Europa staat op een kruis­punt. Terwijl de Europese Unie worstelt met een groei­ende afhan­ke­lijk­heid van Ameri­kaanse en Chinese techgi­ganten, groeit de roep om een radicaal nieuwe aanpak van digitale inkoop door de overheid. Een recent voorstel van de EuroStack Industry Initi­a­tive, een groep van onbetaalde vrijwil­li­gers en tech-experts, schetst een gedetail­leerd plan voor een “Koop Europees”-regelgeving voor strate­gi­sche digitale inkopen. Het doel: de Europese digitale soeve­rei­ni­teit herwinnen en de afhan­ke­lijk­heid van buiten­landse leveran­ciers drastisch verminderen.

De huidige paradox: “Koop overal” vs. “Koop Amerikaans”

Europa’s huidige inkoop­be­leid voor digitale diensten berust op het principe van open markten en non-discri­mi­natie. In de praktijk betekent dit dat Europese overheden en instel­lingen vaak kiezen voor de goedkoopste of meest geavan­ceerde oplos­sing, ongeacht de herkomst. Dit staat in schril contrast met het Ameri­kaanse “Buy American”-beleid, dat actief lokale industrieën beschermt en versterkt. China hanteert een nog stren­gere aanpak: lokale leveran­ciers zijn verplicht.

Het probleem? Europa’s “koop overal”-mentaliteit maakt de EU kwets­baar voor geopo­li­tieke druk, datalekken en juridi­sche conflicten. Ameri­kaanse wetten zoals de CLOUD Act en FISA 702 stellen Ameri­kaanse techbe­drijven in staat om Europese data op te vragen, zelfs als deze op Europese servers staat. “We accep­teren een situatie waarin Europese burgers en bedrijven afhan­ke­lijk zijn van techno­logie die onder­worpen is aan buiten­landse wetge­ving,” aldus het EuroStack-voorstel. “Dit is niet langer alleen een econo­misch, maar ook een veiligheidsrisico.”

Het voorstel: een juridisch bindend kader voor “Koop Europees”

Het EuroStack-voorstel bepleit een nieuwe EU-veror­de­ning die een duide­lijk, juridisch afdwing­baar voorkeurs­be­leid intro­du­ceert voor Europese leveran­ciers bij strate­gi­sche digitale inkopen, zoals cloud­dien­sten en AI. Centraal staat een vijfdi­men­si­o­nale definitie van wat een “soeve­reine Europese leveran­cier” is. Deze definitie is ontworpen om “soeve­rei­ni­teits­wassen” — waarbij niet-Europese bedrijven zich als Europees voordoen — te voorkomen.

De vijf dimen­sies van digitale soevereiniteit:

Juridi­sche en bestuur­lijke soevereiniteit

• De uitein­de­lijke moeder­maat­schappij van de leveran­cier moet in de EU zijn geves­tigd en onder­worpen zijn aan Europees recht.
• Geen buiten­landse controle: geen buiten-Europese entiteit mag een blokke­rend aandeel of beslis­sende invloed hebben.

Techni­sche soevereiniteit

• Open standaarden en open-source software zijn verplicht om vendor lock-in te voorkomen.
• De broncode van kerntech­no­logie moet audit­baar zijn door Europese derde partijen.

Opera­ti­o­nele soevereiniteit

• Alle fysieke infra­struc­tuur en opera­ti­o­nele controle moeten binnen de EU liggen.
• Alle bevoor­rechte gebrui­kers (bijv. systeem­be­heer­ders) moeten EU-burgers zijn en vanuit de EU werken.

Datasoe­ve­rei­ni­teit

• Alle klant­ge­ge­vens, inclu­sief back-ups en logs, moeten exclu­sief binnen de EU worden opgeslagen en verwerkt.
• Techni­sche maatre­gelen, zoals confi­den­tial compu­ting, moeten ervoor zorgen dat zelfs de leveran­cier zelf geen toegang heeft tot onver­sleu­telde data.

Econo­mi­sche soevereiniteit

• De leveran­cier moet aantonen dat het meren­deel van zijn R&D‑investeringen en hoogwaar­dige banen in Europa zijn gevestigd.
• Trans­pa­rante en eerlijke zakelijke modellen, zonder straf­bare exitkosten of vendor lock-in.

Juridische basis: veiligheidsbelang als uitzondering

Een van de grootste uitda­gingen is de compa­ti­bi­li­teit van het voorstel met inter­na­ti­o­nale handels­ver­dragen, zoals het Govern­ment Procure­ment Agree­ment (GPA) van de Wereld­han­dels­or­ga­ni­satie (WTO). Het EuroStack-voorstel argumen­teren dat de “essen­tiële veiligheidsbelangen”-clausule in het GPA en het EU-Verdrag (Artikel 346 VWEU) een juridi­sche basis biedt voor het nieuwe beleid.

