BLOG – De intentie was goed: burgers beschermen tegen datamisbruik, bedrijven stimuleren tot zorgvuldige omgang met persoonsgegevens, en overheden verplichten tot transparantie en veiligheid. Maar de uitwerking van Europese regelgeving zoals de AVG, NIS2 en aanbestedingsrichtlijnen heeft een pijnlijk bijeffect veroorzaakt: het drijft Nederlandse overheden en bedrijven in de armen van de grote Amerikaanse hypercloudproviders.
Microsoft, Amazon en Google beschikken over de middelen, schaalgrootte en juridische slagkracht om razendsnel te voldoen aan steeds zwaardere compliance-eisen. Europese aanbieders – laat staan kleinere Nederlandse partijen – staan daarbij al snel met 3-0 achter. De ironie is schrijnend: juist wetgeving bedoeld om digitale autonomie en burgerrechten te beschermen, leidt tot afhankelijkheid van buitenlandse techgiganten.
Hyperscalers
Neem de Algemene Verordening Gegevensbescherming (AVG). Deze vraagt om gedetailleerde dataverwerkingsovereenkomsten, logging, encryptie, audits en snelle incidentafhandeling. De hyperscalers leveren standaardcompliance als dienst: met een druk op de knop zijn logs, ISO-certificaten en juridische disclaimers beschikbaar. Lokale it-bedrijven moeten daarvoor enorme kosten maken, zonder de schaalvoordelen van hun Amerikaanse concurrenten en weten dus van tevoren dat ze nooit concurrerend zullen zijn. Zelfs al werd je dat wel, geeft elke eenheid van beslissers je het nadeel van twijfel. Men wil er later niet op aangesproken kunnen worden.
De oplossing is niet minder regelgeving, maar betere regelgeving
Ook in het aanbestedingsproces zijn de kaarten vaak al geschud. Wanneer een gemeente of ministerie Microsoft 365 gebruikt – wat standaard is – wordt Azure al impliciet de norm. Pogingen om met opensource of Nederlandse cloudoplossingen te concurreren, stranden op onvermogen om in hetzelfde tempo compliance en functionaliteit te leveren. Zelfs als de wil er is, ontbreekt vaak het budget of de capaciteit.
En dan zijn er nog de beveiligingsrichtlijnen zoals NIS2. Deze vergen diepgaande monitoring, incidentrespons en continue evaluatie. Grote cloudproviders beschikken over wereldwijd ingerichte soc’s, threat intelligence, redundantie en failover. Voor een lokale it-dienstverlener is dat een nachtmerrie aan investeringen, en dus vaak geen optie meer.
Stroperigheid
De Europese Unie lijkt zich inmiddels vaag bewust van het probleem. Projecten als Gaia-X en Europese cloudcoalities zijn opgestart, maar kampen met stroperigheid, gebrek aan richting en soms zelfs met dezelfde bureaucratische overbelasting die ze trachten te doorbreken.
In de praktijk zien we dit mechanisme al minstens twintig jaar terug — in aanbestedingen, projectkeuzes en strategische it-discussies. Het speelveld is scheef, niet omdat de grote spelers vals spelen maar omdat het spel onbedoeld in hun voordeel is ontworpen. De overheid vraagt en wij draaien. Totdat de overheid zichzelf weer eens een keertje tegenkomt.
De oplossing is niet minder regelgeving, maar betere regelgeving. Proportioneel, doelgericht, met ruimte voor innovatie en schaalbare toepassing. Alleen dan krijgt de Nederlandse of Europese it-sector weer ademruimte om te concurreren, in plaats van zich noodgedwongen achter een Amerikaans compliance-loket te moeten verschansen.
Rob Koelmans, directeur MetaMicro Automatisering
De compliance paradox die aan het ontstaan is door Europese regelgeving zoals GDPR, DSA, DMA, AI Act, NIS2, DORA, Cyber Resilience Act en andere wet- en regelgeving is niet enkel een gevolg van schaal. Want organisatorische traagheid speelt ook een grote rol als ik naar de adoptie van veranderingen kijk door cultuurverschillen. Het ‘first comply, then try’ van Europa versus het ‘fail fast, fix fast’ van Amerika zorgt ervoor dat we risicomijdend volk zijn geworden, traag in de besluitvorming en gefragmenteerd in de adoptie.
