U diende gisteren een bug in. Een marge-issue in de document-renderer, vijftien regels context, twee screenshots. U ondertekende met uw eigen naam. Uw GitHub-profiel toont hem; het project, een Europees soevereiniteitsinitiatief, leek u precies het soort werk dat een handtekening verdient.

Vanochtend werkt uw creditcard niet meer.

Die volgorde is, vandaag, niet gedocumenteerd. Zij is de vorm van een volgorde die de afgelopen achttien maanden steeds aannemelijker hebben gemaakt. Op 5 mei 2025 hield het Microsoft 365-account van Karim Khan, hoofdaanklager van het Internationaal Strafhof, op te werken nadat de regering-Trump hem persoonlijk had aangewezen onder Executive Order 14203. In mei 2026 droeg Microsoft de persoonsgegevens en communicatie van Nederlandse ambtenaren — toezichthouders die de EU Digital Services Act handhaven — over aan een Amerikaanse Congres-subpoena. In beide gevallen hadden de getroffenen jaren eerder een dienstverlener met hoofdkantoor in de VS gekozen, op basis van redelijke institutionele aanbesteding. De politieke consequentie was een eigenschap van de toeleveringsketen die zij niet hadden geauditeerd.

Vandaag lanceert een alliantie van Europese bedrijven een alternatief voor Microsoft 365. Het persbericht noemt het een mijlpaal voor Europese digitale soevereiniteit. De broncode wordt gehost door Microsoft. De build-pipeline draait op de servers van Microsoft. De container-images worden gedistribueerd via Microsofts container-register. Iedere bijdrage aan Europese soevereiniteit wordt op het moment van toedoen gelogd in de Microsoft-database — onder uw eigen naam.

Dit is geen lek, geen schandaal, geen oversight. De Euro-Office-repositories op github.com/euro-office zijn openlijk waarneembaar. De alliantie achter de lancering — IONOS, Nextcloud, EuroStack, Open-Xchange, XWiki, OpenProject en zes andere gerespecteerde Europese OSS-organisaties — koos deze hosting bewust, en blijft haar gepast achten. De vakpers die vandaag over de lancering bericht, vermeldt het niet. De lanceringscommunicatie vermeldt het niet. Het Tech Sovereignty Package van de Europese Commissie, parallel opgesteld, adresseert het niet.

Het is de moeite waard het zonder omhaal te zeggen: dit is absurd. Niet in de informele zin van verrassend — bij een rustige lezing van de openbare documentatie is dit precies wat men zou verwachten — maar in de zin dat iedere standaarddefinitie van digitale soevereiniteit die het Europese discours in de afgelopen vier jaar heeft voortgebracht, onverenigbaar is met wat zojuist is gebeurd. Ofwel Euro-Office is geen soevereiniteitsproduct, ofwel de soevereiniteitsdefinities die in omloop zijn, zijn niet coherent. De lancering dwingt een keuze af.

De nuttige versie van dit artikel is niet de verontwaardiging — die schrijft zichzelf. Het is de audit, de herkadering, en de aanbestedingsvraag die volgt uit het accepteren dat het huidige soevereiniteitsdiscours een dragende fout in zijn kern heeft — en dat de bug die u gisteren indiende, op een lange tijdslijn, deel uitmaakt van het audit-spoor.

Wat vandaag wordt gelanceerd

Euro-Office publiceert v1.0 op dinsdag 9 juni 2026. De alliantie erachter is technisch coherent: IONOS host de managed-cloud-variant vanuit Karlsruhe, Nextcloud integreert de suite in Hub 26 als vervangende standaard voor Collabora, Open-Xchange brengt de groupware-erfenis in, en XWiki, OpenProject, Soverin, Abilian, BTactic en Office.eu leveren aanpalende samenwerkings- en hostinglagen.

De vier primaire repositories op github.com/euro-officeeurooffice-nextcloud (PHP, AGPL-3.0), server (JavaScript, AGPL-3.0), sdkjs-forms (JavaScript, AGPL-3.0) en document-templates (Apache-2.0) — hanteren de defensieve licentiehouding die past bij software die als dienst wordt gehost: iedere commerciële aanbieder van een gehoste Euro-Office moet zijn wijzigingen publiceren. Apache-2.0 op de templates is de juiste keuze voor content. Dit is de sterkste licentiecombinatie in de Europese OSS-kantoorsuitemarkt, materieel sterker dan de MPL-2.0 van Collabora Online of de single-vendor AGPL van OnlyOffice.

