Op 3 juni 2026 presenteert de Europese Commissie het EU Tech Sovereignty Package. Tien dagen daarvoor staat de teller op de open brief van SUSE en een coalitie Europese open source bedrijven op een paar honderd handtekeningen, en groeit nog. Het verzoek aan de Commissie is concreet: maak in de Cloud and AI Development Act (CAIDA) bindend dat publieke aanbestedingen eerst een open source alternatief moeten beoordelen, voordat er een proprietary keuze valt.

Klein op papier. Groot in implicatie. Vooral voor één categorie waar de sovereignty-discussie tot nu toe blijft hangen: identity en access management.

In een eerder artikel betoogde ik al dat Europa zijn eigen rijtje IAM-vendors verdient. Dit stuk gaat een stap verder. Want zelfs als Europese vendors op je longlist staan, blijf je in de oude logica zitten zolang procurement de keuze op vendor-niveau maakt. De echte sovereignty-vraag zit een laag dieper.

De Magic Quadrant is geen sovereignty-instrument

In veel van de IAM-trajecten waarin ik meedraai is het patroon hetzelfde. De longlist komt uit Gartner. De shortlist is een subset daarvan. De argumenten? Marktleider. Brede integraties. “Wat de analist zegt.” Een systeemintegrator die er al ervaring mee heeft. Allemaal rationeel, allemaal binnen het kader van één enkele vraag: welk product werkt het beste voor onze use case?

Dat is een prima vraag. Hij is alleen niet de vraag die sovereignty stelt. Sovereignty vraagt iets anders: wat houd ik over als deze leverancier morgen wordt overgenomen (DigiD/Solvinity iemand?), zijn licentie verandert, of zijn jurisdictie politiek minder gezellig wordt? Een Magic Quadrant beantwoordt dat niet. Hij scoort completeness of vision en ability to execute. Allebei nuttig. Geen van tweeën zegt iets over of je over vijf jaar nog vrij bent om weg te gaan.

En er zit nog een fundamenteler probleem in. Een Magic Quadrant kan structureel geen pure open source projecten opnemen. Het model is gebouwd om vendors te beoordelen, niet protocollen of community-projecten. Het vraagt minimum-omzetcijfers, een commerciële entiteit met support-SLA’s, klantreferenties met betaalde contracten. Keycloak als project past daar niet in. Een Linux Foundation- of Eclipse-project past daar niet in. Pas op het moment dat een commerciële vendor de open codebase verpakt en doorverkoopt (Red Hat rond Keycloak, een SI rond een open IGA-stack) komt er iets in beeld dat in de Quadrant past, maar dan beoordeel je de verpakking, niet het project. De open source aanbod-kant van de markt valt per definitie buiten je longlist als je hem op een Quadrant baseert. Dat is geen vergissing van Gartner. Dat is hoe het instrument werkt.

Sovereignty moet je daarom apart organiseren in je procurementproces. Als criterium met gewicht in de scorematrix, niet als formaliteit op pagina acht. Het is bovendien het soort vraag dat niet los staat van het bredere governance-debat: zonder identity-laag loopt AI governance uiteindelijk vast, en zonder sovereignty-laag loopt diezelfde identity-stack vast op de eerste keer dat een vendor zijn voorwaarden verandert.

Open Source First: de demand-side

De SUSE-brief is in de kern een demand-side ingreep. Wie hem goed leest, ziet dat hij niets verbiedt. Geen ban op US software. Geen verplichte EU-vendor. Wel een verplichte assessment: voordat je een proprietary keuze maakt, beoordeel je of er een gekwalificeerd open source alternatief is. Documenteer en auditeer die afweging.

Kleine ingreep, groot effect. Want hij verandert de standaard. De standaard bij publieke aanbestedingen is nu twintig jaar lang dezelfde: een longlist van wat de grote system integrators standaard meeleveren, en daarbinnen een keuze. Open source komt op pagina twaalf voor, als het al voorkomt.

In IAM zou dit betekenen dat oplossingen als Keycloak, Soffid, of vergelijkbare open source IGA-componenten serieus worden meegewogen. Niet om altijd te winnen. Wel om in beeld te zijn. (Een lage drempel. Wordt nu niet gehaald.)

