Soevereiniteit wordt gevoerd als een principekwestie over Amerika en Big Tech. Daardoor schuift de nuchtere ondernemer het weg. Onterecht: waar je data staat en van wie je software is, is gewoon een bedrijfsrisico.
Zodra het woord soevereiniteit valt, kantelt het gesprek naar politiek. Voor of tegen Amerika, voor of tegen Big Tech, een principekwestie voor mensen met een uitgesproken mening over geopolitiek. En precies daar gaat het mis. Want zodra je het als een politiek standpunt framet, mag een nuchtere ondernemer het afdoen als ‘niet mijn afdeling’. Mijn stelling is het tegenovergestelde: waar je data staat en van wie je software is, is geen waardenoordeel over een land of een bedrijf. Het is een bedrijfsrisico, en wel eentje dat op dezelfde plank hoort als één te grote klant of één leverancier waar je niet omheen kunt.
De afgelopen maanden is dat risico zichtbaarder geworden dan het in jaren was. Niet omdat er een ideologie won, maar omdat er dingen kapotgingen die niemand in een risicoanalyse had staan. En dat is precies het punt.
Waarom de politieke lens je op het verkeerde been zet
De meeste stukken over soevereiniteit lezen als een oproep: koop Europees, want Big Tech is fout. Dat is een waardenargument, en waardenargumenten zijn makkelijk te negeren als je het te druk hebt met ondernemen. Je bent geen activist, je runt een bedrijf. Dus je knikt en je gaat door met de tools die werken.
Het probleem is dat die framing de verkeerde vraag stelt. De vraag is niet of je Amerikaanse software moreel verantwoord vindt. De vraag is wie er aan de knoppen van jouw bedrijfsvoering zit, en wat er gebeurt als die persoon andere belangen heeft dan jij. Dat is geen politiek. Dat is hetzelfde soort som die je maakt als je nadenkt over één klant die 60% van je omzet is, of één boekhoudpakket waar al je historie in vastzit. Concentratie is een risico, ongeacht de vlag erboven.
Soevereiniteit is gewoon een risicoregel die niemand invulde
Soevereiniteitsrisico is het risico dat je de controle over je eigen bedrijfsvoering verliest doordat een leverancier, een rechtsgebied of een prijszetter aan knoppen zit die jij niet beheert. Het is geen hackrisico en geen storingsrisico, maar een zeggenschapsrisico: je systeem werkt prima, tot iemand anders besluit dat het voor jou stopt of duurder wordt.
Dat zeggenschapsrisico valt uiteen in vier concrete vormen die je los kunt benoemen en wegen:
- Leveranciersconcentratie: hoe meer van je stack bij één aanbieder zit, hoe groter de klap als die aanbieder iets verandert. De drie grote Amerikaanse aanbieders zijn samen goed voor ongeveer 70% van de Europese cloudmarkt, terwijl Europese aanbieders al jaren rond de 15% blijven steken, aldus cijfers van Synergy Research Group. Dat is geen complot, dat is een marktstructuur waarin de meeste bedrijven hun eieren in dezelfde drie mandjes hebben.
- Jurisdictierisico: een Amerikaanse leverancier valt onder Amerikaanse wetgeving, ook als de servers in Frankfurt of Amsterdam staan. Waar je data fysiek staat zegt minder dan onder welke wet je leverancier valt. Wat dat in de praktijk betekent: de Autoriteit Persoonsgegevens legde Yango een boete van 100 miljoen euro op omdat klant- en chauffeurgegevens op Russische servers belandden zonder afdoende bescherming, terwijl het bedrijf gewoon in Amsterdam zat.
- Prijsmacht: als overstappen technisch lastig is, kan je leverancier de prijs zetten. Na de overname van VMware door Broadcom eind 2023 verdwenen de eeuwigdurende licenties en zagen sommige klanten hun kosten verdrievoudigen. Niets politieks, gewoon onderhandelingsmacht die volledig aan één kant lag.
- Continuïteit en toegang: in februari 2025 schortte Microsoft de e-mail van het Internationaal Strafhof-hoofdaanklager op nadat de VS sancties tegen het Hof had ingesteld. Geen hack en geen storing: een leverancier voerde een instructie van zijn eigen overheid uit en een gebruiker was van het ene op het andere moment zijn account kwijt.
