Aanbestedingen botsen met autonomie

In dit artikel:

Overheden willen steeds vaker kiezen voor Europese clouddiensten in plaats van Amerikaanse, maar de vraag rijst of publieke organisaties Amerikaanse it-leveranciers bij aanbestedingen mogen uitsluiten. Legal Counsel Abel Hoogeveen (ICTRecht) signaleert dat overheidsinstanties en publieke sectoren terughoudender zijn geworden ten opzichte van aanbieders als Microsoft, Google en AWS. Uit de whitepaper Digitale Soevereiniteit van Dutch Cloud Community (DCC) blijkt dat de Nederlandse overheid historisch vrijwel volledig afhankelijk is geraakt van die drie grote Amerikaanse spelers.

Een volledige overstap van bijvoorbeeld Microsoft-producten komt in de praktijk weinig voor omdat zulke diensten diep ingebed zijn in processen. Organisaties nemen wel mitigerende maatregelen, zoals het lokaal opslaan van data, maar volledig ontkomen aan Amerikaanse invloed lukt zelden. Juridisch zitten opdrachtgevers bovendien aan kaders vast: Europese aanbestedingsregels verplichten gelijke behandeling van bedrijven uit de EU en van landen die zijn aangesloten bij het Government Procurement Agreement (GPA) — de VS is lid daarvan. PIANOo wijst erop dat Amerikaanse partijen daarom in principe niet zonder meer mogen worden uitgesloten.

Er bestaan wel uitzonderingen. Als diensten niet voldoen aan Europese voorschriften op het gebied van privacy of cybersecurity — bijvoorbeeld onvoldoende waarborgen onder de AVG — dan moet een aanbestedende dienst een inschrijving kunnen afwijzen. Ook nationale veiligheid kan een grond voor uitsluiting zijn, maar de juridische drempel daarvoor is hoog. Bovendien veranderen Europese dochterondernemingen van Amerikaanse concerns juridisch niks aan de feitelijke afhankelijkheid: zij rapporteren vaak aan een Amerikaans moederbedrijf dat onder druk van de Amerikaanse overheid kan komen te staan. Het voorval rond het Internationaal Strafhof, waarvan de maildienst door Microsoft werd afgesloten vanwege Amerikaanse sancties, illustreert die kwetsbaarheid.

Praktische ontwijkingsmanieren, zoals het kunstmatig opsplitsen van opdrachten om onder drempelbedragen te blijven, zijn verboden. Nederland kent wel een verplichting om opdrachten soms te splitsen om mkb-kansen te creëren, maar dat mag niet worden gebruikt om aanbestedingsregels te omzeilen.

Simon Besteman (DCC) roept op tot meer strategische digitale keuzes: veel organisaties gebruiken van grote cloudproviders maar een beperkt aantal eenvoudige diensten (data-opslag, object storage, containerbeheer), waarvoor Europese alternatieven bestaan. DCC pleit niet voor een principiële boycot van Amerikaanse technologie, maar voor bewust gebruik, digitale regie en het ontwikkelen van exitstrategieën voor cruciale toepassingen. Het doel is een wendbare, veilige en soevereine digitale infrastructuur, zonder te streven naar volledige technologische autarkie.

Dit onderwerp werd behandeld in Computable Magazine 2025 #5. Extra context: naast de hier genoemde juridische en beleidsmatige aandachtspunten bestaan er ook internationale wetgevingsmechanismen (zoals de Amerikaanse CLOUD Act) en jurisprudentie (bijv. Schrems‑zaken) die de discussie rond grensoverschrijdende toegang tot data blijven beïnvloeden.