Wat Joost de Valk eraan toevoegt: de commons

Joost de Valk schreef in mei 2026 een doordachte aanvulling op de SUSE-brief, Open Source First is right, but not enough. Zijn punt: de brief regelt de vraagkant, niet de aanbodkant. Wie betaalt voor de neutrale infrastructuur waar open source op draait?

Hij schrijft uit eigen ervaring. Joost werkte een jaar aan FAIR (Federated and Independent Repositories), het project dat WordPress een neutraal update-fundament wilde geven nadat duidelijk werd dat de update-infrastructuur van wordpress.org één eigenaar had die op een dag kon besluiten 200.000 sites af te sluiten. FAIR kwam met versie 1.0. In februari 2026 stopten Joost en Karim Marucchi met dit specifieke deel voor WordPress, omdat het ecosysteem niet bereid bleek neutraliteit te financieren.

De les is hard. En relevant voor IAM. Open source is een noodzakelijke voorwaarde voor sovereignty, maar niet voldoende. Een markt vol gekwalificeerde open source vendors die elk hun eigen update-infrastructuur draaien, elk met hun eigen single-point-of-failure in de governance, is een markt waarin de WordPress-fout vanzelf opnieuw gebeurt. Onder een nettere jurisdictie, maar met dezelfde structurele kwetsbaarheid.

De aanvulling die Joost vraagt: koppel Open Source First aan een tweede principe, namelijk dat een deel van de publieke aanbestedingsbudgetten naar gedeelde, gefedereerde infrastructuur stroomt die onafhankelijk van een individuele vendor wordt bestuurd. Stichtingen als de Linux Foundation, Eclipse Foundation en NLnet hebben het mechanisme er al voor. Wat ontbreekt is de beleidstoezegging om er op schaal geld naartoe te sturen.

Voor identity is dit allesbehalve abstract. Federated identity layers, OpenID Connect-implementaties, SAML-bibliotheken, de specs zelf: precies het soort commons waar Joost het over heeft. Iedereen leunt erop. Niemand voelt zich verantwoordelijk om het te financieren.

De sovereignty scale van Dries Buytaert

Dries Buytaert, oprichter van Drupal, formuleerde in februari 2026 een Software Sovereignty Scale die het onderscheid maakt dat in de meeste beleidsdocumenten ontbreekt. Niet alle open source is even soeverein. En “Buy European” garandeert niks.

Zijn schaal loopt van A tot E, in de stijl van de energielabels. Grade A is copyleft open source zonder relicensing-risico, gedragen door een neutrale stichting of door zoveel onafhankelijke bijdragers dat relicensing structureel onmogelijk is. Linux, Drupal, WordPress en TYPO3 vallen hieronder — TYPO3 wordt in Dries’ lijstje niet expliciet genoemd, maar past er op alle criteria (GPL-licentie, governance bij een neutrale Association, codebase gedragen door honderden contributors over twee decennia) wel in. Grade B is copyleft met relicensing-risico, zoals MySQL voor de overname door Oracle was. Grade C is permissieve open source, denk aan Apache, MIT, BSD, waar de licentie proprietary forks toestaat (de Redis-saga, waarin Valkey de open variant moest worden, illustreert dat). Grade D is Europese proprietary software, soeverein in jurisdictie maar niet structureel beschermd: één bestuursvergadering volstaat om dat te veranderen. Grade E is buitenlandse proprietary software, waar je al overhandigd hebt.

De pointe waar IAM-beslissers iets aan hebben: van E naar D verschuiven is voortgang, maar van D naar C is waar het echt om gaat. Een Europese vendor die proprietary is, blijft één overname verwijderd van een Skype-scenario. Een open source oplossing op een permissieve licentie blijft één strategische pivot van de eigenaar verwijderd van een Redis-scenario. De structurele bescherming zit in grade A en B. Niet in waar de leverancier zijn kantoor heeft.

Het Solvinity-Kyndryl-DigiD-debacle

Wie dit te theoretisch vindt, kijkt naar wat er sinds maart 2026 rond DigiD speelde. Solvinity, de Nederlandse hostingpartij die het DigiD-platform in een overheidsdatacenter draait, stond op overnamekoers van het Amerikaanse Kyndryl. Daarmee dreigde de jurisdictie onder de hosting van Nederlands kritieke digitale identiteit te schuiven van Nederlands recht naar Amerikaans recht — CLOUD Act, FISA, EO 12333 — zonder dat er één regel code aan DigiD veranderde.

