geeft tot gegevens die worden bewaard door Amerikaanse bedrijven, ook gegevens die buiten de Verenigde Staten zijn opgeslagen. De Nederlandse Algemene Rekenkamer merkte op dat bijna de volledige Nederlandse centrale overheid overstapte naar Microsoft 365 en vroeg: betekent dit dat de Amerikaanse overheid alle informatie kan raadplegen die de Nederlandse overheid over haar burgers bijhoudt?

De CLOUD Act vereist geen verdrag over wederzijdse rechtshulp. Ze vereist geen kennisgeving aan de betrokken overheid. België bevindt zich in dezelfde positie. We behandelden de structurele juridische beperkingen uitvoeriger in onze SEAL-gebaseerde beoordeling van Microsofts soevereiniteitsclaims.

Wat het onderzoek overheden aanraadt

De beleidsaanbevelingen van van Vulpen (secties 9.3.4 en 9.3.5) zijn concreet. Geen enkele vraagt om met een propere lei te beginnen.

Verplicht opensource in overheidsopdrachten. Infrastructuur waarvan publieke instellingen afhangen, mag niet gesloten broncode zijn. Een opensource vereiste stimuleert hergebruik en transparantie, en geeft instellingen de praktische mogelijkheid om te controleren wat ze gebruiken. iMio is het bewijs.

Hervorming van aanbesteding om een markt op te bouwen. Voorrang geven aan Europese en binnenlandse softwareleveranciers creëert de klantenbasis die een levensvatbaar Europees software-ecosysteem mogelijk maakt. Vraag bepaalt wat er gebouwd wordt, en overheidsopdrachten zijn een van de krachtigste hefbomen die een overheid heeft.

Investeer in soevereine cloudinfrastructuur. Geen enkele Europese cloudprovider opereert momenteel op de schaal van AWS of Azure. Europese overheden draaien kritieke diensten op infrastructuur die onder niet-Europese jurisdictie valt. Dit aanpakken vereist langetermijn publieke investering met een duidelijk mandaat, niet een nieuwe aanbestedingsronde.

Bouw op Linux voor de besturingssysteemlaag. Er bestaat geen volledig Europees gecontroleerd besturingssysteem in breed publiek gebruik. Van Vulpen stelt voor om op Linux voort te bouwen om veilige, controleerbare besturingssystemen te ontwikkelen voor overheids- en strategische toepassingen. De Duitse overheid is voor specifieke gebruiksgevallen al deze weg gegaan.

Financier opensource als langetermijn publiek goed. Het Duitse Sovereign Tech Fund ondersteunt opensource infrastructuur zoals overheden wegen financieren: gedeelde publieke infrastructuur, geen commercieel product. Het Next Generation Internet-programma van de EU beweegt in dezelfde richting. Van Vulpen is onzeker over hun impact, maar ze bestaan. En België kan op beide een beroep doen.

Denk in jaren, niet in aanbestedingsrondes. Aanbestedingscycli alleen kunnen gecumuleerde legacyafhankelijkheid niet aanpakken. Wat nodig is, is een duurzame ontwikkelingsstrategie en de institutionele structuur om die te dragen. iMio is die structuur voor Wallonië. Een gemeentelijke softwarecoöperatie op hetzelfde model bestaat nog niet in Vlaanderen. Hier ligt duidelijk een opportuniteit.

Vragen die het waard zijn om te stellen voor het volgende contract

Het kader van van Vulpen impliceert een korte checklist die elke overheidsambtenaar moet kunnen beantwoorden voor het ondertekenen van een IT-contract.

  • Is deze software opensource, en zo niet, hoe ziet het exitpad eruit als de voorwaarden veranderen of de leverancier wordt overgenomen?
  • Kunnen we van provider wisselen zonder toegang te verliezen tot onze eigen gegevens, en in welk formaat worden die gegevens opgeslagen?
  • Waar worden deze gegevens fysiek opgeslagen, en onder welke jurisdictie?
  • Creëert dit contract vergrendeling op de infrastructuur-, integratie- of gegevenslaag, en welke daarvan kan realistisch worden ongedaan gemaakt binnen een redelijke termijn?

In de praktijk worden deze vragen zelden systematisch gesteld. Een mandaat, een raamcontract of zelfs een beleidsbrief kan dat veranderen.

De kans

Er is ook een economisch argument voor actie. Van Vulpen betoogt dat overheidsopdrachten die Europese en binnenlandse softwareleveranciers begunstigen de markt creëren die een levensvatbaar Europees software-ecosysteem mogelijk maakt. De €264 miljard die jaarlijks van Europese publieke en private sectoren naar Amerikaanse technologiebedrijven stroomt, vertegenwoordigt capaciteit die Europese bedrijven en IT-talent zou kunnen ondersteunen.

Sleeswijk-Holstein migreerde 40.000 mailboxen naar opensource alternatieven voor een eenmalige investering van €9 miljoen en bespaart daarmee meer dan €15 miljoen per jaar. Frankrijk bouwt La Suite Numérique, een gedeelde opensource werkomgeving voor miljoenen ambtenaren, samen met Duitsland en andere lidstaten. Wallonië bouwde iMio vanuit vijf gemeenten en een subsidie, en het bedient nu 93% van de gemeenten in de regio.

Geen van deze initiatieven begon met een volledige oplossing. Ze begonnen met een beslissing.

De dissertatie van van Vulpen geeft die beslissing een academische onderbouwing. iMio toont aan dat het in de praktijk werkt, hier in België. Wat er daarna gebeurt, is aan de mensen die dit lezen.