De soevereiniteitskeuring waar je niet voor bent uitgenodigd

Het instrument is bedoeld voor gebruik bij aanbestedingen en wordt al omarmd door PIANOo en NOREA. De aanleiding die DICTU zelf benoemt is concreet: Microsoft voerde op verzoek van de regering-Trump sancties uit tegen de hoofdaanklager van het Internationaal Strafhof. Wat voorheen hypothetisch was, werd daarmee een precedent.

Het probleem is structureel en herkenbaar voor wie de EAP-zaak heeft gevolgd. In die zaak eiste het Rijk via twee softwareaanbestedingen van samen € 3,3 miljard dat resellers een sublicentiemodel accepteerden en onbeperkte AVG-aansprakelijkheid droegen voor software van Microsoft en Oracle, terwijl die resellers geen feitelijke invloed hadden op de beveiliging of architectuur van die producten. De voorzieningenrechter stak daar een stokje voor: disproportioneel. Je kunt een tussenhandel niet afrekenen op risico's buiten zijn controle. Het DICTU-instrument herhaalt diezelfde asymmetrie in een ander jasje: het beoordeelt de hyperscaler, maar in een aanbesteding is de MSP de inschrijver. Het mechanisme verschilt: in de EAP-zaak ging het om contractuele risicoverschuiving, hier om een soevereiniteitsscore die wordt bepaald door het platform, niet door de partij die erop inschrijft. Het effect is hetzelfde: de MSP wordt beoordeeld op iets buiten zijn controle.

Een Nederlandse MSP met veertig medewerkers die Azure-diensten levert aan een gemeente scoort op Mens een vier of vijf: EU-burgers, fysiek in Nederland, gescreend en gecertificeerd. Maar op de juridische dimensie scoort diezelfde MSP een één of twee, omdat zijn platform Amerikaans is, het moederbedrijf in Redmond staat en de CLOUD Act van toepassing is. Op de operationele dimensie speelt iets vergelijkbaars: DICTU vraagt of de volledige infrastructuur én het control plane - het beheersysteem waarmee clouddiensten worden aangestuurd, gemonitord en geconfigureerd - zich fysiek binnen de EU bevinden. Bij de meeste MSPs staat het datacenter in Amsterdam of Dublin, maar het control plane draait in de VS. Dat betekent dat de aan-uitknop van je cloudomgeving zich in een ander rechtsgebied bevindt dan de data zelf.

ACM

De vraag die opdrachtgevers onder ogen moeten zien is binair. Als je niveau vier of vijf eist op de juridische dimensie - volledig EU-gevestigd moederbedrijf, geen extraterritoriale blootstelling - dan sluit je elke IT-dienstverlener uit die draait op Microsoft, Google of Amazon. Dat is meer dan 70 procent van de markt, aldus de ACM. Tenzij je per dimensie weegt en accepteert dat een aanbieder laag scoort op juridisch maar hoog op operationeel en mens - en dat is precies het domein waar de Nederlandse MSP de hyperscaler verslaat.

Wat kun je hier als IT-dienstverlener mee? Lees het instrument, het staat op dictu.nl, en scoor jezelf op alle vijf de dimensies voordat een opdrachtgever dat voor je doet. Gebruik de dimensie Mens actief in je inschrijvingen: het feit dat jouw engineers EU-burgers zijn die fysiek in Nederland werken en gescreend zijn, is geen vanzelfsprekendheid maar een concurrentievoordeel dat je vermoedelijk niet benoemt. Vraag bij de eerstvolgende marktconsultatie hoe de opdrachtgever soevereiniteit gaat wegen - als één totaalscore of per dimensie, want dat verschil bepaalt of je kans maakt of kansloos bent. En bereid je voor op de vraag die eraan komt zodra dit instrument in bestekken verschijnt: wat is jouw exitstrategie als de opdrachtgever eist dat je van platform wisselt?

De IT-dienstverlener die dit instrument kent en begrijpt waar hij wél scoort, heeft straks een verhaal dat verder gaat dan prijs en certificeringen. De rest schrijft een offerte op een platform waarvan de soevereiniteitsscore al vaststaat, en ontdekt pas bij de beoordeling dat de wedstrijd niet over hem ging maar over zijn leverancier.

Martin van Leeuwen is oprichter van Epikouros Consulting Company en gespecialiseerd in tendermanagement en bidwriting voor IT-dienstverleners. Hij publiceert op LinkedIn (Tussen de regels) en Substack.