Een lezer vroeg me:
Welke juridische risico’s zie jij met betrekking tot het feit dat Solvinity, het cloudbedrijf waar de overheid zowel Digid en Mijn Overheid heeft ondergebracht, door een Amerikaans bedrijf wordt overgenomen?Zuiver juridisch bekeken is hier weinig over te zeggen. Het probleem is vooral praktisch en beleidsmatig: dit is “niet handig” om het zachtjes uit te drukken. Maar er is geen wet die dit verbiedt, of die maakt dat het gebruik van deze diensten nu onmogelijk of zeer moeilijk wordt.
Natuurlijk, de AVG (en tot op zekere hoogte de Data Act) verbieden overdracht van gegevens naar buiten de EU, en in Europa gevestigde bedrijven mogen geen gehoor geven aan bevelen onder de CLOUD Act (art. 48 AVG). Maar binnen die grenzen opereren is vooral een papieren kwestie: afspraken vastleggen, service level agreements herzien en auditbevindingen documenteren. Als dat goed uitgewerkt wordt, dan zit je juridisch goed.
Het probleem is dat de zorgen over wat hier mis kan gaan, eigenlijk ongrijpbaar zijn voor de bestaande juridische toetsingskaders. De kern van de angst is niet “er wordt vandaag een wet overtreden”, maar “we creëren een afhankelijkheid die ons morgen kwetsbaar maakt”. Het is juridisch niet verboden je land kwetsbaar te maken voor buitenlandse druk of invloed.
Iedereen snapt intuïtief dat het ongelukkig is als vitale digitale overheidsinfrastructuur onder de zeggenschap van een buitenlandse – en zeker Amerikaanse – moeder komt te vallen. Maar dat gevoel laat zich niet eenvoudig vertalen naar: dit mag niet of dit had voorkomen moeten worden. Of nou ja: dat kan wel, maar dan moet er een (Nederlandse of Europese) wet komen die dat expliciet zegt. Clouddiensten aan de overheid mogen slechts geleverd worden door een concern naar Nederlands recht, zoiets.
Probleem daarmee is dat dat dan weer tegen algemene regels over eerlijke behandeling bij aanbestedingen aanloopt. Binnen de huidige kaders kun je dit probleem niet adresseren, totdat het een keer echt is misgegaan. Want pas dan is te betogen dat deze partij uitgesloten moet worden, dat deze overname niet mag, et cetera.
En het gegeven dat Microsoft de mailbox van de hoofdaanklager van het Internationaal Strafhof heeft geblokkeerd? Ook daar kun je niet heel veel mee, vrees ik. Het flauwe antwoord is: we weten niet precies waarom, tevens gaat het niet om een EU-instantie dus kun je niet zeggen dat Europees recht geschonden wordt. Ook hier weer, dit is te vaag om met juridische regels naar een verbod te leiden. De enige route is een duidelijke politieke keuze, die dan in een nieuwe wet vastgelegd kan worden. Koopt Nederlandsche Cloud.
Arnoud
En zoiets https://www.nctv.nl/onderwerpen/w/wet-weerbaarheid-kritieke-entiteiten ?
Het voornaamste punt is denk ik dat geen wet in Europa de VS op andere gedachten kan brengen. Waarom ook, de VS is immers óók een soevereine staat. Dus als die een wet willen maken die dwars door onze wetten heen gaat, dan mogen ze dat. De vraag is hoe men die wetten wil effectueren.
Is dat niet juist een argument dat kritieke entiteiten alleen bij EU bedrijven zonder eigenaar buiten de EU mogen worden ongebracht?
Want je zegt nu feitelijk dat al die papieren garanties en administratieve handelingen die je hebt genoemd geen waarde hebben.
Ik zie ook niet in waarom er een probleem met aanbesteding zou zijn als je die alleen openstelt voor bedrijven met een ultieme eigenaar en tussenliggende rechtspersonen die volledig in de EU zijn gevestigd.
We kunnen immers ook chinese bedrijven uitsluiten van aanbestedingen, helaas hebben we keer op keer moeten constateren dat de VS net zo goed een gevaar voor ons vormt als China (misschien nog wel meer)
Een van de zaken die kan helpen is een strengere (toepassing van de) mededingingswet die bedrijven met meer dan 10% van de EUropese markt op een bepaald vlak verbiedt andere bedrijven op hetzelfde marktsegment over te nemen.
Een andere mogelijkheid is dat de EU bepaalde (essentiële) organisaties verplicht om EUropees beheerde cloud-oplossingen te gebruiken en daarmee een EU-cloud markt te creëren.
Of we kunnen de “TikTok” aanpak gebruiken en grote cloud-bedrijven verplichten hun EU-werkzaamheden af te splitsen en te verkopen als losstaand bedrijf.
Zoals ik altijd de aanbestedingswet geinterpreteerd heb (en de aanbestedingsjuristen waarmee ik werkte) mag je wel degelijk bedrijven uitsluiten, mits je het wel expliciet doet en op gedegen gronden. Er is niets mis mee om in een aanbesteding een bedrijf te verplichten alle voor het contract gegunde werk alleen in de EER uit te voeren, en dat het bedrijf vrij moet zijn van “externe” invloeden zoals de PATRIOT act. Dit is een legitieme eis als aanbestedende partij, en daarmee voldoe je aan de letter van de aanbestedingswet.
Ook is het een EUROPESE aanbestedingswet met het doel om onderhandse gunning naar lokale bedrijven te voorkomen, om zo een gezonde Europese markt te creeeren. Dat is een ander doel dan maar gunnen aan de goedkoopste Amerikaanse aanbieder. Dus of je met per definitie uitsluiten van Amerikaanse partijen de geest van de Europese aanbestedingswet overtreed, denk het niet.
