Maar één vraag mist bijna altijd: onder welke jurisdictie draait je identity stack, en wat betekent dat als de wereld minder gezellig wordt?
Identity is geen randapplicatie. Het is de spil waar elke autorisatie doorheen loopt. Als die spil bij een Amerikaanse leverancier ligt, eventueel onder druk van CLOUD Act-verzoeken, is dat een keuze. Een keuze die te weinig CISO’s hardop maken.
De context is veranderd
NIS2 staat. DORA stelt eisen aan financials. De European Data Protection Board waarschuwt al jaren voor data-overdracht naar derde landen. De Cyber Resilience Act voegt productverantwoordelijkheid toe. En tegelijk schuiven Europese organisaties richting “soevereine cloud” en “soevereine AI”. Gaia-X, T-Systems Sovereign Cloud, OVHcloud Trusted Cloud. Die discussie wordt eindelijk serieus gevoerd.
Eindelijk bij compute en storage. Maar bij identity? Stilte.
Dat is opmerkelijk. Identity is de schakel waar alle andere controles op leunen. Een IAM-platform onder vreemde jurisdictie is een single point of trust. Eentje die een hele keten kan compromitteren als die jurisdictie verkeerd uitvalt.
Europa heeft volwaardige spelers
De gedachte dat Europa “geen serieuze IAM-vendors” heeft, is ouderwets. Even langslopen.
Privileged Access Management
Wallix (Frankrijk, beursgenoteerd op Euronext) heeft met Bastion een directe concurrent voor CyberArk. ANSSI gekwalificeerd. In gebruik bij Franse overheden en grote energiebedrijven. De roadmap richt zich expliciet op OT en cloud workloads.
Fudo Security (Polen) doet PAM met sterke focus op session recording en just-in-time access. Veel adoptie bij overheden in Centraal-Europa. Wint de laatste tijd zichtbaarheid in West-Europa.
Osirium (UK) was tot 2023 een mid-market PAM-speler met privileged access automation. In oktober 2023 werd het overgenomen door SailPoint voor $8,3 miljoen — en daarmee onderdeel van een Amerikaanse stack. Een illustratie van de sovereignty-vraag in actie: één overname, en het Europese alternatief verschuift onder een andere jurisdictie.
Identity Governance and Administration
Omada (Denemarken) is met Omada Identity Cloud de zichtbaarste Europese IGA-speler in enterprise context. Vaste waarde in Gartner’s Magic Quadrant, vaak als enige niet-Amerikaanse vendor in het Leaders/Visionaries-segment. Sterk in de Nordics, Benelux, DACH en bij financials. Diepe SAP- en HR-integraties. Hun SaaS draait wél op Microsoft Azure, dus die brengt zijn eigen soevereiniteitsdiscussie mee. Vraag bij selectie expliciet naar EU-regio’s en data-isolatie. Anders is het sovereign in naam, niet in praktijk.
Evidian, onderdeel van Eviden (Atos-groep), levert een complete IAM/IGA/SSO-suite. Stevig verankerd bij Franse en Duitse overheden. Decennia track record, en kan de écht complexe omgevingen aan.
Beta Systems (Duitsland) levert Garancy. Sterk in mainframe-omgevingen, banken en verzekeraars. Niet sexy. Wel betrouwbaar.
Soffid (Spanje) is open source IAM/IGA met professionele support. Codebase publiek inzichtelijk. Voor organisaties die transparantie en aanpasbaarheid hoog wegen, en die comfortabel zijn met een kleinere community dan de marktleiders.
Nexis (Duitsland) levert IGA en role mining-tooling, vaak naast andere platformen.
Customer Identity and Access Management
OneWelcome (Nederland, sinds 2023 onderdeel van Thales) bedient financials en grote retailers. Sterk in MFA, identity verification en compliance.
Tools4ever met HelloID (Nederland) zit breed in onderwijs en mid-market. Pragmatisch, snel te implementeren, eerlijke prijslijst.
Authenticatie
Airlock (Zwitserland) levert WAF en IAM in één stack, vooral voor financials.
Kobil (Duitsland) is sterk in mobiele authenticatie voor banken.
Daon (Ierland) doet biometrische auth, gebruikt door luchthavens en banken wereldwijd.
