Het incident waarbij het Internationaal Strafhof (International Criminal Court, ICC) tijdelijk geen toegang meer had tot zijn e-mailomgeving, raakt aan een fundamenteel bestuurlijk thema: digitale soevereiniteit. Het Strafhof, gevestigd in Den Haag, is een onafhankelijke internationale rechtbank die zich bezighoudt met vervolging van ernstige misdrijven zoals genocide en oorlogsmisdaden. Juist zo’n organisatie moet te allen tijde autonoom kunnen opereren, zonder inmenging van staten of commerciële partijen. Dat de toegang tot een essentieel communicatiemiddel kon worden beperkt door een externe leverancier, maakte internationaal veel los. Het incident illustreert dat digitale afhankelijkheden niet neutraal zijn en dat soevereiniteit in de digitale wereld verder gaat dan vlaggen, verdragen en jurisdictie.
Wat gebeurde er: toegang tot e-mail als machtsmiddel
De kern van het incident was dat het ICC zijn e-mailvoorziening afnam bij een commerciële cloudleverancier, in dit geval Microsoft. Door geopolitieke spanningen en juridische druk vanuit de Verenigde Staten kwam de dienstverlening onder druk te staan, waardoor het Strafhof (tijdelijk) geen toegang had tot zijn e-mail. E-mail is voor een organisatie als het ICC geen ondersteunend hulpmiddel, maar een primaire infrastructuur voor communicatie met staten, advocaten en onderzoekers. Voor niet-technische lezers is het belangrijk dit scherp te zien: dit ging niet om een technische storing, maar om een bestuurlijk en juridisch vraagstuk waarin een leverancier feitelijk invloed kreeg op de operationele continuïteit van een internationale organisatie.
Soevereiniteit in de digitale keten
Traditioneel wordt soevereiniteit gezien als controle over grondgebied en wetgeving. In de digitale realiteit verschuift dit naar controle over data, systemen en toegang. Wanneer kernprocessen draaien op platforms die onder buitenlands recht vallen, ontstaat een nieuwe afhankelijkheid. Het ICC-incident laat zien dat zelfs organisaties met een internationaal mandaat kwetsbaar zijn voor besluiten van externe partijen die buiten hun invloedssfeer vallen. Dit is een typisch supply-chain-risico: niet de eigen organisatie faalt, maar een schakel in de keten wordt een machtsfactor. Voor bestuurders is dit een ongemakkelijke constatering, omdat deze risico’s vaak impliciet zijn en pas zichtbaar worden wanneer het misgaat.
De rol van wetgeving en geopolitiek
Wat dit incident extra complex maakt, is de verwevenheid van technologie en geopolitiek. Amerikaanse technologiebedrijven vallen onder Amerikaanse wetgeving en kunnen daardoor worden geconfronteerd met sancties, exportbeperkingen of politieke druk. Dit werkt direct door naar klanten wereldwijd. Voor het ICC, dat juist onafhankelijk moet zijn van individuele staten, is dit problematisch. Maar dezelfde dynamiek geldt in mildere vorm ook voor Europese overheden, toezichthouders en semipublieke organisaties. De vraag is niet of leveranciers betrouwbaar zijn, maar onder welke wetgeving zij opereren en welke verplichtingen zij kunnen krijgen opgelegd. Digitale soevereiniteit betekent daarom ook: begrijpen welke externe krachten invloed kunnen uitoefenen op uw digitale infrastructuur.
Bestuurlijke lessen: e-mail is geen commodity
Een belangrijke les uit dit incident is dat sommige digitale diensten te snel als “commodity” worden gezien. E-mail, cloudopslag en samenwerkingsplatformen lijken generiek en vervangbaar, maar zijn in werkelijkheid diep verweven met primaire processen. Voor bestuurders betekent dit dat keuzes voor leveranciers strategisch zijn, ook als het om ogenschijnlijk standaarddiensten gaat. De vraag “wat gebeurt er als de leverancier morgen de stekker eruit trekt?” is geen doemscenario, maar een legitieme bestuursvraag. Voor CISO’s en CIO’s ligt hier de taak om deze afhankelijkheden expliciet te maken en te vertalen naar risico’s voor continuïteit, reputatie en autonomie.
Soevereiniteit is geen alles-of-niets-keuze
Het ICC-incident laat ook zien dat digitale soevereiniteit geen zwart-witbegrip is. Volledig onafhankelijk opereren is voor de meeste organisaties niet realistisch. De uitdaging zit in het bewust kiezen waar afhankelijkheid acceptabel is en waar niet. Dat vraagt om differentiatie: welke systemen zijn kritisch voor missie en mandaat, en welke ondersteunend? Voor kritische systemen kan gekozen worden voor strengere eisen, alternatieven of exit-scenario’s. Dit is geen pleidooi tegen cloudgebruik, maar voor bewuste governance. Soevereiniteit gaat niet over technologie afwijzen, maar over regie behouden.
Relevantie voor Nederlandse organisaties
Hoewel het ICC een unieke internationale positie heeft, zijn de lessen zeer relevant voor Nederlandse overheden en middelgrote organisaties. Ook zij maken gebruik van buitenlandse cloudleveranciers voor kernprocessen. Het incident maakt duidelijk dat digitale afhankelijkheden bestuurlijk eigenaarschap vragen. Zeker in sectoren waar vertrouwelijkheid, continuïteit en onafhankelijkheid cruciaal zijn, moet soevereiniteit expliciet onderdeel zijn van risicomanagement. Positief is dat dit soort incidenten het gesprek verdiepen. Ze helpen bestuurders om digitale supply chain risk niet alleen te zien als een beveiligingsvraagstuk, maar als een strategisch thema dat raakt aan autonomie en vertrouwen.
Conclusie: soevereiniteit begint bij inzicht
De tijdelijke ontzegging van e-mailtoegang bij het Internationaal Strafhof is geen technisch incident, maar een bestuurlijke wake-upcall. Het laat zien dat digitale soevereiniteit kwetsbaar is wanneer kernprocessen afhankelijk zijn van externe partijen onder vreemd recht. Voor directies en CISO’s is de belangrijkste les dat inzicht in digitale afhankelijkheden een voorwaarde is voor autonomie. Wie begrijpt waar de knoppen zitten en wie eraan kan draaien, kan betere keuzes maken. In een wereld waarin digitalisering en geopolitiek steeds meer verweven raken, is dat geen luxe, maar noodzaak.
