Grote technische afhankelijkheid van USA en China
De top 10 van grote technologiebedrijven wordt gedomineerd door partijen uit Amerika en Azië. Europa speelt hier eigenlijk nauwelijks tot geen rol.
Onze bedrijven, instellingen en overheden maken massaal gebruik van software van partijen als Microsoft en Oracle, van de infrastructuur (cloud) van partijen als AWS en Google en van hardware van partijen als Cisco en Apple. De software ‘draait’ bovendien steeds minder vaak lokaal, maar juist op infrastructuur die (direct of indirect) in beheer is bij dergelijke buitenlandse partijen. En wat te denken van geïntegreerd web services in software, die ‘onder water’ communiceren met partijen in het buitenland (ook al staat de software zelf lokaal).
Waarom werd afhankelijkheid van Big Tech lange tijd geaccepteerd?
Dit is een proces dat de afgelopen jaren alleen maar verder versneld is, vaak ook omdat uitbesteden naar een partij ‘in de cloud’ nu eenmaal goedkoper is. En mede ook omdat in de ICT de economische wetten van schaalvoordelen heel erg sterk spelen, blijken partijen die al heel groot zijn vaak ook weer een goedkoop aanbod te kunnen doen. Je zou dief van je eigen portemonnee zijn als je niet voor de goedkoopste aanbieder zou gaan.
Lang baarde dit veel organisaties weinig zorgen. Er was vaak wel de nodige aandacht voor regionalisatie van data (dus gegevensverwerking op Europese bodem). Echt zaligmakend waren die afspraken echter nooit, nu buitenlandse bedrijven ook altijd aan hun eigen lokale wetgeving gebonden zijn en die wetgeving kan maken dat gegevens moeten worden afgegeven.
Europa komt met hele set aan extra regels maar geen verbod
Stap voor stap nemen de zorgen over deze ontwikkelingen echter wel toe. De laatste jaren kwam de Europese Unie bijvoorbeeld met de EU Digitale Agenda. Een hele set aan regels om Europa te versterken op het gebied van cyberveiligheid, data-autonomie en betere mededinging.
Tegelijkertijd valt op dat in diezelfde set aan regels niet een verbod is opgenomen op het outsourcen van IT aan buitenlandse partijen. De Europese wetgever gelooft in die zin nog steeds in de wetten van de vrije en ook internationale markt. Deze markt wordt wel beteugeld, maar niet totaal afgeknepen.
In die zin zijn we nog steeds bij de situatie zoals ik prof. Bart Jacobs al eens treffend hoorde samenvatten: “We run American software on Chinese hardware, governed by European rules”.
De zorgen over Big Tech en data-soevereiniteit nemen toe
De zorgen nemen hand over hand toe. Uit een onderzoek vorig jaar van iBestuur en Binnenlands Bestuur bleek dat veel gemeenten zich zorgen maken over hun afhankelijkheid van Big Tech. Dit kwam vervolgens o.m. terug op het Overheid 360 congres.
De laatste tijd gaat het opeens hard. Zo besteedde Nieuwsuur al meerdere items aan de thematiek (zie o.a. de uitzending van 4 februari), uitten Limburgse gemeenten publiekelijk hun zorgen, liet de gemeente Haarlem weten van Amerikaanse partijen af te willen en presenteerde de gemeente Amsterdam een actieplan om de afhankelijkheid van Big Tech te doorbreken.
En juist nu de zorgen steeds verder toenemen, en ook steeds meer partijen actie ondernemen, kleurt die ontwikkeling ook in wat je op dit vlak van een goed bestuurder mag verwachten. Want hoewel de wet wellicht niet ‘hard’ verbiedt om te outsourcen naar het buitenland, is er nog wel altijd de open norm dat een bestuurder zorgvuldig dient te handelen.
Hoe stappen organisaties over naar soevereine en lokale ICT?
De overstap naar een meer soevereine / lokale IT-infrastructuur is niet van de ene op de andere dag gemaakt. Zoals gezegd is sprake van een sterke verwevenheid met externe IT, zoals in de vorm van infrastructuur, maar denk ook aan software die ‘onder water’ allerlei externe web services aanroept. Dit vergt aldus allereerst een goede inventarisatie.
Ook zal moeten worden getoetst of de bestaande contracten wel op te zeggen zijn. IT-contracten zijn notoir eenzijdig en dat geldt zeker voor die van Big Tech. Voortijdig opzeggen is lang niet altijd eenvoudig. Dat wil echter niet zeggen dat het onmogelijk is.
En het is natuurlijk de vraag wat het alternatief is. Zijn de lokale alternatieven er wel, zijn die alternatieven niet tevens verweven met buitenlandse aanbieders en hoe pak je de overstap feitelijk aan? Hier weten we uit ervaring dat er (veel) meer mogelijk is dan menigeen denkt.
Staat het aanbestedingsrecht het weren van niet-Europese ICT toe?
Een veel voorkomend misverstand is dat het aanbestedingsrecht onmogelijk zou maken ondernemingen of producten uit bepaalde landen te weren. Dat misverstand nemen we graag weg.
Om te beginnen mogen ondernemingen/ inschrijvers worden uitgesloten die zijn gevestigd in landen die niet zijn aangesloten bij de Government Procurement Agreement (GPA). China is niet aangesloten zodat ondernemingen gevestigd in China geen beroep op het Europese aanbestedingsrecht kunnen doen. In de praktijk biedt dit (inderdaad) weinig uitkomst omdat producten uit dergelijke 'derde landen' meestal worden aangeboden door Europese ondernemingen/ inschrijvers. Zij kunnen zich uiteraard wel beroepen op het Europese aanbestedingsrecht.
Bij een beroep op het Europese aanbestedingsrecht vonden ze veelal de Nederlandse rechters (en de Commissie van Aanbestedingsexperts) aan hun kant. Zij oordeelden namelijk dat er (nog) twee voorwaarden van toepassing zouden zijn die in de praktijk zelden konden worden ingevuld, te weten (i) dat er geen nauwkeurige beschrijving (van de specificaties) mogelijk is en (ii) dat er altijd gelijkwaardige producten moeten worden geaccepteerd. Begin 2025 heeft de Europese rechter in het "DYKA-arrest" echter duidelijk gemaakt dat deze twee voorwaarden niet gelden indien sprake is van een objectieve rechtvaardiging. Door de geopolitieke ontwikkelingen is er een toenemend/ evident belang maatregelen te nemen ter borging van de nationale/ Europese veiligheid. We verwachten daarom dat het voorschrijven van Europese producten respectievelijk verbieden van bepaalde niet-Europese producten (uit onveilige landen) steeds beter te onderbouwen en daardoor met succes in rechte te verdedigen is.
Soevereine ICT aanbesteden: juridisch complex, maar haalbaar
Om maar in het motto van een de partijen uit het nieuwe kabinet te spreken: het kan wel. Het vraagstuk is veelkoppig en ingewikkeld, maar de wet staat niet in de weg aan het aanbesteden van een soevereine IT. Sterker nog, het is zelfs de vraag of gelet op zorgvuldigheidsnormen die op bestuurders rusten het niet van bestuurders verwacht mag worden over deze thematiek op zijn minst heel erg onderbouwd nagedacht te hebben (of zelfs vanaf nu soevereine IT te eisen). Hier gaan de komende tijd nog wel ontwikkelingen op volgen verwachten we. Heeft u hierover vragen? Neem gerust contact op.