Bestandsformaatcompatibiliteit met Office Open XML houdt stand op de workloads die Europese OSS-kantoormigraties historisch hebben gebroken: Excel-werkmappen met meerdere bladen en draaitabellen, Word-documenten met tracked changes en commentaar, PowerPoint met ingebouwde animaties. De beschikbare implementatieopties beslaan managed cloud, hybride en zelf-gehoste Docker of Kubernetes, op de eigen Proxmox of VMware van de klant. Het runtime-soevereiniteitsverhaal is reëel: data in Duitse datacenters, licentie beschermd tegen closed-source fork, formaatonafhankelijkheid van Microsofts release-cadans.

Er staat geen sterretje bij dit deel. Het product is goed. De aanbestedingsbeslissing als productbeslissing is verdedigbaar.

De audit

De aanbestedingsbeslissing als soevereiniteitsbeslissing is waar de architectuur ophoudt mee te werken.

Elke commit naar elke Euro-Office-repository, elke issue, elke pull request, elke CI/CD-pipeline-run, elke container-image-build en elk release-artefact loopt via github.com. GitHub is sinds juni 2018 een volledige dochteronderneming van Microsoft. De lanceringscommunicatie adresseert dit niet. De vakpers-berichtgeving over de lancering adresseert dit niet. De alliantie heeft zich niet vastgelegd op een Codeberg- of Forgejo-mirror, en geen voornemen aangekondigd om een niet-Amerikaanse build-pipeline te exploiteren.

Dit is geen contractueel probleem — de AGPL-licentie behoudt het recht om te spiegelen, te forken en opnieuw te bouwen — maar een operationeel probleem. Het recht om te spiegelen is waardeloos zolang de mirror niet bestaat.

Het handhavingsprecedent is gedocumenteerd en specifiek. In juli 2019 beperkte GitHub de toegang tot privé-repositories en betaalde organisatie-accounts voor ontwikkelaars in Iran, Syrië en de Krim, in overeenstemming met sancties van het OFAC. Privéprojecten verdwenen van de ene op de andere dag. Publieke repositories bleven toegankelijk in read-only vorm, maar de werkende infrastructuur — issue tracker, pull requests, GitHub Actions, container-images, package-distributie — was onbeschikbaar voor de getroffen accounts tot GitHub in januari 2021 een OFAC-licentie verkreeg om de dienst voor Iraanse ontwikkelaars te herstellen. In maart en april 2022 werd hetzelfde mechanisme toegepast op entiteiten in Rusland en op onder OFAC-aanwijzing geplaatste delen van Oekraïne. Accounts gekoppeld aan gesanctioneerde entiteiten verloren toegang; betaalde organisatie-accounts in de Krim, Donetsk en Loehansk zijn beperkt gebleven. De Acceptable Use Policies van GitHub noemen Amerikaanse export-controle-naleving nog steeds als de leidende regel.

De kans dat dit handhavingsmechanisme in een gegeven kwartaal van toepassing is op een Duits Stadtwerk of een Frans établissement public is klein. De kans over een aanbestedingshorizon van vijf jaar, tegen een Euro-Office-stack met enkele honderden upstream-OSS-afhankelijkheden die wereldwijd worden onderhouden, is materieel groter dan nul. De relevante basisfrequentie is niet de krantenkoppen — Iran, Rusland, Krim — maar de lange staart: één kritieke afhankelijkheid, gehost door één ontwikkelaar in één jurisdictie die om een van tientallen plausibele redenen over vijf jaar OFAC-relevant wordt. De meeste van die gebeurtenissen zullen Euro-Office-adoptanten niet raken. Sommige wel.

Er is een tweede categorie van toeleveringsketen-blootstelling die operationeel waarschijnlijker is dan sanctiehandhaving: politieke druk op de platformexploitant die uitmondt in vrijwillige naleving. Het Microsoft-nalevingspatroon van 2025–2026 — de opschorting van het ICC-aanklager-e-mailaccount in mei 2025 na Amerikaanse sancties, de vrijwillige overdracht van namen van Nederlandse toezichthouders aan het Amerikaanse Congres in mei 2026 — past in deze kolom. Wanneer een dienstverlener met hoofdkantoor in de VS te maken krijgt met Amerikaanse politieke druk, is het antwoord meewerken, niet weerstaan. GitHub is dezelfde architectuur. Een toekomstige Amerikaanse regering die zou besluiten dat Europese soevereiniteitsprojecten aandacht verdienen, zou OFAC niet nodig hebben. De Acceptable Use Policies van GitHub vormen voldoende grond voor beperking, naar eigen inzicht van het platform.