“Digitale soeve­rei­ni­teit is geen econo­mi­sche voorkeur, maar een moderne compo­nent van natio­nale veilig­heid”, staat in het document. Door digitale infra­struc­tuur als “strate­gisch en essen­tieel voor natio­nale veilig­heid” te bestem­pelen, kan de EU een voorkeurs­be­leid voor Europese leveran­ciers recht­vaar­digen — zonder in strijd te komen met inter­na­ti­o­nale handelsregels.

Praktische implementatie: van theorie naar wetgeving

Het voorstel stelt een EU-veror­de­ning voor, in plaats van een richt­lijn of aanbe­ve­ling. Een veror­de­ning is direct toepas­baar in alle lidstaten, zonder natio­nale vertra­ging of inter­pre­ta­tie­ver­schillen. Dit voorkomt dat niet-Europese leveran­ciers gebruik­maken van zwakkere natio­nale implementaties.

Hoe werkt het in de praktijk?

1. Selec­tie­cri­teria: Leveran­ciers moeten aantonen dat ze voldoen aan de juridi­sche en bestuur­lijke eisen (Dimensie 1). Wie niet voldoet, wordt direct uitgesloten.
2. Techni­sche speci­fi­ca­ties: Voor geselec­teerde leveran­ciers worden minimale eisen gesteld aan techni­sche, opera­ti­o­nele en datasoe­ve­rei­ni­teit (Dimen­sies 2 – 4).
3. Aanbe­ste­dings­cri­teria: Bij gelijk­waar­dige aanbie­dingen wint de leveran­cier die het meest bijdraagt aan de Europese economie (Dimensie 5).

De noodzaak van actie: economische en veiligheidsrisico’s

Het niet handelen heeft volgens het rapport drie grote risico’s:

1. Juridisch risico: Europese data blijft onder­worpen aan buiten­landse wetge­ving, zoals de Ameri­kaanse CLOUD Act.
2. Techno­lo­gisch risico: Europa bouwt een “soeve­reine gevan­genis” — data staat welis­waar veilig in Europa, maar is afhan­ke­lijk van gesloten, buiten­landse technologie.
3. Econo­misch risico: Europese belas­ting­geld finan­ciert de innovatie van Ameri­kaanse en Chinese techgi­ganten, in plaats van Europese bedrijven.

“Door enorme overheids­con­tracten toe te kennen aan niet-Europese hypers­ca­lers, finan­cieren we met ons eigen geld de R&D van onze mondiale concur­renten”, waarschuwt het rapport. “Europa wordt geredu­ceerd tot een winst­ge­vende afzet­markt, in plaats van een hub voor techno­lo­gi­sche innovatie.”

Volgende stappen: een oproep aan de Europese Commissie

Het EuroStack-voorstel doet een dringend beroep op de Europese Commissie, met name op EVP Stéphane Séjourné (Interne Markt) en EVP Henna Virkkunen (Toekomst en Beleid), om:

1. Het kader te adopteren als defini­tieve standaard voor “soeve­reine Europese leveranciers”.
2. Onmid­del­lijk een wetge­vings­proces te starten voor een nieuwe EU-veror­de­ning, gebaseerd op dit voorstel.
3. Het kader te gebruiken als technisch funda­ment voor aanstaande wetge­ving over cloud- en AI-inkoop.

“De tijd voor abstracte discus­sies is voorbij,” staat in het document. “De risico’s van niets­doen zijn duide­lijk, groeiend en gedocu­men­teerd. We hebben een kant-en-klaar antwoord op de roep om een definitie van soeve­rei­ni­teit. Nu is het tijd om van analyse over te gaan op actie.”

Een wake-up call voor Europa

Het EuroStack-voorstel is meer dan een beleids­do­cu­ment; het is een wake-up call. Europa kan niet langer afhan­ke­lijk blijven van buiten­landse techno­logie voor kritieke digitale infra­struc­tuur. Het “Koop Europees”-voorstel biedt een concreet, juridisch robuust en actie­ge­richt plan om de digitale soeve­rei­ni­teit te herwinnen.

De vraag is niet langer of Europa moet handelen, maar hoe snel het dit kan imple­men­teren. De bal ligt nu bij de Europese Commissie en de lidstaten: willen ze de controle over hun digitale toekomst behouden, of blijven ze afhan­ke­lijk van de strate­gi­sche belangen van anderen?

Photo by Chris­tian Lue on Unsplash