Nederlandse organisaties zijn zich bewust van digitale afhankelijkheden, maar vertalen dit nog beperkt naar actie, concludeert NPM-participatie Conclusion uit onderzoek. Uit de Tech Reality Check 2026 van Conclusion onder 1058 IT-beslissers in vier Europese landen blijkt dat 62 procent van de Nederlandse respondenten risico’s rondom buitenlandse wetgeving pas serieus neemt na een incident, tegenover 55 procent gemiddeld in Europa.
Hoewel digitale soevereiniteit hoog op de agenda staat door geopolitieke ontwikkelingen en nieuwe regelgeving, blijft concrete actie achter. Zo geeft 86 procent van de Europese respondenten aan zich bewust te zijn van de risico’s van afhankelijkheid van buitenlandse technologie, maar heeft slechts de helft dit omgezet in beleid dat daadwerkelijk wordt toegepast. Daarmee ontstaat een kloof tussen bewustzijn en uitvoering.
In Nederland is die kloof relatief groot. Slechts 36 procent van de organisaties heeft actief beleid om digitale afhankelijkheden te beheersen, tegenover 53 procent in Duitsland en 56 procent in Spanje. Ook heeft 49 procent volledig inzicht in kritieke afhankelijkheden, waar dat in Spanje en Duitsland rond de 70 procent ligt. Daarnaast verwacht 45 procent van de Nederlandse organisaties grote verstoringen als een belangrijke leverancier of cloudplatform wegvalt.
“Digitale soevereiniteit draait om weten van welke technologie, leveranciers en kennis je afhankelijk bent én welke risico’s daarbij horen”, zegt Lucas Jellema, CTO van Conclusion. “Die analyse vraagt om structuur: breng per systeem, proces en dataset de afhankelijkheden in kaart, bepaal de impact van mogelijke verstoringen en weeg welke restrisico’s overblijven na mitigatie.”
Jellema vult aan: “In Nederland zien we onszelf graag als digitale koploper, maar in dit onderzoek blijkt dat het bewustzijn van risico’s hier minder vaak wordt vertaald naar concrete keuzes en maatregelen dan in vergelijkbare landen. Het tekent een patroon: we weten dat er werk aan de winkel is, en stellen het tegelijkertijd uit tot een incident zich voordoet. De stap die nu nodig is, gaat niet over meer techniek of meer beleid op papier, maar over governance die dwingt tot keuzes: welke risico’s accepteren we? Welke mitigatiemaatregelen nemen we? En wie binnen de organisatie neemt hiervoor het leiderschap op zich? Alleen door die keuzes expliciet te maken, ontstaat de regie die nodig is om digitale soevereiniteit daadwerkelijk te versterken.”