Op 25 mei 2026 heeft staatssecretaris Willemijn Aerdts (Digitale Zaken en Soevereiniteit) de overname formeel verboden, op basis van de Wet Ongewenste Zeggenschap Telecommunicatie. Het Bureau Toetsing Investeringen oordeelde dat de transactie een risico vormt voor de nationale veiligheid en de bescherming van gevoelige persoonsgegevens.

Het kabinet heeft het contract op 27 maart 2026 verlengd met twee jaar, omdat een veilige overstap voor augustus 2026 niet haalbaar bleek. De Kamer uitte zorgen. Drie burgers spanden een kort geding aan. De rechter wees die op 6 mei 2026 af, met als kernargument: de overheid mag deze afweging zelf maken, en migratie binnen vier maanden is operationeel onverantwoord. Juridisch verdedigbaar. Sovereignty-technisch precies het Skype-scenario waar Dries voor waarschuwt.

De les is alsnog hard. Een Nederlandse leverancier, Nederlands gerund, Nederlands datacenter, jaren naar tevredenheid geleverd. Eén beursvergadering verderop wordt dat bijna een Amerikaans bedrijf met Amerikaanse extraterritoriale verplichtingen. Niemand had iets gedaan dat in strijd was met de bestaande regels. De Nederlandse staat kon alleen via een sovereignty-wet (WOZT) ingrijpen — niet via de structuur van het procurement-proces zelf. Dat dat instrument bestaat is een meevaller. Het ontslaat geen enkele organisatie van de plicht om sovereignty als criterium in het inkoopproces te verankeren, in plaats van te hopen dat de overheid achteraf het gat dichtdraait.

Wat dit voor IAM betekent: ook bij een vendor met Nederlandse vlag, Nederlands hoofdkantoor en Nederlands personeel kun je over twee jaar in een Amerikaanse jurisdictie zitten zonder dat je platform verhuisd is. Grade D is precies dat risico. De enige structurele bescherming zit een trede hoger.

In de praktijk wil dat zeggen: vraag bij iedere shortlist-vendor naar het copyright-eigenaarschap van de codebase, naar de licentie, en naar wie de governance van het project hosts. Drie vragen die je nu niet stelt en die het verschil maken tussen een keuze die over tien jaar nog houdt, en een keuze die op een bestuursvergadering wordt teruggedraaid.

Wat dit voor IAM-procurement betekent

Drie aanpassingen in je proces die het verschil maken.

Eén. Zet sovereignty als criterium met gewicht in je RFP-scorematrix. Niet als formaliteit. Reken jurisdictie van de moedermaatschappij, dataresidentie, licentievorm en copyright-concentratie mee. Maak zichtbaar wat de keuze impliceert voor de komende tien jaar. Wie daarna alsnog voor SailPoint of CyberArk kiest, doet dat met open ogen, en dat is een verdedigbare keuze. Wie het kiest omdat het al jaren de gewoonte is, maakt een impliciete sovereignty-keuze zonder hem te benoemen.

Twee. Verbreed de longlist actief. Laat hem opstellen door minimaal twee paar ogen, waarvan één met expliciete opdracht om Europese en open source alternatieven mee te wegen. Daar zijn instrumenten voor. De Digital Sovereignty Assessment Tool die ik daarvoor heb gebouwd brengt afhankelijkheden en risico’s in kaart en helpt om de juiste vragen vroeg in een traject te stellen. Niet om een vendor te selecteren, maar om een longlist te verbreden.

Drie. Beoordeel niet alleen het product, maar ook de commons eronder. Welke standaarden hanteert deze oplossing (SAML, OIDC, SCIM, FAPI), wie host die specs, welk consortium financiert de werkgroepen? Een vendor die uitsluitend op proprietary protocols draait, sluit een uitgang die je later misschien nodig hebt. Een vendor die actief bijdraagt aan de standaarden waarop hij draait, investeert in jouw exit-optie.

Klinkt zwaarder dan het is. Drie vragen extra. Ze passen op een halve pagina van je RFP-template. Ze leveren niet altijd een andere uitkomst op. Ze maken de keuze wel uitlegbaar — aan een toezichthouder, aan een board, aan je opvolger over drie jaar.