De conclusie van de audit is rechttoe rechtaan en weinig vleiend: een Euro-Office-adoptie zonder SBOM, zonder mirror-infrastructuur en zonder continuïteitsplan is architecturaal niet soevereiner dan de M365-implementatie die zij vervangt. Zij is contractueel soevereiner — de data staat in Karlsruhe, de licentie is AGPL — maar de toeleveringsketen eindigt op hetzelfde door Microsoft bezeten repository-platform als waar de brondistributie van M365 zou eindigen, als de broncode van M365 al beschikbaar was, wat niet zo is.

De mensen binnen de audit

Het architectonische argument heeft tot dusver het risico institutioneel behandeld — wat een Stadtwerk overkomt, wat een aanbestedingsbeslissing overkomt. Hetzelfde argument landt anders zodra het begint bij mensen wier namen zijn gedocumenteerd.

Neem Khan eerst. Het Strafhof is een permanente internationale instelling met hoofdzetel in Den Haag, buiten de Amerikaanse jurisdictie. De communicatie van zijn hoofdaanklager liep over Microsoft 365 omdat het ICC dezelfde aanbestedingsbeslissing had genomen die elke andere grote publieke inkoper in Europa op datzelfde moment nam, op dezelfde — op dat moment redelijke — gronden. Toen de regering-Trump Khan in februari 2025 aanwees onder Executive Order 14203, had noch de aanklager noch het hof een betekenisvolle operationele uitweg: Microsoft is een onderneming met hoofdkantoor in de VS, de OFAC-verplichting is bindend, de opschorting volgde. De aanbestedingsbeslissing was jaren eerder genomen; de consequentie arriveerde in mei, met naam en toenaam.

De ACM/AP-zaak verschilt van die van Khan op één belangrijk punt. Er was geen Executive Order. De subpoena kwam van het Weaponization Subcommittee van Jim Jordan in het Huis van Afgevaardigden, waarvan de zelf-omschreven taak is wat het zelf “foreign censorship of American speech” noemt te onderzoeken — taal die, in haar eigen kadering, de EU Digital Services Act omvat, en daarmee het werk van de ambtenaren bij de Autoriteit Consument en Markt (ACM) en de Autoriteit Persoonsgegevens (AP) wier namen Microsoft heeft overgedragen. De Nederlandse staatssecretaris voor digitale soevereiniteit, Willemijn Aerdts, ontbood de Amerikaanse ambassadeur op de vrijdag dat de overdracht openbaar werd. De data was al onderweg. Microsofts naleving was in juridische zin vrijwillig — het bedrijf reageerde op een subpoena, niet op een OFAC-bevel — en operationeel onvermijdelijk op de manier waarop iedere dienstverlener met hoofdkantoor in de VS, onder diezelfde politieke druk, zou hebben meegewerkt.

Noch Khan, noch de ACM- en AP-medewerkers kozen ervoor zich op het oppervlak van Amerikaanse politieke druk te bevinden. Zij kozen Microsoft jaren eerder als hun dienstverlener, op basis van volkomen redelijke institutionele aanbesteding. Het politieke oppervlak was een eigenschap van de toeleveringsketen die zij niet hadden geauditeerd.

Dit is de laag waar Euro-Office-bijdragers en -adoptanten zich nu op bevinden.

Elke ontwikkelaar die een pull request opent tegen github.com/euro-office, creëert een vermelding in de Microsoft-database die zijn persoonlijke identiteit — wettelijke naam op de meeste accounts, echt e-mailadres, IP-adres per sessie, tijdspatronen van bijdragen — koppelt aan actieve deelname aan een Europees digitaal soevereiniteitsproject dat delen van het Amerikaanse Congres publiekelijk hebben gepositioneerd als vijandig aan Amerikaanse commerciële belangen. De dagelijkse functie van de bijdrager, zijn werkgever, zijn woonland en zijn politieke voorkeur zijn af te leiden uit de openbare commit-historie. Vandaag is die framing retorisch. De zaak-Khan en de ACM/AP-zaak laten zien dat de afstand tussen retorische framing en persoonlijke consequentie hooguit één Executive Order breed is.

Iedere openbare bestuursorganisatie die Euro-Office adopteert, erft transitief dezelfde logketen. Iedere IT-lead die reageert op een upstream-issue, ziet zijn professionele positie publiekelijk gekoppeld aan het project. Iedere Stadtwerk-ontwikkelaar die een bug indient, ziet zijn identiteit gelogd in het Microsoft-audit-spoor. De gemeentelijke CISO die de alliantie mailt om een veiligheidsverduidelijking, de functionaris gegevensbescherming die naar een randgeval in export-naleving informeert — elke interactie wordt vastgelegd onder een echte naam, op infrastructuur die eigendom is van het bedrijf waar het project van weg wil migreren.

