Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > De EU heeft open source centraal gesteld in de Europese technologische soevereiniteit. Wij waren er klaar voor.
De EU heeft open source centraal gesteld in de Europese technologische soevereiniteit. Wij waren er klaar voor.

De EU heeft open source centraal gesteld in de Europese technologische soevereiniteit. Wij waren er klaar voor.

by David Walter updated juni 11, 2026 Kiteworks-nieuws
Reading Time: 6 minutes

Het getal dat elke Europese CIO wakker moet schudden

Onlangs publiceerde de Europese Commissie het European Technological Sovereignty Package. Dit omvat de Chips Act 2.0, de Cloud and AI Development Act, een strategisch stappenplan voor Digitalisering en AI in Energie en voor het eerst in de digitale beleidsgeschiedenis van de EU een volledige EU Open Source Strategie.

Het opvallende getal in het factsheet: €264 miljard dat jaarlijks wordt uitgegeven aan producten en diensten uit derde landen. Dat is het cijfer waarbij elke Europese CIO en inkoopverantwoordelijke zou moeten stoppen en het document aandachtig lezen. Geen €264 miljoen. €264 miljard. Per jaar. Dat stroomt grotendeels naar een handvol grote, propriëtaire cloud- en softwareleveranciers, organisaties waarvan de servicevoorwaarden, prijzen, productplannen en datatoegangsbeleid worden bepaald in bestuurskamers zonder enige verantwoording aan Europese instellingen of burgers.

Commissievoorzitter Ursula von der Leyen verwoordde het helder: “We kunnen het ons niet permitteren afhankelijk te zijn van anderen voor de technologieën die onze ziekenhuizen draaiende houden, onze energienetten stabiel houden en onze diensten veilig. Dit gaat over het beschermen van onze burgers, het verdedigen van onze belangen en het maken van onze eigen keuzes.”

Dit is geen technologisch beleidsstatement. Dit is een geopolitieke boodschap. En die komt op een moment waarop de geopolitieke druk op de Europese digitale infrastructuur groter is dan ooit sinds de GDPR.

Open source is geen voetnoot meer

Eerdere EU-strategiedocumenten over digitalisering noemden open source slechts terloops. Een opsomming hier, een verwijzing naar het Free and Open Source Software (FOSS)-ecosysteem daar. Het Tech Sovereignty Package is anders. De EU Open Source Strategie plaatst open source centraal in de technologische soevereiniteit van de EU. De Cloud and AI Development Act bevestigt de inzet van de Commissie voor een open, samenwerkende en veerkrachtige digitale omgeving.

De Commissie trekt expliciet een lijn tussen vendor lock-in en strategische kwetsbaarheid, en stelt dat de concentratie van de digitale infrastructuur van de EU in handen van een klein aantal dominante propriëtaire aanbieders niet alleen een concurrentiekwestie is, maar een strategische kwetsbaarheid. Dat is een belangrijke verschuiving. Jarenlang was het argument voor open source bij overheidsinkoop economisch (lagere Total Cost of Ownership) of ideologisch (digitale commons). Het Tech Sovereignty Package maakt het strategisch. Afhankelijkheid van propriëtaire software van leveranciers die je niet controleert, belemmert digitale soevereiniteit. Dat is het standpunt van de Commissie, vastgelegd in een officieel beleidsdocument.

Het factsheet vermeldt ook 3 miljoen open source-bijdragers in Europa die digitale oplossingen leveren. Dat is het personeelsbestand. De strategie, de bijdragers en de politieke wil zijn nu allemaal op elkaar afgestemd.

Wat “soevereiniteit” echt vereist

Hier wil ik precies zijn, want “digitale soevereiniteit” is een label geworden dat elke cloudleverancier op zijn datacenter in Frankfurt plakt en het daarmee afdoet.

Echte soevereiniteit kent vier vereisten. Het Tech Sovereignty Package behandelt ze allemaal.