Wat TYPO3 hier laat zien

Als supervisory board member van TYPO3 GmbH zit ik aan een tafel waar deze discussie geen abstractie is. TYPO3 is een Europees geboren open source enterprise CMS, gedragen door een non-profit Association en een commerciële GmbH die de zakelijke kant ondersteunt. Codebase onder GPL. Governance gedistribueerd. Op de schaal van Dries scoort het structureel hoog.

Wat TYPO3 in 2026 expliciet doet, is sovereignty als strategische as benoemen. In een uitgebreid stuk in TYPO3 News schreef Panagiotis Semitekolos in februari hoe Europese overheden bewust overschakelen naar open source. Schleswig-Holstein. Frankrijk met zijn alternatief voor Teams en Zoom. Oostenrijk met Nextcloud. Duitsland met openDesk. Allemaal omdat ze hun digitale infrastructuur niet langer aan een bestuursvergadering bij een buitenlandse aandeelhouder willen overlaten. De Duitse Bondsoverheid investeert structureel in TYPO3 zelf voor publieke websites, niet als gunst maar als beleid.

Voor mij is dat geen marketing. Het is een werkbaar model voor hoe je grade-A software in publieke handen houdt. Een neutrale Association als governance-houder. Een commerciële GmbH die het ecosysteem ondersteunt zonder controle over de codebase. Publieke financiering die in de commons stroomt, niet alleen in vendor-licenties. Precies wat Joost en Dries beiden bepleiten, in de praktijk al draaiend.

Datzelfde model is in IAM nog dun bezaaid. Soffid in Spanje doet een poging. Keycloak heeft een sterke open codebase maar zit in corporate verband. Wat ontbreekt is een Europese IAM-stichting die de rol vervult die de Eclipse Foundation voor IDE’s of de Linux Foundation voor het OS speelt. Een gat in het ecosysteem. En precies de plek waar publieke financiering effect zou hebben.

(Ik heb deze argumenten op T3CON 2025 in Düsseldorf ook breder geplaatst, in de presentatie over Preventing CMS Leaks — sovereignty, IAM en CMS-governance lopen op meer plekken in elkaar over dan je in een longlist terugziet.)

Slot

De CAIDA is een markt-signaal. Open Source First is de kleine ingreep die de default verandert. Funding the commons is de aanvulling die voorkomt dat we onder een nettere jurisdictie dezelfde fout opnieuw maken. En de sovereignty scale van Dries is het instrument om te zien welke open source ook structureel beschermd is.

Voor IAM-programma’s zijn dit geen abstracte beleidsdiscussies. Het zijn drie aanpassingen in je RFP-proces. Een paar extra vragen aan je shortlist. En één bewuste keuze: neem je sovereignty serieus voordat je tekent, of beoordeel je het wanneer een incident dat voor je doet.

Wie nu zijn IAM-roadmap herijkt, neemt dit erin mee. Wie wacht, wordt ingehaald op het moment dat een vendor zijn licentie verandert of dat een aanbeveling van Gartner achterhaald blijkt.

Teken de brief van SUSE als hij bij je past. Lees Joost over de commons en Dries over de schaal. En kijk in je eigen procurement-proces of de sovereignty-vraag überhaupt gesteld wordt. Vaak is dat het stuk dat nog ontbreekt voordat een principe een procedure wordt.

Veelgestelde vragen over digital sovereignty en IAM

Wat is Open Source First in de context van EU-aanbestedingen?

Open Source First is het principe dat publieke aanbestedingen verplicht eerst beoordelen of een gekwalificeerd open source alternatief bestaat voordat een proprietary keuze wordt gemaakt. De afweging moet gedocumenteerd en auditeerbaar zijn. De Europese open source coalitie rond de SUSE-brief vraagt om dit principe bindend op te nemen in de EU Cloud and AI Development Act (CAIDA), die op 3 juni 2026 wordt gepresenteerd.

Waarom is een Magic Quadrant geen sovereignty-instrument?

