Zo willen CIO's minder afhankelijk worden van techreuzen

Volgens Verbeek en Voermans zijn organisaties sterk afhankelijk van hun cloudprovider. Wie bijvoorbeeld een verbetering wil doorvoeren, is vaak afhankelijk van een enorm bedrijf zoals Google of Microsoft en staat daar in zijn eentje tegenover. Er zijn daarom door CIO-verenigingen elf ‘eerlijke principes’ opgesteld voor de relaties tussen zakelijke gebruikers en hun cloudproviders.

Problemen worden herkend

“De relatie tussen klanten en leveranciers wordt steeds ‘hoekiger’ en vaak is de leverancier in het voordeel”, vertelt Voermans. “Daarom wisselen we binnen CIO Platform Nederland sinds enkele jaren hierover kennis en best practices uit. We trekken ook als Europese zusterorganisaties met elkaar op tegen deze problemen. Ik heb het dan over de CIO-verenigingen in België, Duitsland, Frankrijk en Nederland.” Het is sinds een jaar of twee dat deze CIO-verenigingen internationaal de handen ineenslaan. “Wat onze leden ervaren wordt ook in andere landen herkend. Wat we overal zien is dat grote leveranciers zeggen aan de Europese wet te voldoen, maar wie dieper graaft komt erachter dat dit niet altijd klopt.”

Wat speelt er precies? Een belangrijk voorbeeld is dat grote, in de praktijk veelal Amerikaanse partijen zoals Google en Microsoft, eenzijdig voorwaarden van hun diensten kunnen aanpassen. Iets dat volgens het Nederlandse recht niet zomaar mag. Vanwege de afhankelijkheid van de technologie, wordt er door veel gebruikers - zakelijke gebruikers en consumenten – mee ingestemd. Die afhankelijkheid maakt het ook moeilijk onderhandelen. Toch is het soms mogelijk om naleving af te dwingen bij techreuzen.

DPIA's

De Rijksoverheid bewees dat. Met diepgravende onderzoeken in het kader van de AVG, zogenaamde DPIA’s, werd onderzocht of Google en Microsoft zich aan de regels hielden. Daarmee werd duidelijk dat dit niet altijd het geval was. Na maandenlange onderhandelingen en een aantal technische en contractuele aanpassingen was de kou uit de lucht, althans voor de Nederlandse overheid en daaraan gelieerde partijen. En dat geeft bedrijven inspiratie om deze leveranciers aan te moedigen ook voor deze zakelijke gebruikers naleving van Europese wetten, zoals de AVG, standaard in te regelen.

Invloed techreuzen inperken

Strengere regels in Europa kunnen daarbij helpen. Er wordt inmiddels op meerdere vlakken gewerkt aan wetgeving die de invloed van techreuzen moet gaan beperken. Welke impact heeft deze ontwikkeling volgens Voermans en Verbeek op de Europese cloudmarkt in de toekomst? Volgens Verbeek moeten organisaties met elkaar blijven optrekken en een gezamenlijke en luide stem laten horen, zodat zoveel mogelijk organisaties de problemen tussen zakelijke gebruikers en cloudleveranciers blijven zien. “En zodat de EU ook de gevolgen van té machtige leveranciers voor zakelijke gebruikers ziet.”

Voermans vult aan. “De EU neemt nu vooral de consument als uitgangspunt bij nieuwe regelgeving voor techreuzen. Wij vormen met het CIO Platform Nederland een groep zakelijke consumenten, maar we voelen niet dezelfde bescherming, terwijl daar wel aanleiding voor is. We zien daarnaast ook dat de EU flink beïnvloed wordt met lobby’s door de Google’s van deze wereld. De effecten op onze groep zakelijke gebruikers van nieuwe regels is niet altijd duidelijk. We hebben het idee dat de belangen van Europese bedrijven daardoor soms ondergesneeuwd worden.

Lobby voeren

Verbeek legt uit in hoeverre zakelijke gebruikers nu ‘ondergesneeuwd’ zijn. “Een zakelijk bedrijf die technologie van een techreus gebruikt, beschikt over een grote hoeveelheid persoonsgegevens. Wanneer Google of Microsoft iets gaat doen met deze gegevens, zullen wij als zakelijke klanten er nu zelf voor op moeten draaien. We vinden daarom dat in wetgeving duidelijk moet worden welke partij nu verantwoordelijk is. Vaak zijn zakelijke klanten op papier nu verantwoordelijk bij incidenten met persoonsgegevens, terwijl het de techreuzen zijn die aan de knoppen draaien.”

Doordat de EU momenteel aan scherpere wetgeving werkt, verwachten Voermans en Verbeek dat de ‘macht’ in zekere zin kantelt. Voermans: “Bepaalde partijen zullen altijd dominant blijven, in die zin verandert de markt niet.” Wel kan de verhouding tussen klant en leverancier veranderen. “Google en Microsoft hebben na de DPIA’s al laten zien dat zij zaken kunnen aanpassen. Technisch gezien zijn er genoeg mogelijkheden. De lat kan dus omhoog.”

Anders omgaan met contractvoorwaarden

Verbeek en Voermans willen er uiteindelijk naartoe dat adoptie bij gebruik van diensten van grote platforms versneld wordt. Het is daarvoor belangrijk dat contractvoorwaarden dan niet zomaar eenzijdig kunnen worden aangepast. “Nu kan dit wel. Wanneer je software installeert moet daarna een gebruiker een akkoord geven op nieuwe voorwaarden. Diegene doet dit dan namens de hele organisatie waar hij of zij voor werkt, zonder dat die organisatie erbij wordt betrokken. Dat is een heel vreemde constructie. We moeten dit straktrekken en goed regelen. In de ‘normale’ zakenwereld kan dit ook niet.”

Het wordt volgens Voermans en Verbeek een moeilijke strijd met niet makkelijk om het gedrag van de techreuzen te beïnvloeden, maar ze zijn positief: “We willen nieuwe afspraken kunnen maken en een eerlijker speelveld creëren voor zakelijke gebruikers. Daarom hebben we in 2021 in samenwerking met NLdigital richtlijnen opgesteld, waarin een handreiking is opgenomen om te komen tot goede samenwerking. Dat is een eerste stap om hopelijk iets te veranderen. Nu moeten vervolgstappen worden gezet.”