Interessanter wordt het als in de aanbesteding de eis van “hosting in de EER en niet onder de PATRIOT act (of vergelijkbaar) wet vallen” als expliciete eis is opgenomen. Bij de aanbestedingen die ik gerund heb in de gezondheidszorg is dat eigenlijk een standaard clausule, ik kan me voorstellen dat een overheidsorganisatie dat ook doet. Is dat dan gelijk een ontbindende voorwaarde geworden nu de aanbieder is overgenomen?
Waaruit precies haal je “dat het bedrijf vrij moet zijn van “externe” invloeden zoals de PATRIOT act.”? Ik bedoel, dat is ‘gewoon’een wet waar de inschrijver aan onderhevig is. Hoe onderscheid je dan de CLOUD Act van bijvoorbeeld fiscale regels uit dat land of de regel dat men geen kwaad mag spreken over de Thaise koning?
Ja, het is “gewone lokale wetgeving”. Maar die “lokale” wetgeving heeft een olievlekwerking met mogelijk nadelige gevolgen voor de vertrouwelijkheid van data van Europese onderdanen, zelfs als de data fysiek in de EER staat. Mijn punt is dan ook dat je voorwaarden kunt stellen tijdens een aanbesteding omdat dit een concern is wat je als klant niet op je bordje wilt hebben liggen. Het is heel geaccepteerd om het fysieke hosten in de EER te vereisen. Maar je kunt ook als eis in je aanbesteding stellen dat je zakenpartner buiten de reikwijdte van de PATRIOT act (of vergelijkbaar) valt. Zie bijvoorbeeld https://www.mitopics.nl/2013/03/28/patriottisch-aanbesteden/
Ik vraag graag aandacht voor de Nieuwjaarsrede van Henk Naves (rechtspraak.nl) In aansluiting daarop is deze casus er een met de overheid – en dus het Bestuursrecht – als partij. De overheid behoort in contact met de burger, zorg te dragen voor adequate voorzieningen. Bij dergelijke voorzieningen ontstaan ketens van rechtsverhoudingen met schakels waarover / waarbij de overheid geen directe invloed heeft. Dan wordt relevant hoe de verdeling van verantwoordelijkheden (incl risico’s en maatregelen) er uit ziet en invulling krijgt. En of en hoe de overheid kan voldoen aan de nieuwe eis in het Bestuursrecht, die ziet oppassende ondersteuning bij contact met de overheid. Op dat geheel zijn de Algemene beginselen van behoorlijk bestuur (ABBB) van toepassing. Die ABBB zijn niet altijd letterlijke wettekst en soms ook nog in ontwikkeling, maar ze gelden als wettelijke bepalingen. Ten slotte kan en moet de overheid meer gebruik maken van de beleidsbevoegdheid om inzicht te geven in eisen en voorwaarden (ex afd 2.3 Awb) de inrichting van voorzieningen en geautomatiseerde processen en de werking en controle daar op (1:3-4 Awb). Dat inzicht is een basis voor een gedegen (wettelijk vereiste) verantwoording die begint bij het ontwikkelen van voorzieningen en niet wacht tot na het eerste jaar van gebruik.
Ik snap niet hoe je “algemene regels over eerlijke behandeling bij aanbestedingen” in deze context kunt laten prevaleren over essentiële belangen van nationaal (of Europees) niveau. Je zult hier inderdaad wetgeving over moeten maken, die ervoor zorgt dat dergelijke gegevens of diensten effectief buiten het effectieve bereik van potentiële vijanden blijft, en gezien de recente “national security strategy paper” van de VS, de bedreigingen richting Groenland, en de overduidelijke imperialistische intenties, mag je de VS gerust in de categorie indelen, in dezelfde categorie als Rusland of China. Eventuele offertes moeten ook gewoon laten zien hoe ze dat gaan inrichten, bijvoorbeeld door de fysieke locatie van hun producten, het in depot stellen van source code binnen de EU (compleet met alle middelen om die verder te kunnen ontwikkelen en uit te rollen).
Hierin moeten we geen watjes zijn, want dan worden we volledig onder de voet gelopen.
Die zorgen zijn reëel. Het punt is vooral dat iemand dit in een wet moet zetten. De huidige wetgeving biedt geen haakje om te zeggen “er wordt niet ingekocht bij de Yanks”. Er is die anti-Huawei wet voor telecomproviders, dus het precedent is er.
Het enige probleem is: iedere regel die zegt “koopt geen Yankse waar” komt neer op “Microsoft uitfaseren binnen 12 maanden”. En ik denk dat geen middengrote of grote organisatie dat kan.
Er zit wel een verschil tussen de software van Microsoft gebruiken en data in hun cloud opslaan.
12 maanden is wat kort door de bocht, maar zeker voor gevoelige informatie en overheidsdiensten zou ik in twee jaar verplicht alle opslag bij AMerikaanse partijen weghalen geen slechte wet vinden. Er zijn echt wel europese alternatieven, en met een wettelijke verplichting kunnen die ook investeren in schaal vergroting.
Als de Deense overheid dit kan en Schleswig-Holstein, gaan wij dan zeggen dat we zo incompetent zijn dat wij dat niet kunnen?
Die zorgen zijn reëel. Het punt is vooral dat iemand dit in een wet moet zetten. De huidige wetgeving biedt geen haakje om te zeggen “er wordt niet ingekocht bij de Yanks”. Er is die anti-Huawei wet voor telecomproviders, dus het precedent is er.
Het enige probleem is: iedere regel die zegt “koopt geen Yankse waar” komt neer op “Microsoft uitfaseren binnen 12 maanden”. En ik denk dat geen middengrote of grote organisatie dat kan.