Hoe dit op je RFP terechtkomt
In de praktijk halen Europese vendors vaak niet eens de longlist. Die wordt gevuld op basis van Gartner-rapporten en advies van grote Amerikaanse system integrators. Beide hebben een ingebakken voorkeur. Niet kwaadaardig, gewoon zo.
Een paar suggesties.
Laat de longlist door minstens twee paar ogen samenstellen. Eén met expliciete opdracht om Europese alternatieven mee te wegen. Kost extra tijd. Voorkomt dat je een keuze maakt op basis van een onbedoeld bevooroordeelde shortlist.
Zet soevereiniteit als criterium met gewicht in de scorematrix, niet als formaliteit op pagina 8. Dataresidentie, ontwikkelingslocatie, jurisdictie van het moederbedrijf, supply chain-transparantie. Allemaal punten die meetellen.
Vraag tijdens de PoC om reële Europese referenties. Een vendor die alleen kan verwijzen naar pilots in Noord-Amerika levert minder zekerheid voor jouw context dan eentje die organisatiebreed productie draait bij een Belgisch ziekenhuis of een Duitse Mittelständler.
Reken TCO over tien jaar, geopolitiek risico inbegrepen. Migratiekosten van een diep verweven IAM-stack zijn zo hoog dat je de facto kiest voor een halve generatie.
Voor de bredere procurement-methodiek waarom Open Source First standaard moet zijn — niet alleen de vendor-keuze maar het hele aanbestedingsproces — zie het vervolgartikel Open Source First in IAM: voorbij de Magic Quadrant.
Geen ideologie, wel realisme
Dit is geen oproep om Amerikaanse vendors te boycotten. Sommige zijn uitstekend. In specifieke niches zelfs het beste antwoord. Het pleidooi is simpeler: geef Europese vendors een eerlijke kans, op basis van een eerlijke vergelijking.
Wie na zo’n vergelijking voor SailPoint of CyberArk kiest, doet dat met open ogen. Wie het kiest omdat het al jaren de gewoonte is, maakt een impliciete soevereiniteitskeuze.
In een tijd waarin we het over digital sovereignty hebben, is identity niet de plek om die discussie weg te delegeren.
Zelf je alternatieven checken? Daar bouwde ik een tool voor met een simpele assessment: EU Digital Sovereignty Assessment.
Veelgestelde vragen over Europese IAM-vendors
Wat is een Europees alternatief voor CyberArk?
Wallix (Frankrijk) is de meest directe concurrent in Privileged Access Management. Wallix Bastion is ANSSI-gekwalificeerd en in gebruik bij Franse overheden en grote energiebedrijven. Fudo Security (Polen) bedient overheden in Centraal-Europa met sterke session recording en just-in-time access. Het Britse Osirium was tot 2023 een mid-market PAM-vendor maar werd toen overgenomen door SailPoint — letterlijk de sovereignty-vraag waar dit artikel over gaat.
Welke Europese IGA-vendors zijn er?
Vijf serieuze namen: Omada (Denemarken, vaak in Gartner Leaders/Visionaries), Evidian (Eviden/Atos, complete suite met decennia track record), Beta Systems (Duitsland, sterk in mainframe en financials), Soffid (Spanje, open source met support) en Nexis (Duitsland, IGA + role mining).
Welke Nederlandse IAM-vendors zijn er?
Twee met internationaal bereik: OneWelcome (sinds 2023 onderdeel van Thales) voor CIAM, MFA en identity verification bij financials en retailers, en Tools4ever met HelloID voor onderwijs en mid-market.
Is Soffid een open source IAM-platform?
Ja. Soffid (Spanje) is open source IAM/IGA met professionele support. Codebase is publiek inzichtelijk. Geschikt voor organisaties die transparantie en aanpasbaarheid hoog wegen, en die comfortabel zijn met een kleinere community dan SailPoint of Saviynt.
Hoe weeg ik sovereignty mee in een IAM-RFP?
Vier praktische stappen: (1) laat de longlist door minstens twee paar ogen samenstellen met expliciete opdracht Europese alternatieven mee te wegen, (2) zet sovereignty als criterium met gewicht in de scorematrix (niet als formaliteit op pagina 8), (3) vraag bij PoC om reële Europese referenties, (4) reken TCO over 10 jaar inclusief geopolitiek risico. Voor de bredere methodiek — Open Source First in publieke aanbestedingen — zie Open Source First in IAM.