Uiteraard geef ik daar Brussel de schuld van want vroeger hadden we de VOC-mentaliteit van de koopman. Ondernemend, grensverleggend, bereid risico’s te nemen en pas later te reguleren. Tegenwoordig willen we zeker weten dat elke regel en richtlijn gedekt is met een consensuscultuur waarin alleen maar winnaars mogen zijn. En het resultaat is dat we de innovatie vaak pas omarmen als anderen al een voorsprong hebben genomen waardoor we achter de feiten aanhobbelen.
De ironie van de compliance paradox i dat Europa ooit rijk, welvarend en machtig werd door lef en handelsgeest. Nu lijken we gevangen in een bureaucratische cultuur waarin we de toekomst laten bepalen door mensen die bang zijn om fouten te maken.
Ja, helemaal eens. De overheid reguleert in de ICT de aanschaf van een drone voor een luchtfotootje net als een jumbojet waar 600 mensen in kunnen . Omdat het nu eenmaal allemaal luchtvaart is. Gebrek aan proportionaliteit door gebrek aan inzicht.
Werkgroepen van tientallen leden van de Europese Commissie die jarenlang op hele boekwerken zitten te broeden. Desondanks faalt de ene na de andere organisatie in hetgeen ermee voorkomen had moeten worden. Deze week medische gegevens van 800.000 mensen op straat maar het ligt inderdaad nooit aan de tech-giganten.
Desondanks vraagt de EU en NL-Overheid zich niets af over het nuttig effect van al die regelgeving. Al helemaal niet over de enorme nadelige gevolgen ervan.
Van regelgeving en standaardisatie kun je nooit genoeg hebben wat de overheden betreft. Er bestaan geen nadelen. Wat telt is dat je per definitie de regelgeving niet goed hebt toegepast als iets fout gaat. De rechter zo vrij mogelijk laten om dat bij iedere zaak naar behoeven te kunnen vaststellen. Je bent bewust roekeloos als ondernemer als je daar toch in meegaat en maar veronderstelt dat iedereen de controle en vastlegging van toepassing van regelgeving jaar in jaar uit correct blijft toepassen. Helaas kun je daar maar bij 1 op de 5 à 10 betrokken mensen op vertrouwen.
De oproep tot “betere regelgeving” is terecht, maar stelt de vraag wát dan precies “beter” is.
In plaats van steeds meer of minder regels, moeten we erkennen dat er fundamenteel verschillende lagen van regelgeving bestaan:
1. Power-based — waar macht beslist (geen ethiek, alleen belangen).
2. Rule-based — waar formele regels gelden (“als X dan Y”).
3. Principle-based — waar achterliggende waarden richting geven (bijv. proportionaliteit, zorgvuldigheid).
4. Ontologisch-hermeneutisch — waar regelgeving verankerd is in de werkelijkheid én aansluit bij menselijke intuïtie.
Betere regelgeving bevindt zich juist in die hogere lagen. Ze is niet puur rule-based, maar principle-based én ontologisch gegrond: geworteld in een werkelijk verstaan van mens, samenleving en context. Daardoor sluit ze ook beter aan bij wat mensen intuïtief als rechtvaardig ervaren.
Opmerkelijk is dat zowel de VS als Europa op dit moment juist de verkeerde kant op lijken te bewegen. De VS laten regels los en vallen terug op macht — een pre-juridische, power-based benadering. Europa daarentegen raakt steeds verder verstrikt in regels, waarbij de oorspronkelijke principiële gronding (laag 3) verloren dreigt te gaan. In beide gevallen ontbreekt de stap naar ethiek (laag 4): regelgeving die niet alleen technisch of formeel is, maar normatief doordacht en verbonden met mens en werkelijkheid.
Kortom: betere regelgeving vereist meer dan regels of principes alleen. Ze veronderstelt een ethiek die wortelt in een gedeeld verstaan van wat is, wat telt en wat telt als rechtvaardig.
Goedemorgen Jack, precies dat wat je aangeeft inzake 4: “regelgeving die niet alleen technisch of formeel is, maar normatief doordacht en verbonden met mens en werkelijkheid”.