  1. Je moet de software zelf kunnen draaien.
    Een “soevereine cloud” waarbij de code propriëtair is en de leverancier je licentie kan beëindigen, de voorwaarden kan wijzigen of je data naar eigen inzicht kan benaderen, is niet soeverein. Dat is huurderschap met marketingtaal. Dit geldt ongeacht waar de leverancier is gevestigd. Een propriëtaire lock-in met een datacenter in Frankfurt blijft een lock-in. Open source met zelf-hosting is het uitgangspunt. De Cloud and AI Development Act introduceert een soevereiniteitsbeoordelingskader precies omdat de Commissie dit onderscheid begrijpt.
  2. Je moet weten wat er in de software zit.
    Beveiliging van de toeleveringsketen is geen modewoord. Het is de vraag of je weet welke derde partij-code in je infrastructuur draait, waar die vandaan komt en of die is geaudit. SBOM’s (Software Bill of Materials), ondertekende builds en beleid voor kwetsbaarheidsmelding zijn de operationele uitdrukking van soevereiniteit in software.
  3. Je hebt verifieerbaar bestuur nodig.
    Een leverancier die zegt “we zetten in op open source” zonder een gepubliceerd bestuurscharter, zonder een community advisory board, zonder een vastgelegd proces voor besluitvorming, doet een marketingbelofte, geen structurele toezegging. De Open Source Strategie adresseert dit door te pleiten voor organisatorische en bestuursmatige capaciteiten die open source-projecten op de lange termijn ondersteunen.
  4. Je hebt juridische duidelijkheid nodig.
    Open source-licenties zijn niet allemaal gelijk. De Apache 2.0-licentie is permissief, inkoopveilig en compatibel met het breedste scala aan vereisten van Europese ondernemingen en publieke sector. AGPL is een copyleft-licentie, wat betekent dat software die deze bevat, verplicht kan worden onder dezelfde voorwaarden te worden vrijgegeven (vaak een blokkade bij propriëtaire overheidsinkoop). Inzicht in je licentie-stack is onderdeel van soevereine inkoophygiëne.

Wat we bouwden vóór het beleid er was

ownCloud is in 2010 opgericht in Duitsland. Het wordt al zestien jaar ingezet bij Europese scholen, overheidsinstanties, onderzoeksinstituten en clouds in de publieke sector. Miljoenen gebruikers vertrouwen op oCIS.

Op 5 mei, een maand voordat dit pakket werd gepubliceerd, lanceerden we het Kiteworks Open Source Program Office. Alles in onze OSPO-lancering sluit direct aan op wat het Tech Sovereignty Package nu op beleidsniveau vraagt:

Standaard Apache 2.0.
oCIS gebruikt Apache 2.0-licenties. Nieuwe repositories krijgen standaard Apache 2.0. Geen copyleft-risico bij je inkoop. Geen licentie-ambiguïteit als commercieel drukmiddel. We leggen dit vast in ons manifest.

CLA afgeschaft, DCO ingevoerd.
Bijdragers behouden hun auteursrecht. Dit is belangrijk voor soevereiniteit, omdat het betekent dat geen enkele leverancier de volledige codebase bezit. De code behoort toe aan de mensen die hem schreven, gelicentieerd aan de wereld onder Apache 2.0.

Gepubliceerd bestuurscharter.
Geen wensdenken, maar een document met vastgelegde rollen, besluitvormingsprocessen, conflictoplossing, een tijdlijn voor de Community Advisory Board en een openbare commentaarperiode van 30 dagen voor beleidswijzigingen. Er staat expliciet dat Kiteworks de roadmap bepaalt, en expliciet hoe de community invloed kan uitoefenen op die richting. Dat is de structurele toezegging waar de Open Source Strategie om vraagt.

SBOM, ondertekende builds, VDP.
Beveiliging van de toeleveringsketen is voor ons geen theorie. We publiceerden een beleid voor kwetsbaarheidsmelding, draaien een bug bounty-programma op YesWeHack, genereren SBOM’s per release, ondertekenen onze container images en publiceren patch management-registraties. Eerder dit jaar handelden we een supply chain compromise (CVE-2026-33634, Trivy) af met een openbaar incidentrapport, meldingen aan getroffen klanten in hun eigen taal en bijgewerkte images binnen het blootstellingsvenster. Dat is soevereiniteit onder druk, niet alleen in de marketingpresentatie.

