Digitale soevereiniteit is het nieuwe beleidsmantra. Minder afhankelijkheid van Big Tech, meer Europese infrastructuur, liefst snel. In adviezen en visies klinkt het soms als een eenvoudige correctie: we hebben het verkeerd ingericht, dus we draaien het om. Alsof het een kwestie is van besluiten en uitvoeren. Wie goed kijkt, ziet dat dit denken leunt op een hardnekkige maar misleidende analogie.
Soms wordt daarbij, expliciet of impliciet, verwezen naar het Zweedse voorbeeld uit 1967. Op één dag schakelde Zweden over van links- naar rechts rijden. Iedereen paste zich aan. Het verkeer stortte niet in, integendeel: het aantal ongelukken daalde zelfs tijdelijk. Het verhaal wordt graag aangehaald als bewijs dat grootschalige systeemverandering mogelijk is, mits goed voorbereid en duidelijk gecommuniceerd. Wie dat beeld projecteert op de digitale infrastructuur van Europa, en zeker op die van de culturele sector, vergist zich fundamenteel.
Heldere dagen
De Zweedse operatie, bekend als Dagen H, was een ingreep in een systeem dat volledig door de staat werd gereguleerd, overzichtelijk was en vooral: eenduidig. Er was één regel die voor iedereen tegelijk veranderde. De weg bleef dezelfde, de auto bleef dezelfde, de bestemming bleef dezelfde. Alleen de afspraak werd aangepast. Het was een abrupte, maar heldere transitie binnen een gesloten systeem. Die helderheid ontbreekt volledig in de digitale werkelijkheid.
Digitale infrastructuur is het tegenovergestelde. Zij is geen rijbaan, maar een gelaagde stapeling van systemen, diensten, afspraken en afhankelijkheden. Cloud, software, data, identiteit, communicatie, archivering, beveiliging en inmiddels ook AI zijn in elkaar vervlochten. Niet alleen technisch, maar organisatorisch en menselijk. Culturele instellingen functioneren bovenop deze lagen zonder ze zelf te beheersen of zelfs volledig te begrijpen. Die infrastructuur is bovendien niet nationaal of Europees afgebakend, maar globaal.
Basale vragen
Juist in de culturele sector wordt die complexiteit zelden onderkend. IT is vaak historisch gegroeid, gefragmenteerd en uitbesteed. Besturen en toezichthouders spreken steeds vaker over AI en digitale autonomie, maar zelden over de basale vragen die daaraan voorafgaan: waar staat onze data, wie beheert onze systemen, wat gebeurt er als iets uitvalt, welke kennis hebben we zelf in huis? In veel organisaties is IT geen strategisch domein, maar een noodzakelijke kostenpost die zo onzichtbaar mogelijk moet blijven.
In een eerder artikel verwees ik al naar het recente onderzoek van DEN naar de staat van digitalisering in de Nederlandse culturele sector. Het rapportcijfer: een zesje. Voeg daarbij het onderzoek uit 2023 naar cyberrisicomanagement – en de constatering, gebaseerd op eigen onderzoek en praktijkervaring, dat de situatie sindsdien nauwelijks is verbeterd – en de startpositie wordt pijnlijk helder.
Kwetsbaar
Het recente voorbeeld van het Veenkolonie Museum laat bovendien opnieuw zien hoe kwetsbaar culturele instellingen zijn. Een cyberaanval leidde ertoe dat persoonlijke gegevens van stakeholders in handen van criminelen belandden, ook met directe gevolgen voor de bedrijfsvoering naast de gevolgen voor de stakeholders.
Zelfs een toonaangevend telecombedrijf als Odido bleek afgelopen week niet bestand tegen digitale indringers, waarbij heel erg grote hoeveelheden persoonsgegevens van Nederlanders werden buitgemaakt. Wat er met die data gebeurt, is zelden direct zichtbaar, maar de ervaring leert dat daar zelden iets goeds uit voortkomt.
Incident
Opvallender is ook de manier waarop dergelijke gebeurtenissen steevast worden geframed. Termen als ‘incident’ of ‘voorval’ suggereren een zekere onvermijdelijkheid – alsof het hier natuurverschijnselen betreft waar organisaties machteloos tegenover staan. Die voorstelling van zaken is misleidend. Het gaat hier niet om pech of toeval, maar om de voorspelbare consequentie van onvoldoende cyberrisicomanagement. Geen abstract technisch probleem, maar een bestuurlijke realiteit. Digitale veiligheid is daarmee geen IT-kwestie, maar een verantwoordelijkheid op organisatieniveau. Wie dat onderscheid blijft negeren, zal ‘incidenten’ en de boosheid van stakeholder blijven ervaren.
