BLOG – De intentie was goed: burgers beschermen tegen datamisbruik, bedrijven stimuleren tot zorgvuldige omgang met persoonsgegevens, en overheden verplichten tot transparantie en veiligheid. Maar de uitwerking van Europese regelgeving zoals de AVG, NIS2 en aanbestedingsrichtlijnen heeft een pijnlijk bijeffect veroorzaakt: het drijft Nederlandse overheden en bedrijven in de armen van de grote Amerikaanse hypercloudproviders.
Microsoft, Amazon en Google beschikken over de middelen, schaalgrootte en juridische slagkracht om razendsnel te voldoen aan steeds zwaardere compliance-eisen. Europese aanbieders – laat staan kleinere Nederlandse partijen – staan daarbij al snel met 3-0 achter. De ironie is schrijnend: juist wetgeving bedoeld om digitale autonomie en burgerrechten te beschermen, leidt tot afhankelijkheid van buitenlandse techgiganten.
Hyperscalers
Neem de Algemene Verordening Gegevensbescherming (AVG). Deze vraagt om gedetailleerde dataverwerkingsovereenkomsten, logging, encryptie, audits en snelle incidentafhandeling. De hyperscalers leveren standaardcompliance als dienst: met een druk op de knop zijn logs, ISO-certificaten en juridische disclaimers beschikbaar. Lokale it-bedrijven moeten daarvoor enorme kosten maken, zonder de schaalvoordelen van hun Amerikaanse concurrenten en weten dus van tevoren dat ze nooit concurrerend zullen zijn. Zelfs al werd je dat wel, geeft elke eenheid van beslissers je het nadeel van twijfel. Men wil er later niet op aangesproken kunnen worden.
De oplossing is niet minder regelgeving, maar betere regelgeving
Ook in het aanbestedingsproces zijn de kaarten vaak al geschud. Wanneer een gemeente of ministerie Microsoft 365 gebruikt – wat standaard is – wordt Azure al impliciet de norm. Pogingen om met opensource of Nederlandse cloudoplossingen te concurreren, stranden op onvermogen om in hetzelfde tempo compliance en functionaliteit te leveren. Zelfs als de wil er is, ontbreekt vaak het budget of de capaciteit.
En dan zijn er nog de beveiligingsrichtlijnen zoals NIS2. Deze vergen diepgaande monitoring, incidentrespons en continue evaluatie. Grote cloudproviders beschikken over wereldwijd ingerichte soc’s, threat intelligence, redundantie en failover. Voor een lokale it-dienstverlener is dat een nachtmerrie aan investeringen, en dus vaak geen optie meer.
Stroperigheid
De Europese Unie lijkt zich inmiddels vaag bewust van het probleem. Projecten als Gaia-X en Europese cloudcoalities zijn opgestart, maar kampen met stroperigheid, gebrek aan richting en soms zelfs met dezelfde bureaucratische overbelasting die ze trachten te doorbreken.
In de praktijk zien we dit mechanisme al minstens twintig jaar terug — in aanbestedingen, projectkeuzes en strategische it-discussies. Het speelveld is scheef, niet omdat de grote spelers vals spelen maar omdat het spel onbedoeld in hun voordeel is ontworpen. De overheid vraagt en wij draaien. Totdat de overheid zichzelf weer eens een keertje tegenkomt.
De oplossing is niet minder regelgeving, maar betere regelgeving. Proportioneel, doelgericht, met ruimte voor innovatie en schaalbare toepassing. Alleen dan krijgt de Nederlandse of Europese it-sector weer ademruimte om te concurreren, in plaats van zich noodgedwongen achter een Amerikaans compliance-loket te moeten verschansen.
Rob Koelmans, directeur MetaMicro Automatisering
De compliance paradox die aan het ontstaan is door Europese regelgeving zoals GDPR, DSA, DMA, AI Act, NIS2, DORA, Cyber Resilience Act en andere wet- en regelgeving is niet enkel een gevolg van schaal. Want organisatorische traagheid speelt ook een grote rol als ik naar de adoptie van veranderingen kijk door cultuurverschillen. Het ‘first comply, then try’ van Europa versus het ‘fail fast, fix fast’ van Amerika zorgt ervoor dat we risicomijdend volk zijn geworden, traag in de besluitvorming en gefragmenteerd in de adoptie.
Uiteraard geef ik daar Brussel de schuld van want vroeger hadden we de VOC-mentaliteit van de koopman. Ondernemend, grensverleggend, bereid risico’s te nemen en pas later te reguleren. Tegenwoordig willen we zeker weten dat elke regel en richtlijn gedekt is met een consensuscultuur waarin alleen maar winnaars mogen zijn. En het resultaat is dat we de innovatie vaak pas omarmen als anderen al een voorsprong hebben genomen waardoor we achter de feiten aanhobbelen.
De ironie van de compliance paradox i dat Europa ooit rijk, welvarend en machtig werd door lef en handelsgeest. Nu lijken we gevangen in een bureaucratische cultuur waarin we de toekomst laten bepalen door mensen die bang zijn om fouten te maken.