12 gepubliceerde documenten.
Visie, missie, manifest, bestuurscharter, AI-bijdragebeleid, beleid voor beveiligingsmelding, bijdragegids, geleerde lessen, gedragscode, engagement, empowerment, productvisie (lees meer op onze OSPO-pagina). Elke toezegging die we doen is schriftelijk vastgelegd en publiekelijk verifieerbaar.

Waarom de OSPO de juiste structuur is

Het Tech Sovereignty Package adresseert open source op beleidsniveau. OSPO’s (Open Source Program Offices) zijn de organisatorische structuur die beleid operationeel maakt binnen bedrijven en publieke instellingen.

De Open Source Strategie van de Commissie is tot nu toe de belangrijkste stap van Europa om met open source een soevereine en veerkrachtige digitale toekomst te realiseren. Maar een strategie zonder uitvoering is slechts een document. De Kiteworks OSPO bestaat om de ownCloud-implementatie concreet te maken: een gepubliceerd beveiligingsbeleid, een vastgelegd pad voor bijdragers, een community governance-structuur en een commercieel ondersteuningsmodel dat het open source-product financieel duurzaam maakt zonder concessies te doen aan openheid.

De vier elementen van ons commerciële model sluiten direct aan op wat publieke sector-klanten in Europa nodig hebben om open source verantwoord te implementeren:

  1. Support en SLA’s.
    De code is gratis. Iemand die om 2 uur ’s nachts antwoordt als je Virtuele dataruimte uitvalt, is dat niet. De supportniveaus bieden publieke organisaties de contractuele respons die ze nodig hebben voor kritieke infrastructuur.
  2. Hardened builds en SBOM.
    De auditor geeft niet om de GitHub-link. Die heeft een ondertekende SBOM, een patch management-registratie en een leveranciersverklaring nodig. Wij leveren alle drie.
  3. Compliance-documentatie.
    Publieke organisaties in Duitsland en de hele EU werken onder deze kaders. Onze Kiteworks-abonnementen bevatten de compliance-mapping, de auditondersteuning en het toegewijde compliance-contact die ownCloud controleerbaar maken in gereguleerde contexten.
  4. Juridische bescherming.
    Apache 2.0 is permissief. Onze supportabonnementen voegen IP-vrijwaring toe voor organisaties die een leverancier nodig hebben die achter de licentie staat.

Het getal dat telt

€264 miljard. Per jaar. Naar leveranciers van wie Europese organisaties de roadmap, prijzen en voorwaarden niet wezenlijk kunnen beïnvloeden.

Het Tech Sovereignty Package zal dat getal niet van de ene op de andere dag veranderen. Wetgevingsprocessen kosten tijd. Inkoopcycli zijn lang. Institutionele gewoontes zijn hardnekkig.

Maar de koers is uitgezet. De EU wil Europa’s capaciteit op het gebied van halfgeleiders, AI, cloud computing en open source uitbouwen. De Open Source Strategie, de soevereiniteitsvereisten van de Cloud and AI Development Act, het open source-mandaat voor de publieke sector: dit zijn de structurele voorwaarden voor open, bestuurde en controleerbare alternatieven om de standaard te worden.

Het probleem was nooit waar de leverancier is gevestigd. Het gaat erom of je de code kunt auditen, indien nodig kunt forken, de toeleveringsketen kunt verifiëren en het op je eigen infrastructuur onder je eigen juridische kader kunt draaien. Vendor lock-in faalt op alle vier de punten. Open source, goed uitgevoerd, slaagt op alle vier.

ownCloud is sinds 2010 dat alternatief. De OSPO maakt de governance- en community-toezeggingen structureel in plaats van alleen verbaal. En het recent gepubliceerde Tech Sovereignty Package bevestigt dat wat wij bouwen precies is wat het Europese digitale beleid nu vraagt.

De timing is geen toeval. Het probleem is al jaren zichtbaar. Wij werken al aan het antwoord.

Lees het EU Tech Sovereignty Factsheet: ec.europa.eu/commission/presscorner

ownCloud OSPO: kiteworks.com/opensource · owncloud.com/blogs

Probeer oCIS: github.com/owncloud/ocis · owncloud.dev

David Walter is VP van het Open Source Program Office bij Kiteworks, waar hij leiding geeft aan open source governance, licenties en community-engagement voor ownCloud. Hij is sinds 2014 actief in het ownCloud-ecosysteem.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks