De wens om te kiezen voor Europese cloudomgevingen in plaats van Amerikaanse wordt sterk gevoeld bij overheden. Kan en mág een publieke organisatie Amerikaanse it-bedrijven uitsluiten bij aanbestedingen?
Tekst: MELS DEES Beeld: SHUTTERSTOCK
Abel Hoogeveen, Legal Counsel bij ICTRecht, krijgt steeds vaker de vraag naar de manier waarop organisaties moeten omgaan met Amerikaanse clouddiensten, zoals die van Microsoft Azure, Google Cloud of AWS (Amazon). Volgens Hoogeveen is daarbij een trend waarneembaar: met name overheden zijn voorzichtiger geworden met het gebruik van Amerikaanse it-diensten.
Ook uit de whitepaper Digitale Soevereiniteit van Dutch Cloud Community (DCC) blijkt dat overheden vanaf het begin hun clouddiensten vrijwel uitsluitend hebben afgenomen bij de grote drie: Microsoft, AWS en Google. De overheid sloot overeenkomsten over licenties en inkoopvoorwaarden met deze partijen. Voor inkopers van landelijke, gemeentelijke en provinciale overheden, maar ook die van onderwijs- en zorginstellingen, is ‘cloud’ eigenlijk synoniem voor Microsoft of AWS, concludeert DCC. ‘De afhankelijkheid van de Nederlandse overheid van het Amerikaanse aanbod is bijna totaal geworden.’
Jurist Hoogeveen herkent dat. Hij wijst erop dat een volledige overstap weg van bijvoorbeeld Microsoft-producten in de praktijk nauwelijks voorkomt. ‘De meeste organisaties willen daar niet zomaar vanaf, het is op dit moment te zeer ingebed in hun processen.’ Toch worden stappen gezet om risico’s te beperken. Bijvoorbeeld door data dichter bij huis op te slaan. Maar, benadrukt hij, ‘echt helemaal ontkomen ga je natuurlijk nooit.’
GPA
Er zijn niet alleen praktische bezwaren om digitaal soeverein te worden. Ook juridisch zijn er grenzen aan wat overheden mogen uitsluiten. Europese aanbestedingsregels schrijven namelijk voor dat alle bedrijven uit de Europese Unie op gelijke voet moeten worden behandeld. En bedrijven uit landen die aangesloten zijn bij het zogenoemde Government Procurement Agreement (GPA) – een multilateraal handelsverdrag onder de Wereldhandelsorganisatie – hebben in beginsel toegang tot Europese overheidsopdrachten. De Verenigde Staten is GPA-lid.
Volgens PIANOo, het expertisecentrum aanbestedingen van de Rijksoverheid, betekent dit dat Amerikaanse bedrijven in principe niet zomaar kunnen worden uitgesloten. Toch is er onder voorwaarden ruimte. ‘Als Amerikaanse producten of diensten niet voldoen aan Europese wetgeving rond bijvoorbeeld cybersecurity of gegevensbescherming, dan dient een aanbestedende dienst zo’n inschrijving uit te sluiten,’ schrijft PIANOo als reactie op vragen van Computable. Dat is bijvoorbeeld het geval wanneer een clouddienst niet kan aantonen dat persoonsgegevens voldoende zijn beschermd onder de Algemene Verordening Gegevensbescherming (AVG).
Daarnaast kent de GPA enkele uitzonderingsgronden, zoals nationale veiligheid. In die gevallen kan een aanbestedende dienst besluiten een inschrijving van een Amerikaanse partij buiten beschouwing te laten. De juridische lat daarvoor ligt echter hoog.
‘Het is onterecht om te veronderstellen dat Europese vestigingen van Amerikaanse bedrijven werkelijk autonoom opereren’
Europese dochterondernemingen
De juridische constructies waarmee Amerikaanse bedrijven opereren binnen Europa bieden geen volledige bescherming tegen Amerikaanse invloed. Ook als je werkt met Microsoft bv’s in Ierland of Nederland, zijn die entiteiten onderdeel van het Amerikaanse moederbedrijf. Hoogeveen: ‘Het hoofdkantoor kan onder druk worden gezet door de Amerikaanse overheid.’