Neem die vier samen en je ziet een risicocategorie die in vrijwel geen enkele MKB-risicoanalyse genoemd wordt, terwijl hij even reëel is als brand of een wanbetaler. In de AI-laag zie je hetzelfde patroon: toen de VS Anthropic dwong modellen wereldwijd offline te halen, bleek hoe een AI-strategie op één model een onbeheersbaar bedrijfsrisico wordt. Het mechanisme is identiek, alleen de laag verschilt.
“Maar ik ben geen Strafhof of overheid”
Dit is de sterkste tegenwerping, en hij is terecht aan de oppervlakte. De voorbeelden hierboven gaan over een internationaal hof, een softwarereus en een geopolitiek conflict. Jij runt een webshop of een installatiebedrijf. Waarom zou een sanctieconflict tussen Washington en Den Haag jouw probleem zijn?
Omdat het mechanisme niet schaalt met je omvang, maar met je afhankelijkheid. Je krijgt geen sanctie aan je broek, maar je leverancier kan net zo goed zijn prijzen verdubbelen, een product dat je dagelijks gebruikt uitfaseren, overgenomen worden door een partij met andere plannen, of je account automatisch blokkeren op verdenking van fraude, zonder een mens om te bellen. Voor een groot bedrijf is dat een lastig kwartaal. Voor een kleiner bedrijf zonder onderhandelingsmacht is het een existentieel probleem, omdat jij de partij bent die zich moet aanpassen en niet andersom.
Dat is ook waarom dit allang geen randgesprek meer is van idealisten. Toen de Tweede Kamer in maart 2025 een motie aannam om toe te werken naar een rijkscloud, en het Rijk Nextcloud ging onderzoeken als alternatief voor Microsoft 365 terwijl gemeenten via de VNG samen naar Linux kijken als landelijke lijn, was dat geen activisme. Het waren nuchtere organisaties die een concentratierisico op hun balans zagen en begonnen te spreiden.
Risicobeheer betekent niet “alles zelf bouwen”
Er zit een valkuil aan de andere kant die ik eerlijk wil benoemen, want anders ruil ik de ene ideologie in voor de andere. Soevereiniteit-maximalisme, alles zelf hosten uit principe en elke Amerikaanse dienst weigeren, is geen risicobeheer. Het is een ander dogma, en het kan je net zo hard pijn doen: je bouwt iets na dat een hyperscaler beter en goedkoper doet, en je ruilt leveranciersrisico in voor het risico dat jij zelf de zwakke schakel bent.
Echt risicobeheer is saaier en slimmer dan beide uitersten. Het is afwegen, spreiden en een uitweg inbouwen. Voor de ene component is een Amerikaanse clouddienst prima, voor de andere bouw ik liever self-hosted omdat het goedkoper en beter beheersbaar is. De vraag is nooit ‘VS of Europa’ of ‘cloud of self-hosted’ als principe. De vraag is: ken ik mijn afhankelijkheden, en kan ik eruit als het moet? Datzelfde nuchtere afwegen bepaalt ook of je software beter zelf bouwt of kant-en-klaar koopt: geen onderbuikgevoel, maar een som per geval.
Van mening naar afhankelijkheidsregister
Het mooie aan deze herkadering is dat ze meteen iets te doen geeft, zonder dat je een standpunt over geopolitiek hoeft in te nemen. Je hebt geen manifest nodig, je hebt een lijstje nodig. Zet je kritieke leveranciers op een rij en stel per stuk drie vragen: hoe snel kan ik weg als ik zou moeten, waar staat mijn data en onder welke wet valt die, en wat gebeurt er met mijn bedrijf als de prijs morgen verdubbelt? De stack waar je het slechtste antwoord op hebt, is je grootste soevereiniteitsrisico, en dat is meestal niet de leverancier die je verwacht.
De diepste oorzaak ligt onder al die vragen: zolang je software dichtgetimmerd is en je data in een formaat staat dat alleen die ene leverancier leest, heb je geen keuze maar een gijzeling. Daarom betoog ik consequent dat eigenaarschap over je eigen software je beste bescherming tegen vendor lock-in is: niet omdat eigen bezit een ideaal is, maar omdat het de exit-optie is die risicobeheer vereist.
Wat ik hieruit haal
Soevereiniteit is geen vlag die je hijst, het is een risicoregel die je invult. Wie het als politiek behandelt, schuift een reëel bedrijfsrisico weg omdat het label niet bevalt. Wie het als risicobeheer behandelt, stelt gewoon de vragen die hij over elke andere kritieke afhankelijkheid ook stelt, en handelt ernaar met maat en zonder dogma.