Maar ook regelgeving die ruimte laat voor daadwerkelijk werkbare oplossingsmethoden en niet alleen procedures oplegt zonder dat die bij klanten en de eigen organisatie praktisch aanvaardbaar, betaalbaar en afdwingbaar zijn. Met de huidige richtlijnen is het meestal mogelijk om iedereen als verantwoordelijk aan te wijzen, terwijl in de praktijk meestal de partij met de minste weerstand de gevolgen draagt (lees: vermijding van jarenlange juridische procedures met risico op aansprakelijkheid over eerdere uitspraken). Soms juist niemand, zoals destijds bij de Politie met de maandenlange werkstagnatie en mogelijk straks bij het OM als iedereen naar elkaar blijkt te kunnen wijzen in een Mexican stand off.
Waar het uiteindelijk vaak op uitdraait, is dat beroepsgroepen – net als eerder bij het Notariaat en bij huisartsen (o.a. bij fraude met derdengeldrekeningen) – zich verplicht collectief moeten verzekeren. De financials lachen altijd het laatst bij de politiek: talloze kleine partijen die meebetalen om de risico’s van de grotere af te dekken. Dan kan de verzekeraar met de klant uitvechten hoe het mogelijk was dat aan alle polisvoorwaarden was voldaan en er toch een schadegeval heeft plaatsgevonden (en heeft de overheid het een ‘plekje gegeven’).
Als het om micro-doseringen arsenicum in een medicijnexperiment gaat, blijft men als loondienstmedewerker doorgaans wel zorgvuldig. Bij andere aangelegenheden laat men de oren op termijn vaak hangen naar druk van leidinggevenden of klanten. Wie dat níet doet, wordt al snel als lastig of “licht autistisch” weggezet en staat snel weer buiten.
Goedemorgen Rob, “niet minder regelgeving, maar betere regelgeving” is precies: niet terugschakelen naar laag 1, maar doorschakelen naar laag 3 en 4 (in het schema dat in mijn vorige reactie met ChatGPT is gegenereerd).
Want je kritiek betreft precies laag 2 Rule-based, en die onderschrijf ik 100%.
Het is dus interessant om ChatGPT te vragen welke politieke stromingen te koppelen zijn aan de eerder genoemde 4 lagen.
1. Power-based
Realpolitiek, autoritarisme, neoliberalisme (in zijn cynische vorm), machiavellisme, anarchokapitalisme (in extreme vorm), nationalistisch populisme
2. Rule-based
Liberalisme (klassiek), conservatisme, technocratie, rechts-positivisme, juridische formalisten
3. Principle-based
Sociaal-liberalisme, christendemocratie, sociaal-democratie, humanisme, gematigd progressief rechts/links
4. Ontologisch-hermeneutisch
Personalistisch denken, communitarisme, ecologisme (diep-ecologie), hermeneutisch geïnspireerde politiek (bv. geïnspireerd door Arendt, Levinas, Heidegger), bepaalde vormen van filosofisch conservatisme of links humanisme
Laag 2 (rule-based) regelgeving loopt vaak vast in complexiteit.
De belangrijkste oorzaken zijn (door ChatGPT zeer kort samengevat):
1. Formele consistentie vereist uitzonderingen – elke situatie vraagt een regel, wat leidt tot regelinflatie.
2. Gebrek aan contextgevoeligheid – regels zijn te algemeen voor de complexe werkelijkheid.
3. Verlies van overzicht en begrijpelijkheid – systemen worden ondoorzichtig en moeilijk uitvoerbaar.
4. Perverse effecten in de uitvoering – uitvoerders missen ruimte voor maatwerk.
5. Feedback loops versterken de complexiteit – fouten leiden tot nóg meer regels.
Dit leidt tot onrechtvaardigheid, systeemdwang en groeiende roep om principle-based (laag 3) en mensgerichte (laag 4) benaderingen.
Ter info:
https://chatgpt.com/share/68b418c9-4e78-8006-9bf9-1da9b9cbf5f5
https://grok.com/share/c2hhcmQtMw%3D%3D_ec6247a6-b86a-4ce5-b311-37fbebae57c9
Goedemiddag Jaap, ik vind 1 en 2 wat tegenstrijdig lijken. Maar goed beschouwd sluiten ze elkaar inderdaad niet uit en kunnen ze gelijktijdig spelen. Voor het overige onderschrijf ik alles wat er staat. Het formuleert exact de problematiek.