Een middelgroot Duits productiebedrijf ontvangt een routinecontrole-aanvraag van een overheidsdienst. De aanvraag komt als .odf-bestand. De IT-afdeling van het bedrijf kan het niet correct openen — hun Microsoft Office-installatie geeft de tabellen verkeerd weer. Ze sturen een .xlsx terug. De dienst retourneert het: verkeerd formaat, opnieuw indienen.

Dit is geen verhaal over bestandsformaten. Het is een verhaal over een verschuiving die al is begonnen — een die digitale soevereiniteit verandert van een beleidsdebat in een IT-planningsfactor voor organisaties van elke omvang.

Drie krachten sturen de verandering aan. Alle drie versnellen. En alle drie treffen particuliere bedrijven evenzeer als overheidsinstellingen.

Juridische blootstelling is niet langer theoretisch

De CLOUD Act geeft Amerikaanse autoriteiten de bevoegdheid gegevens op te eisen van aanbieders met Amerikaans hoofdkantoor — ongeacht waar die gegevens fysiek zijn opgeslagen. Voor elke Europese organisatie die onder de AVG valt, schept dit een structureel conflict: uw gegevensbeschermingsverplichtingen zijn mogelijk juridisch onverenigbaar met de verplichtingen van uw aanbieder op grond van Amerikaans recht.

Dit is niet nieuw. Maar het handhavingslandschap is veranderd. Transatlantische gegevensoverdrachtskaders blijven fragiel. Sectorspecifieke toezichthouders — vooral in de gezondheidszorg, de financiële sector en de publieke sector — stellen strengere vragen over waar gegevens daadwerkelijk worden opgeslagen en wie er toegang toe heeft.

De Digital Services Act voegt een extra laag toe: verplichtingen rond transparantie en systeemrisico’s die gelden voor platformen die in de EU opereren. Organisaties die vertrouwen op in de VS gevestigde platformen moeten begrijpen hoe hun aanbieders op deze vereisten reageren — en wat er gebeurt als ze dat niet doen.

Compliance is geen vinkje meer. Organisaties moeten — geloofwaardig — documenteren dat hun IT-infrastructuur hen niet blootstelt aan jurisdictieconflicten. Voor gereguleerde sectoren is dit al een bestuurskamergesprek.

Kostenafhankelijkheid is een financieel risico

Vendor lock-in wordt meestal in technische termen besproken — propriëtaire formaten, gesloten API’s, datagewicht. Maar de financiële impact is vaak acuter: onvoorspelbare licentiekostenstijgingen, gedwongen migratie naar abonnementsmodellen en servicecontracten die moeilijk op te zeggen zijn zonder de bedrijfsvoering te verstoren.

Wanneer één leverancier uw kantoorsuite, identiteitslaag, cloudplatform en samenwerkingstools controleert, wordt elke contractvernieuwing asymmetrisch. De leverancier kent uw overstapkosten. U accepteert welke voorwaarden hij ook stelt.

Naast directe licentiekosten zijn er de kosten van aanpassing aan andermans productbeslissingen. Functiewijzigingen, gedwongen versie-upgrades, wijzigingen in API-voorwaarden — dit zijn geen bugs. Het is het normale bedrijfsmodel van propriëtaire platformen. Elk ervan genereert ongeplande werkzaamheden binnen uw organisatie.

Sleeswijk-Holstein rapporteerde na de migratie van ruw geschat 80 % van haar 30.000 overheids-pc’s naar LibreOffice geschatte besparingen van € 15 miljoen per jaar aan alleen Microsoft-licentiekosten. Dat bedrag is exclusief de verminderde blootstelling aan toekomstige prijsstijgingen of verbeterde onderhandelingspositie bij overige leveranciers.

De besparingen zullen voor elke organisatie anders zijn. Maar de rekenmethode is dezelfde: breng uw huidige kosten in kaart, modelleer de exitkosten en vergelijk met open alternatieven.