Twee redenen. Eén: een Magic Quadrant beoordeelt productkwaliteit en marktpositie binnen een use case, niet de structurele afhankelijkheidsrisico’s die je tien jaar later raken. Vragen als jurisdictie van de moedermaatschappij, licentievorm, copyright-concentratie en relicensing-risico komen er niet in voor. Twee: het model is gebouwd om vendors te scoren, met inclusiecriteria als minimum-omzet, commerciële support-SLA’s en betaalde klantreferenties. Pure open source projecten (Keycloak, Linux Foundation- of Eclipse-projecten) passen daar structureel niet in. Het instrument sluit dus per ontwerp een deel van de markt uit dat juist vanuit sovereignty-perspectief het meest interessant is.

Wat is de Software Sovereignty Scale van Dries Buytaert?

Dries Buytaert formuleerde een A-tot-E schaal die meet hoe structureel beschermd je gebruiksrechten zijn. Grade A is copyleft open source zonder relicensing-risico (Linux, Drupal, TYPO3). Grade B is copyleft met risico (MySQL/MariaDB). Grade C is permissieve open source (Redis/Valkey). Grade D is Europese proprietary software (Skype voor de overname). Grade E is buitenlandse proprietary software. De sprong van D naar C is waar het qua structurele sovereignty echt om gaat.

Wat laat de Solvinity-Kyndryl-zaak rond DigiD zien?

Solvinity, de Nederlandse hostingpartij waar DigiD op draait, stond in 2026 op overnamekoers van het Amerikaanse Kyndryl. Daarmee dreigde de jurisdictie onder Nederlands kritieke digitale identiteit te schuiven van Nederlands naar Amerikaans recht — CLOUD Act, FISA, EO 12333. Op 25 mei 2026 verbood staatssecretaris Aerdts de overname onder de Wet Ongewenste Zeggenschap Telecommunicatie. Het is precies het grade-D risico van Dries’ schaal: een Europese leverancier blijft één bestuursvergadering verwijderd van een buitenlandse jurisdictie — en alleen dankzij een sovereignty-wet werd dat hier afgewend.

Wat voegt het funding-the-commons argument van Joost de Valk toe?

Joost de Valk wijst erop dat Open Source First de vraagkant regelt maar niet de aanbodkant. Wie betaalt voor de neutrale infrastructuur — package repositories, certificate authorities, federated identity layers, language registries — waar open source software op leunt? Zonder publieke financiering die naar de commons stroomt, recreëer je per vendor hetzelfde single-point-of-failure risico dat WordPress in 2024 liet zien. Voor IAM betekent dit: financier niet alleen vendors, maar ook de standaarden en stichtingen waarop ze rusten.

Hoe relevant is dit voor mijn IAM-RFP vandaag?

Drie concrete aanpassingen. Eén: voeg sovereignty als criterium met gewicht toe aan je scorematrix (jurisdictie, dataresidentie, licentievorm, copyright-concentratie). Twee: laat de longlist door twee paar ogen samenstellen, waarvan één met de opdracht Europese en open source alternatieven mee te wegen. Drie: beoordeel de standaarden en commons onder een product, niet alleen het product zelf. Zie ook mijn eerdere stuk over Europese IAM-vendors voor een overzicht van wat er aan EU-aanbod beschikbaar is.

Wat doet TYPO3 in deze discussie?

TYPO3 is een Europees open source enterprise CMS met een Association als governance-houder en een commerciële GmbH die het ecosysteem ondersteunt. Op de sovereignty scale scoort de stack structureel hoog: GPL-licentie, gedistribueerd copyright, neutrale governance. De Duitse Bondsoverheid investeert structureel in TYPO3 voor publieke websites — een werkbaar voorbeeld van publieke financiering die naar de commons stroomt in plaats van naar vendor-licenties. Een gedetailleerd stuk in TYPO3 News beschrijft hoe het CMS dit positioneert. Ik zit als supervisory board member van TYPO3 GmbH bij deze discussie aan tafel.

Is er een tool waarmee ik mijn eigen stack kan beoordelen?

Ja. De Digital Sovereignty Assessment Tool brengt afhankelijkheden en risico’s in kaart rondom data, infrastructuur en leveranciers, op basis van EU-criteria. Geschikt om een sovereignty-perspectief in een lopend IAM- of digitale werkplek-traject in te brengen, voordat een longlist stolt.

Bronnen

Ric van Westhreenen

Ric van Westhreenen

Programma Manager gespecialiseerd in IAM, digitale werkplek en digitale transformatie. Pragmatisch, hands-on, getting things done.

Verbind op LinkedIn →