Tegen die achtergrond krijgt de oproep tot ‘soevereine Europese IT’ een ongemakkelijke lading. Niet als strategie, maar als wensdenken. Niet omdat autonomie geen legitiem streven is, maar omdat de randvoorwaarden ontbreken. Europese en zeker Nederlandse alternatieven missen vaak de schaal, robuustheid en integratie van de platforms waarop culturele instellingen nu draaien.
Lock-in
Bedrijven als Microsoft, Google, Apple en Amazon domineren niet uit ideologie, maar omdat hun systemen wereldwijd functioneren, continu worden doorontwikkeld en diep zijn verweven met dagelijkse werkprocessen. Deze afhankelijkheid is bovendien niet alleen technisch, maar economisch en cognitief. Organisaties zijn niet simpelweg gebruiker van systemen, maar deelnemer aan ecosystemen waarin standaarden, interfaces en werkprocessen elkaar versterken. Dat is geen voorkeur, maar lock-in.
Een overstap is dan geen principieel gebaar. Het is een ingrijpende operatie met verstrekkende gevolgen. Data moeten worden gemigreerd, processen heringericht, koppelingen opnieuw gebouwd. Medewerkers moeten worden getraind, terwijl tijd, geld en aandacht al schaars zijn in de sector. Productiviteit daalt tijdelijk, fouten nemen toe, en afhankelijkheid van externe consultants groeit.
Rijp
Voor een sector die structureel kampt met onderbezetting en hoge werkdruk is dit geen detail, maar een existentieel risico. Bovendien is digitale transformatie een beperkte budgetpost, waarin cyber risico management al helemaal ondervertegenwoordigd is. En zonder geld gebeurt er natuurlijk niets.
Het Zweedse voorbeeld wordt hier vaak verkeerd begrepen. De kracht van Dagen H lag niet in de abrupte omschakeling zelf, maar in het feit dat het systeem rijp was voor die stap. De infrastructuur was voorbereid, de regels waren helder en de staat had de volledige regie. In de digitale werkelijkheid van vandaag ontbreekt die regie. Zelfs de Europese Unie is diep afhankelijk van dezelfde technologiebedrijven die zij politiek wil inperken. Digitale autonomie wordt daarmee een politieke ambitie die botst met operationele realiteit. Dat maakt de oproep aan de culturele sector om voorop te lopen des te problematischer.
Paradox
Wat resteert, is een paradox. Van instellingen wordt verwacht dat zij digitaal weerbaar en autonoom zijn, terwijl zij opereren in een ecosysteem dat zij niet hebben ontworpen en niet kunnen dragen. De ambitie is publiek, de risico’s zijn privaat. Wie in die context pleit voor snelle ontkoppeling, schuift de rekening en de verantwoordelijkheid door naar organisaties die daar het minst tegen bestand zijn.
De conclusie is niet dat alles bij het oude moet blijven. Wel dat digitale autonomie geen kwestie is van omschakelen, maar van opbouwen: kennis, governance, alternatieven, schaal en vertrouwen. Pas wanneer die voorwaarden aanwezig zijn, kan een sector nadenken over echte keuzes. Tot die tijd is de vergelijking met Zweden in 1967 vooral geruststellend voor beleidsmakers, en misleidend voor de praktijk.
De culturele sector heeft geen behoefte aan een digitale Dagen H. Zij heeft behoefte aan realisme, tijd en ondersteuning om überhaupt te begrijpen op welke weg zij rijdt — en wie er aan het stuur zit. En dat er een serieus budget komt om de digitale slag te maken en van een zesje naar een negen te gaan. De sector verdient dat.
Nederlands 
English (UK) 
Français 
Aha, het is geen natuurverschijnsel dat culturele instellingen zich hebben overgeleverd aan Micro$oft, Google en allerlei lokale leveranciers. Dat hebben ze toch echt zelf besloten.
Terwijl op allerlei gebied de kunst pretendeert voorop te lopen en de maatschappij in elk geval bewust te benaderen laten ze hier dan dus steken vallen.
Voor alle IT toepassingen zijn open source alternatieven voorhanden, gratis en vaak draaiend op goedkopere hardware en daarnaast veiliger zijn.