een versterkte aanpak op het afspreken, invoeren en handhaven van (digitale) standaarden, zoals via Nederlandse Digitaliseringsstrategie. Daarnaast noemt de brief het inzetten op meer steun bij implementatie en toetsing vooraf bij IT-projecten.

Ik onderzoek ook hoe we IT-projecten en aanbestedingen bijoverheidsorganisaties vooraf kunnen toetsen en een zwaarwegend advies meekunnen geven over de uit te vragen relevante verplichte standaarden van de ‘Pastoe of leg uit’-lijs

“Digitale inkoop en aanbestedingen worden gestandaardiseerd en gecentraliseerd, gestuurd op security-by-design, zero-trust, soevereiniteit, open source en ketenveiligheid. De overheid benut haar marktmacht om veilige standaarden af te dwingen en stelt rijksbrede minimumeisen op voor security. Om voor financiering in aanmerking te komen moeten IT-projecten van de overheid (> €5 mln.) aan centrale IT-standaarden worden getoetst”

Een revolutie in de ICT in de Rijksoverheid: centrale aansturing, centrale inkoop, verplichte standaarden, geen geld als men zich niet aan die standaarden houdt. Dit vanuit Binnenlandse Zaken, die daar een zware dobber aan gaan krijgen

Procurement requirements could include open supply chain tooling. If an agency requires SBOMs, they could also require that generation doesn’t depend on proprietary services. If they require vulnerability scanning, the scanner could consume open advisory databases. Germany’s ZenDiS and openCode.de initiatives are relevant here. Connecting them with existing open solutions would be more efficient than starting fresh.

Dries Buytaert extended this to procurement: governments buy from system integrators who package and resell open source, but that money doesn’t reach the maintainers who build it. If procurement scoring rewarded upstream contributions, money would flow differently. Open source is “the only software you can run without permission” and therefore useful for sovereignty, but it needs funding to work.

Data Protection Impact Assessment (DPIA) before deploying any new technology that is "likely to result in a high risk to the rights and freedoms of natural persons." When conducted for US hyperscaler services, these DPIAs invariably flag the CLOUD Act as a significant, often unacceptable, risk. This legal obligation is increasingly becoming the primary driver of public bodies to seek alternatives.

overheden, stimuleer de vraag naar alternatieven voor de diensten van grote Amerikaanse bedrijven zoals Microsoft, Google en Amazon. Doe een percentage – bijvoorbeeld 20 of 30 procent –van de overheidsbestedingen Europees. Dan stimuleer je de vraag en gaan Europese bedrijven die producten en diensten ook ontwikkelen