Volgens hem is het dan ook onterecht om te veronderstellen dat Europese vestigingen van Amerikaanse bedrijven werkelijk autonoom opereren. Dat heeft gevolgen voor aanbestedingen, maakte hij duidelijk. In principe worden Ierse of Nederlandse dochter-bv’s erkend als Europese bedrijven. Ze mogen dus meedoen aan Europese aanbestedingen. ‘Dat is juridisch gezien correct,’ legt Hoogeveen uit, ‘maar verandert niets aan de feitelijke afhankelijkheidsrelatie met het moederbedrijf in de VS.’
De mogelijkheid om deze bedrijven uit te sluiten van deelname aan Europese aanbestedingen is juridisch bijzonder lastig. ‘In principe mag dat niet. Als een aanbesteding boven de Europese drempelbedragen uitkomt, moet je ieder Europees bedrijf gelijk behandelen.’ PIANOo bevestigt dit: uitsluiting is in zo’n geval niet toegestaan, tenzij één van de uitzonderingsgronden van toepassing is.
Opsplitsen aanbestedingen
De praktijk laat zien dat die ‘Europese schil’ inderdaad weinig bescherming biedt tegen politieke inmenging. Hoogeveen wijst op het voorbeeld van het Internationaal Strafhof in Den Haag, waar de mailbox van de hoofdaanklager werd afgesloten door Microsoft – als gevolg van Amerikaanse sancties. ‘Dat heeft bij veel mensen de ogen geopend,’ stelt hij. Het incident toont aan dat Europese vestigingen uiteindelijk nog altijd rapporteren aan een Amerikaans hoofdkantoor, dat onder druk kan worden gezet door de Amerikaanse overheid.
De vraag of je een aanbesteding dan kunt opsplitsen om onder de Europese drempelwaarden uit te komen, klinkt logisch, maar is juridisch verboden. ‘De Europese regels verbieden het splitsen met als doel de regels te ontwijken.’ Toch kent Nederland een bijzondere regeling, legt Hoogeveen uit. ‘Wij hebben juist een splitsingsgebod: in sommige gevallen moet je een aanbesteding opdelen, bijvoorbeeld om het mkb een kans te geven.’ Zolang je alsnog de aanbestedingsregels volgt, mag dat.
‘Nederlandse dochter-bv’s worden erkend als Europese bedrijven en mogen dus meedoen aan Europese aanbestedingen’
Europese alternatieven
Simon Besteman, directeur van Dutch Cloud Community, pleit daarom voor meer strategisch inzicht in wat we precies gebruiken van Amerikaanse clouddiensten. Volgens hem wordt vaak gedacht dat de functionaliteit van deze aanbieders onmisbaar is, maar dat beeld klopt niet helemaal.
‘Toen ik onderzoek deed voor de whitepaper, kwam ik erachter dat Amazon zelf aangeeft dat zo’n negentig procent van hun gebruikers slechts een twintigtal diensten gebruikt,’ vertelt hij. ‘Het gaat dan vooral om standaardtoepassingen zoals data-opslag, object storage en containerbeheer.’ Het merendeel van deze diensten is relatief eenvoudig en kent inmiddels ook volwaardige Europese alternatieven.
Geen boycot van Amerikaanse technologie
Besteman benadrukt dat niemand pleit voor een rigide boycot van Amerikaanse technologie. ‘We zijn niet in oorlog met Amerika,’ zegt hij. ‘Het gaat erom dat we bewust worden van wat we gebruiken, waarom we dat doen, en of we het elders kunnen vinden.’
Dat vraagt niet om een boycot, maar om digitale regie. DCC pleit dan ook voor het ontwikkelen van een exitstrategie voor kritieke toepassingen – zonder daarbij meteen te pleiten voor volledige Europese autarkie. ‘Het gaat om een digitale infrastructuur die wendbaar, veilig en soeverein is,’ aldus Besteman.
