In een eerder artikel schreef ik over de mythe van de digitale rijbaan: het hardnekkige idee dat culturele instellingen, als de politieke of morele wil maar groot genoeg is, betrekkelijk eenvoudig van digitale koers kunnen veranderen. Minder afhankelijk van Amerikaanse technologie, meer gebruik van Europese alternatieven, meer grip op data en infrastructuur. Het klinkt overzichtelijk. Bijna geruststellend, maar wie beter kijkt, ziet iets anders: digitale infrastructuur is geen rijbaan die je verlegt, maar een gelaagde stapeling van software, cloud, data, identiteit, beveiliging, archivering en inmiddels ook AI. Juist die verwevenheid maakt het onderwerp bestuurlijk relevant.
De vraag naar softwaresoevereiniteit is daarom geen hobby van IT-afdelingen meer. Zij raakt de kern van bestuur en toezicht. Want zodra een instelling niet meer goed overziet van welke digitale systemen zij afhankelijk is, wordt ook het vermogen kleiner om zelfstandig koers te bepalen. Dan nemen leveranciers, contractvoorwaarden, gewoonte en tijdsdruk de feitelijke besluiten.
Niet de vlag op de gevel, maar de mate van regie
In het debat wordt softwaresoevereiniteit vaak teruggebracht tot afkomst. Europees zou veiliger of autonomer zijn, Amerikaans juist risicovoller. Die intuïtie is begrijpelijk, zeker in een tijd van geopolitieke spanning en groeiende argwaan tegenover Big Tech. Maar voor bestuur en toezicht is zij te simpel.
De relevante vraag is niet alleen waar een leverancier vandaan komt, maar hoeveel regie de instelling zelf nog heeft. Kan zij haar data verplaatsen? Begrijpt zij welke juridische regimes van toepassing zijn? Weet zij wat er gebeurt als voorwaarden veranderen, prijzen stijgen of toegang tot bepaalde diensten onder druk komt te staan?
Dat onderscheid werd scherp zichtbaar in de zaak rond de Europese Commissie en Microsoft 365. In maart 2024 oordeelde de European Data Protection Supervisor dat het gebruik van Microsoft 365 door de Commissie op meerdere punten in strijd was met de geldende privacyregels, onder meer rond internationale datadoorgifte en onbevoegde openbaarmakingen. De Commissie moest haar gebruik vervolgens aanpassen en bracht dat volgens de toezichthouder in juli 2025 in lijn met de regels. De les is helder: dat data in Europa staan of dat een publieke instelling met een grote organisatie werkt, betekent nog niet automatisch dat de governance op orde is. Datalocatie alleen is geen soevereiniteit.
Voor culturele instellingen is dat geen abstract Brussels vraagstuk. Ook zij werken met persoonsgegevens van bezoekers, medewerkers, kunstenaars, donateurs en partners. Bestuur en toezicht moeten dus niet alleen vragen waar data staan, maar ook onder welk juridisch en contractueel regime zij feitelijk circuleren.
De kwetsbaarheid zit in de stapeling
De echte afhankelijkheid ontstaat bovendien zelden door één los systeem. Zij zit in de stapeling. Een instelling gebruikt Microsoft 365 of Google Workspace voor mail en documenten, heeft data in een cloudomgeving, beheert identiteiten via gekoppelde systemen, vertrouwt op securitysoftware van gespecialiseerde leveranciers, gebruikt externe platforms voor samenwerking en laat medewerkers ondertussen experimenteren met AI-tools. Dat alles grijpt in elkaar. Software is daardoor niet langer een verzameling losse producten, maar een ecosysteem.
De wereldwijde CrowdStrike-storing van juli 2024 liet op pijnlijke wijze zien wat dat betekent. Het incident werd veroorzaakt door een defecte content update voor Windows-hosts en was volgens CrowdStrike nadrukkelijk geen cyberaanval. Toch leidde één fout in een dominante beveiligingsschakel tot wereldwijde ontregeling. Precies daarin zit de bestuurlijke les. Afhankelijkheid is niet alleen een privacy- of geopolitieke kwestie, maar ook een continuïteitskwestie. Wanneer één leverancier diep in de digitale keten zit, kan een technisch probleem zich razendsnel vertalen in operationele stilstand.
Voor een museum, podium of archief is dat heel concreet. Dan gaat het niet over een abstract “incident”, maar over geen toegang tot documenten, geen planning, geen interne communicatie, mogelijk geen kaartverkoop en geen scherp zicht op welke informatie geraakt is. Wat technisch begint, eindigt bestuurlijk.
Lock-in groeit vaak zonder dat iemand het echt besluit
Daar komt een ongemakkelijke waarheid bij. Veel instellingen hebben niet bewust gekozen voor maximale afhankelijkheid. Zij zijn er geleidelijk in gegroeid. Eerst kwam er een kantooromgeving bij, daarna een cloudlaag, vervolgens extra security, daarna weer een AI-functionaliteit omdat die standaard werd meegeleverd of omdat medewerkers erom vroegen. Lock-in ontstaat zelden als één groot besluit. Het ontstaat door een reeks kleine, praktisch begrijpelijke keuzes die samen een hoge overstapdrempel creëren.