Aanbestedingsmandaten veranderen de spelregels

In maart 2026 maakte de Duitse IT-Planungsrat het Open Document Format (ODF) verplicht voor alle overheidsinstellingen — federaal, deelstaat en gemeentelijk — met ODF-naleving gepland voor 2027 en volledige Deutschland-Stack-infrastructuur in 2028. Microsoft Office-formaten worden uitgefaseerd. Dit is bindende regelgeving, geen aanbeveling.

Het effect op de toeleveringsketen is onmiddellijk. Organisaties die documenten uitwisselen met Duitse overheidsinstellingen zullen ODF moeten produceren en accepteren. Hetzelfde geldt voor aanbestedingen, officiële correspondentie en rapportages. Dit beperkt zich niet tot de publieke sector — het rimpelt door elke toeleveringsketen die de overheid raakt.

Vergelijkbare mandaten ontstaan in de hele EU. Frankrijk heeft ODF verplicht gesteld in de overheid sinds 2009. Het VK volgde in 2014. Zodra één grote economie een standaard verplicht stelt, volgen anderen doorgaans binnen 18 tot 24 maanden.

Het Publiek Geld, Publieke Code-principe — dat publiek gefinancierde software publiek beschikbaar moet zijn — wint terrein in aanbestedingsbeleid in heel Europa. Dit verschuift de standaard van propriëtair naar open, en creëert structurele vraag naar open-source oplossingen op elk niveau van overheids-IT.

Wat dit buiten de overheid betekent

Zelfs als u niet in de publieke sector zit, raken deze verschuivingen u:

Documentuitwisseling. Als uw klanten of partners bij de overheid zijn, wordt ODF-naleving een vereiste, geen keuze.

Aanbestedingsgeschiktheid. Aanbestedingen eisen steeds vaker ondersteuning van open standaarden of soevereine hosting als beoordelingscriteria.

Regelgevingsafstemming. Sectorspecifieke regelgeving wordt strenger rond dataresidentie, aanbiederonafhankelijkheid en audittransparantie.

Onderhandelingspositie. Elk levensvatbaar alternatief voor uw huidige leveranciersstack verbetert uw positie in contractonderhandelingen — zelfs als u nooit overstapt.

Uw eigen blootstelling beoordelen

Ontdoe het van politiek en ideologie, en digitale soevereiniteit komt neer op een eenvoudige vraag: hoe blootgesteld is uw organisatie als een belangrijke leverancier de spelregels verandert?

Zes vragen kunnen het gesprek openen:

1. Jurisdictiekaarting. Welke van uw kritieke systemen worden beheerd door aanbieders met Amerikaans hoofdkantoor? Waar worden gegevens opgeslagen? Wie heeft juridisch toegang?

2. Licentiekostentraject. Hoe zijn uw licentiekosten de afgelopen drie jaar geëvolueerd? Wat zijn de verwachte stijgingen?

3. Exitkostenanalyse. Voor elke grote leverancier: wat zou het kosten — in tijd, geld en verstoring — om over te stappen? Welke gegevens kunt u exporteren?

4. Formaatafhankelijkheid. Hoeveel van uw documenten, sjablonen en workflows zijn afhankelijk van propriëtaire formaten?

5. Regelgevingsblootstelling. Valt u onder de AVG, sectorspecifieke regelgeving of aanbestedingsregels die verwijzen naar gegevenssoevereiniteit of open standaarden?

6. Toeleveringsketeneisen. Vereisen of verkiezen uw klanten of partners ODF, soevereine hosting of open-source componenten?

Dit is geen migratiebesluit. Het is een risicobeoordeling. En het is de noodzakelijke eerste stap vóór elk strategisch gesprek over alternatieven.

Bronnen

Themaoverzicht: Digitale soevereiniteit in Europa Gerelateerde artikelen: Duitsland verplicht open formaten, Digitale risicoaudit