Niets hiervan is kwaadaardig van Microsoft. Het is de basismechaniek van het draaien van een code-hostingdienst. Het is tevens de basismechaniek van een toekomstige subpoena. De zaak-Khan toont wat er gebeurt wanneer een Amerikaans Executive Order een individu aanwijst. De ACM/AP-zaak toont wat er gebeurt wanneer een Amerikaanse Congres-subpoena een categorie aanwijst. In beide gevallen vernamen de getroffenen het pas nadat Microsoft al had meegewerkt.

De strategische implicatie is onsentimenteel. Iedereen — individueel of institutioneel — die deelneemt aan het Europese soevereiniteitsproject op het niveau van bijdrager of adoptant terwijl het op Microsoft-infrastructuur wordt gehost, creëert een audit-spoor onder zijn eigen naam, op het platform van de partij waarvan het project geacht wordt de afhankelijkheid te verminderen. Het spoor wordt vandaag aangelegd, in realtime, bij elke commit en elke issue-reactie. De partij die toegang heeft tot het spoor, hoeft er niet op te handelen om het spoor dragend te laten zijn — het hoeft enkel te bestaan.

Orwell zou de architectuur hebben gewaardeerd. Een beweging organiseert zich om haar afhankelijkheid van een entiteit te verkleinen. Om dat te doen, ondertekent elke deelnemer zijn bijdrage, onder zijn eigen naam, op een platform dat eigendom is van die entiteit. De entiteit bewaart de handtekeningen voor onbepaalde tijd, doorzoekbaar, op juridisch verzoek exporteerbaar. Of de entiteit er ooit naar handelt, is op de middellange termijn bijzaak; of de architectuur het de entiteit toestaat ernaar te handelen, wordt op de middellange termijn beslist. Het wordt nu beslist, met elke issue-ticket, door iedereen die op verzenden klikt.

Soevereiniteit is niet wat je koopt

Dit is de herkadering die de lancering moeilijk te ontwijken maakt.

De aanbestedingsindustrie heeft de vraag aangeleerd als een leveranciersselectievraagstuk. De AVG, de CLOUD Act, het Tech Sovereignty Package, het amendement op §58 VgV, het ES³-volwassenheidsmodel — al deze instrumenten accepteren de aanname dat soevereiniteit een eigenschap is die de koper verwerft door de juiste leverancier te kiezen. ES³ certificeert leveranciers. CADA classificeert leveranciers. §58 VgV staat kopers toe bepaalde leveranciers voor te trekken. De instrumenten zijn coherent binnen die aanname.

De lancering van Euro-Office is het duidelijkste geval waarin die aanname zichtbaar faalt. Het product is het best beschikbare antwoord op de leveranciersvraag. Het zonder architectonisch werk adopteren ervan verandert de leverancier op de aanbestedingsregel en laat de werkelijke afhankelijkheid ongewijzigd. De leverancier op de regel is nu Europees; de toeleveringsketen waarvan de leverancier afhangt, is dat niet. De koper heeft de schijn van soevereiniteit verworven zonder de substantie — en de substantie, continuïteit van de toeleveringsketen, was nooit onderwerp van het aanbestedingscontract.

Soevereiniteit, in de zin die ertoe doet voor de vraag die kopers in de publieke sector en de gereguleerde private sector daadwerkelijk proberen te beantwoorden, is geen eigenschap van leveranciers. Zij is een eigenschap van architecturen. Een organisatie is digitaal soeverein in de mate waarin zij kan blijven functioneren wanneer welk onderdeel van haar software-toeleveringsketen dan ook niet meer beschikbaar is. Die eigenschap wordt gebouwd, niet gekocht. De leveranciersbeslissing ligt stroomopwaarts ervan; het werk om soeverein te worden ligt stroomafwaarts. Het stroomafwaartse werk overslaan en de stroomopwaartse beslissing tot soevereiniteitsantwoord verklaren is de fout die de Euro-Office-lancering onmogelijk te negeren maakt.

Het praktische gevolg: de Microsoft 365-stack en de Euro-Office-stack verschillen niet structureel op de toeleveringsketen-dimensie. Zij verschillen op de runtime-dimensie (datalocatie, jurisdictie van de operator) en zij verschillen op de optie om onafhankelijkheid van de toeleveringsketen op te bouwen. M365 sluit die optie uit; Euro-Office behoudt haar. Maar een optie behouden is niet hetzelfde als haar uitoefenen. De uitoefening is het werk.

