BLOG – De intentie was goed: burgers beschermen tegen datamisbruik, bedrijven stimuleren tot zorgvuldige omgang met persoonsgegevens, en overheden verplichten tot transparantie en veiligheid. Maar de uitwerking van Europese regelgeving zoals de AVG, NIS2 en aanbestedingsrichtlijnen heeft een pijnlijk bijeffect veroorzaakt: het drijft Nederlandse overheden en bedrijven in de armen van de grote Amerikaanse hypercloudproviders.
Microsoft, Amazon en Google beschikken over de middelen, schaalgrootte en juridische slagkracht om razendsnel te voldoen aan steeds zwaardere compliance-eisen. Europese aanbieders – laat staan kleinere Nederlandse partijen – staan daarbij al snel met 3-0 achter. De ironie is schrijnend: juist wetgeving bedoeld om digitale autonomie en burgerrechten te beschermen, leidt tot afhankelijkheid van buitenlandse techgiganten.
Hyperscalers
Neem de Algemene Verordening Gegevensbescherming (AVG). Deze vraagt om gedetailleerde dataverwerkingsovereenkomsten, logging, encryptie, audits en snelle incidentafhandeling. De hyperscalers leveren standaardcompliance als dienst: met een druk op de knop zijn logs, ISO-certificaten en juridische disclaimers beschikbaar. Lokale it-bedrijven moeten daarvoor enorme kosten maken, zonder de schaalvoordelen van hun Amerikaanse concurrenten en weten dus van tevoren dat ze nooit concurrerend zullen zijn. Zelfs al werd je dat wel, geeft elke eenheid van beslissers je het nadeel van twijfel. Men wil er later niet op aangesproken kunnen worden.
De oplossing is niet minder regelgeving, maar betere regelgeving
Ook in het aanbestedingsproces zijn de kaarten vaak al geschud. Wanneer een gemeente of ministerie Microsoft 365 gebruikt – wat standaard is – wordt Azure al impliciet de norm. Pogingen om met opensource of Nederlandse cloudoplossingen te concurreren, stranden op onvermogen om in hetzelfde tempo compliance en functionaliteit te leveren. Zelfs als de wil er is, ontbreekt vaak het budget of de capaciteit.
En dan zijn er nog de beveiligingsrichtlijnen zoals NIS2. Deze vergen diepgaande monitoring, incidentrespons en continue evaluatie. Grote cloudproviders beschikken over wereldwijd ingerichte soc’s, threat intelligence, redundantie en failover. Voor een lokale it-dienstverlener is dat een nachtmerrie aan investeringen, en dus vaak geen optie meer.
Stroperigheid
De Europese Unie lijkt zich inmiddels vaag bewust van het probleem. Projecten als Gaia-X en Europese cloudcoalities zijn opgestart, maar kampen met stroperigheid, gebrek aan richting en soms zelfs met dezelfde bureaucratische overbelasting die ze trachten te doorbreken.
In de praktijk zien we dit mechanisme al minstens twintig jaar terug — in aanbestedingen, projectkeuzes en strategische it-discussies. Het speelveld is scheef, niet omdat de grote spelers vals spelen maar omdat het spel onbedoeld in hun voordeel is ontworpen. De overheid vraagt en wij draaien. Totdat de overheid zichzelf weer eens een keertje tegenkomt.
De oplossing is niet minder regelgeving, maar betere regelgeving. Proportioneel, doelgericht, met ruimte voor innovatie en schaalbare toepassing. Alleen dan krijgt de Nederlandse of Europese it-sector weer ademruimte om te concurreren, in plaats van zich noodgedwongen achter een Amerikaans compliance-loket te moeten verschansen.
Rob Koelmans, directeur MetaMicro Automatisering