Microsofts prijs- en verpakkingswijzigingen voor Microsoft 365, aangekondigd in december 2025 en ingaand per 1 juli 2026, illustreren die dynamiek. Microsoft koppelt daarin extra AI-, security- en managementfunctionaliteiten steeds nadrukkelijker aan bestaande suites. Dat is op zichzelf logisch vanuit productontwikkeling, maar bestuurlijk betekent het ook iets anders: hoe meer functies samenkomen in één omgeving, hoe moeilijker het wordt om onderdelen nog los te beoordelen of te vervangen. De technische integratie verdiept dan de afhankelijkheid.
Juist daarom moeten bestuur en toezicht leren kijken naar mission critical afhankelijkheden. Niet alleen: welke software gebruiken we? Maar vooral: zonder welke digitale functies kan de instelling morgen feitelijk niet meer draaien?
AI maakt de soevereiniteitsvraag nog gevoeliger
Die vraag wordt extra urgent nu AI zich in bestaande software stapelt. Het debat over AI gaat vaak over efficiëntie of innovatie, maar voor culturele instellingen raakt het minstens zo goed aan rechten, reputatie en controle. De commotie rond Adobe in juni 2024 was daarvoor illustratief. Na kritiek van makers verduidelijkte Adobe publiekelijk dat het geen generatieve AI traint op klantcontent en dat die toezegging expliciet aan de voorwaarden zou worden toegevoegd. Dat zo’n verduidelijking nodig was, zegt genoeg. Zodra AI verweven raakt met creatieve software, verschuift de discussie meteen naar governance: wat mag een leverancier met onze content, onder welke voorwaarden, en kunnen wij dat als instelling verantwoorden?
Voor culturele instellingen is dat nog scherper. Zij werken immers met collecties, beeldmateriaal, teksten, educatieve content en andere informatie met culturele en juridische waarde. De vraag welke AI-tools worden gebruikt, kan dus nooit los worden gezien van de vraag welke rechten en datastromen daarmee gemoeid zijn.
Tegelijk laat de markt zien dat soevereiniteit niet zwart-wit is. OpenAI kondigde in februari 2025 data residency in Europa aan voor ChatGPT Enterprise, ChatGPT Edu en de API, en breidde die mogelijkheden in november 2025 verder uit naar meer zakelijke klanten. Dat laat zien dat niet-Europese leveranciers wél bewegen onder druk van Europese eisen. Voor bestuur en toezicht is dat relevant, omdat het debat anders te snel ideologisch wordt. Niet elke niet-Europese oplossing is per definitie onbruikbaar, net zoals niet elk Europees alternatief automatisch voldoende schaal, functionaliteit of veiligheid biedt. De vraag blijft dus: welke waarborgen zijn er werkelijk?
Soevereiniteit is geen gebaar, maar een veranderoperatie
Daarmee komen we bij het punt dat in het debat misschien nog het vaakst wordt onderschat: overstappen is geen moreel statement, maar een veranderoperatie. Data moeten worden gemigreerd, koppelingen opnieuw gebouwd, processen aangepast en medewerkers getraind. Dat kost geld, tijd en bestuurlijke aandacht — precies de drie zaken die in de culturele sector vaak schaars zijn.
De klassieke LiMux-casus in München laat zien hoe ingewikkeld zo’n traject is. De stad besloot al in 2004 tot migratie naar open source. Het project duurde jaren, vroeg om herontwikkeling, maatwerk en organisatorische aanpassing, en werd later deels weer afgebouwd. De les is niet dat soevereiniteit onmogelijk zou zijn, maar dat zij alleen kans van slagen heeft als bestuur en organisatie de transitiekosten, cultuurverandering en politieke volharding serieus nemen.
Voor culturele instellingen betekent dat dat softwaresoevereiniteit niet moet worden opgevat als autarkie. Niemand schakelt morgen even uit mondiale technologie. Het gaat om iets anders: volwassen regie. Weten waar de afhankelijkheden zitten. Begrijpen welke systemen mission critical zijn. Onderscheiden welke risico’s juridisch, operationeel of strategisch zijn. En vervolgens beleid maken dat past bij de draagkracht van de organisatie.
Dat is minder heroïsch dan een grote digitale breuk. Maar het is wel bestuur. En waarschijnlijk precies wat de sector nu nodig heeft. Want de echte onvrijheid begint niet wanneer een instelling afhankelijk is van software. Zij begint wanneer bestuur en toezicht niet meer goed weten waarvan precies — en daardoor ook niet meer goed kunnen beslissen hoe verder.
Nederlands 
English (UK) 
Français 