Waarom we bij VDMi voor open source kiezen — en waarom dat nu Europees relevant is

Digitale soevereiniteit is het vermogen van een organisatie, overheid of land om zelf te bepalen wélke digitale technologie zij gebruikt, wáár haar data wordt opgeslagen, en hóé haar systemen functioneren — zonder afhankelijkheid van een enkele leverancier of buitenlandse jurisdictie.

Praktisch valt dat uiteen in drie dimensies:

• Data-soevereiniteit — staat jouw klantdata onder Nederlandse of Europese wetgeving, of valt zij onder de Amerikaanse CLOUD Act die buitenlandse opsporing toegang geeft?
• Infrastructuursoevereiniteit — kun je je hosting morgen verplaatsen, of zit je vast aan één hyperscaler met eigen API's en exit-fees?
• Software-eigenaarschap — kun je de broncode auditen, aanpassen en doorgeven, of ben je een licentienemer die hoopt dat de leverancier zich aan zijn beloftes houdt?

Open source raakt alle drie. Niet als ideologie — als verzekering tegen het moment waarop een leverancier zijn voorwaarden eenzijdig wijzigt of een handelspolitieke beslissing jouw bedrijfsvoering raakt.

De afgelopen twaalf maanden is digitale soevereiniteit van een conferentie-onderwerp veranderd in een bestuurlijk dossier. Drie cijfers vertellen waarom.

€265 miljard per jaar. Volgens onderzoek van Asteres voor de Franse IT-vereniging CIGREF stroomt dat bedrag jaarlijks vanuit Europa naar Amerikaanse cloud- en softwareleveranciers (ICTMagazine.nl). Ter vergelijking: dat is het BBP van Portugal, of ruim het dubbele van wat Nederland jaarlijks aan defensie uitgeeft.

+75% in twee jaar. De Duitse federale overheid besteedde in 2025 €481 miljoen aan Microsoft-licenties — een stijging van 75% ten opzichte van 2023. Dat zijn alleen de federale uitgaven; deelstaten tellen daar nog bij op. Vendor lock-in heeft een prijskaartje, en dat kaartje wordt elk jaar duurder.

84,5% marktaandeel. Amerikaanse cloud-aanbieders houden anno 2026 ongeveer 84,5% van de Europese cloudmarkt; AWS, Microsoft en Google alleen al goed voor 70% (MTSprout). Critici noemen veel EU-cloud-initiatieven van diezelfde bedrijven inmiddels "soevereiniteitswashing": een Europees logo op een Amerikaanse stack.

Tegen die achtergrond stelde de Nederlandse Rijksoverheid op 12 december 2025 de Visie Digitale Autonomie en Soevereiniteit vast. Staatssecretaris Van Marum vatte het kernpunt droog samen: "Het gaat niet om alles zelf doen, maar dat we zélf kunnen kiezen en controle houden."

Drupal — het open-source CMS dat wereldwijd door overheden en grote organisaties wordt ingezet — staat sinds 2025 expliciet gepositioneerd als digitale-soevereiniteits-fundament voor Europese instellingen. Op Drupal4Gov EU 2026 en de aankomende DevDays Athens 2026 staat dat thema centraal.

De reden waarom Drupal aansluit bij dat verhaal is feitelijk, niet ideologisch:

• Auditbaar — de code is publiek; security-onderzoekers, overheids-CIO's en jouw eigen ontwikkelaars kunnen meekijken.
• Geen phone-home — een Drupal-installatie communiceert standaard niet met externe servers buiten jouw infrastructuur.
• Geen vendor lock-in — je hosting kan vandaag bij Acquia staan, morgen bij een Europese partner zoals VDMi, en data + functionaliteit gaan mee.
• Lange levensduur — Drupal-projecten draaien soms 15+ jaar door op dezelfde basis, met major upgrades. Geen herbouw bij elke licentie-vernieuwing.

"Open Source is the only software you can run without permission."

— Dries Buytaert, oprichter van Drupal en CTO van Acquia

Buytaert wijst er ook op dat publiek geld vaak róndom open source stroomt in plaats van erin: aanbestedingen kopen "open source-diensten" zonder dat het geld terugkomt bij de maintainers die de code bouwen. EuroStack — een coalitie van 260+ Europese tech-bedrijven — pleit daarom voor een "Buy Open Source Act" die contributie meeweegt in inkoopbeslissingen.

We bedoelen "open source" niet als marketinglabel. We léven erin — letterlijk, op onze eigen laptops. Vier concrete pijlers:

Werkstations, servers, build-pipelines: alles draait op Linux. Geen Windows-licenties, geen macOS-lock-in voor ontwikkelteams. Wanneer je leest dat Schleswig-Holstein 30.000 werkstations migreert weg van Microsoft, of dat het Deense ministerie van Digitalisering naar LibreOffice overstapt — voor ons is dat al jaren de default. Soevereiniteit begint bij je eigen toolkit.

We bouwen klantsites op Drupal omdat klanten zo broncode kunnen auditen, hosting kunnen verplaatsen, en niet vastzitten aan licentiecontracten die jaarlijks 75% kunnen stijgen. Maar we doen meer dan gebruiken: in onze codebase staan eigen patches op modules zoals webtexttool en leadinfo — bewijs dat we contribute, niet alleen consume. Buytaert's punt over publiek geld dat róndom open source stroomt: we proberen aan de andere kant van die vergelijking te staan.

Voor marketing automation draaien we Mautic in plaats van HubSpot. Voor analytics gebruiken we Matomo in plaats van Google Analytics — self-hosted, AVG-conform, zonder dat klantdata van onze klanten naar Amerikaanse trackers gaat. Dat is niet alleen privacy-vriendelijk, het scheelt op termijn ook in licentiekosten en compliance-werk rond de AVG.

Wij hosten in Europa, op infrastructuur die wij zelf beheren. Geen "phone home" naar US-servers, geen CLOUD Act-risico op klantdata. Dat is precies wat de Rijksoverheid-visie van 12-12-2025 nu eist en wat EuroStack-leden bepleiten — bij ons is het al jaren standaard. Wil je weten of jouw stack hier onder valt? Vraag een hostingoffer aan, of plan een gesprek.