De aanbestedingsvraag die er echt toe doet

Als de soevereiniteitsvraag terecht architectonisch is, volgt de aanbestedingsvraag daaruit. Zij is niet langer bij welke leverancier kopen wij? Zij wordt: wat is onze architectuur van onafhankelijkheid, en waar staat zij op onze winst-en-verliesrekening?

Drie werkstromen beantwoorden de hergekaderde vraag. Zij zijn niet optioneel, zij zijn geen “leuk om te hebben”, en iedere soevereiniteitsaanbesteding die ze weglaat is een aanbestedingsvoorstelling, geen aanbestedingsbeslissing.

Eén: inventarisatie. Een Software Bill of Materials-audit van de huidige OSS-componenten in productie, met als scope elk systeem met runtime-blootstelling aan het internet of aan klantdata. Output per component: primair distributie-eindpunt, licentie, diepte van de afhankelijkheidsboom, jurisdictie van de onderhouder. Voor een middelgrote organisatie met 50–80 verschillende OSS-componenten in productie duurt de audit 6–10 weken en kost €25.000–€55.000 bij een externe specialist. Het opgeleverde product is een lijst, geen plan; het plan volgt uit de lijst. De meeste organisaties ontdekken dat 80% van hun toeleveringsketen-blootstelling zich concentreert in 15% van hun componenten, en dat de concentratie niet zit waar zij verwachtten.

Twee: mirror-infrastructuur. Een zelf-gehoste Forgejo-instantie, bidirectioneel gesynchroniseerd met GitHub voor de kritieke componenten die in werkstroom één zijn geïdentificeerd. Gehost in bestaande infrastructuur (Proxmox, VMware of een Hetzner-VM), twee VM’s, gescheiden van productie. De kasuitgave is verwaarloosbaar; het werk is 8–15 persoonsdagen architecten-tijd over twaalf weken, afhankelijk van het aantal repositories. De mirror vervangt GitHub niet voor de dagelijkse ontwikkeling; zij overleeft GitHub voor continuïteit. Codeberg kan als substituut dienen waar het zelf hosten van Forgejo niet gerechtvaardigd is.

Drie: pilot. Een afgebakende Euro-Office-pilot op een werkstroom zonder publieke blootstelling — financiën, interne HR, gecontroleerde groupware — die 6–12 maanden loopt met expliciete go/no-go-criteria, gekoppeld aan de mirror-infrastructuur die een productiewaardige betrouwbaarheid bereikt. Kosten: €8.000–€20.000 aan opzetondersteuning bij een Nextcloud-partner plus interne tijd. De pilot valideert het product; werkstromen één en twee valideren de soevereiniteit.

Een koper die alle drie uitvoert, heeft Euro-Office gekocht en soevereiniteit gebouwd. Een koper die alleen werkstroom drie uitvoert, heeft een andere leverancier gekocht. De aanbestedingsbeslissing is in beide gevallen dezelfde. De architectuurbeslissing is dat niet.

De strategische positioneringsvraag voor de komende twaalf maanden is niet of Euro-Office het juiste product is. Zij is of uw organisatie bereid is soevereiniteit te behandelen als architectuur in plaats van als aanbesteding — en of uw raad, uw accountants en uw toezichthouder het architectuurantwoord zullen accepteren als het soevereiniteitsantwoord. Zij zullen dat in toenemende mate doen. Het Tech Sovereignty Package stelt CADA-classificatie tegen 2027 voor. ES³ certificeert nu al methodologie in plaats van producten. De signalen uit de regulerende laag convergeren op architectuur, niet op leverancierslogo. Het leverancierslogo is de achterlopende indicator; de architectuur de voorlopende.

Wat dit artikel niet is

Het is geen bewering dat Euro-Office de verkeerde keuze is. Het product is het sterkste open-source-M365-alternatief op de Europese markt. Het is geen bewering dat GitHub EU-ontwikkelaars zal blokkeren. Het is een bewering dat soevereiniteit als aanbestedingscategorie de verkeerde kadering is, dat de Euro-Office-lancering het zuiverste beschikbare voorbeeld is van waarom, en dat het werk dat die kadering verborgen heeft gehouden, het werkelijke antwoord is op de vraag die kopers in de publieke sector en de gereguleerde private sector proberen te stellen.

Bronnen

Themaoverzicht: Digitale soevereiniteit in Europa Gerelateerde artikelen: EU Tech Sovereignty Package, Microsoft levert Nederlandse namen