Sommige landen schromen niet om forse politieke en diplomatieke druk uit te oefenen op bondgenoten die cruciale technologie zoals chiptechnologie – vandaar de term chiplomatie – exporteren. Onze regering en ASML weten er inmiddels over mee te praten.

Redeneren vanuit het eigenbelang is overigens ook ons land niet vreemd. Illustratief is niet alleen het eveneens hier actuele debat over 5G in combinatie met een rol voor het Chinese Huawei, maar ook het eind vorig jaar in werking getreden Besluit veiligheid en integriteit telecommunicatie² en het wetsvoorstel ongewenste zeggenschap telecommunicatie.³ Het besluit van het kabinet, in 2018, om het gebruik van antivirussoftware van Kaspersky voor de Rijksoverheid uit te faseren kan ook in dit licht worden gezien.

Als argumentatie voor dit type maatregelen wordt veelal gewezen op veiligheids- en integriteitskwesties met het oog op ongewenste invloed van buitenlandse bedrijven en bepaalde landen. Maar de recente ‘Citrix-kwestie’ en de digitale ellende bij de Universiteit Maastricht tonen dat het debat over nationale strategische belangen bij digitalisering breder gevoerd moet worden. Beide voorvallen maken duidelijk hoe afhankelijk we in ons land inmiddels zijn geworden van een zeer beperkt aantal, veelal buitenlandse, private digitale dienstverleners. De grote afhankelijkheid roept vragen op over de technologische voorzieningen die ons land zelf nodig heeft om de continuïteit van digitale processen te kunnen waarborgen.

Wat staat er op het spel? Allereerst de uitwijkmogelijkheden naar andere systemen om digitale processen in de lucht te houden. De kwestie bij de Universiteit Maastricht toont dat er geen adequate terugvaloptie voorhanden was. Een eerder voorbeeld was de urenlange storing, juni 2019, van zowel het noodnummer 112 als 0900-8844, het landelijke servicenummer van de politie. Ook ziekenhuizen, gemeenten en bedrijven bleken daardoor lange tijd onbereikbaar. Behalve het primaire systeem van de betrokken telecomprovider (KPN) functioneerden ook drie back-upsystemen niet. Het voorval toont het belang van een tweede provider als terugvaloptie. Dat geldt in het bijzonder als incidenten niet beperkt blijven tot het digitale domein, maar ook forse effecten hebben in de fysieke wereld. Terugvalopties zijn bovendien van belang om de omvang van hinder en schade zoveel mogelijk te beperken.

Bij het nadenken over terugvalopties is variëteit in aanbieders belangrijk. Immers, dan valt er wat te kiezen als het om uitwijken gaat. Maar variëteit is zeker geen gegeven. De Citrix-kwestie toont dat Nederlandse bedrijven en overheden voor hun digitale voorzieningen gebruik maken van veelal dezelfde – vooral Amerikaanse – aanbieders. Honderden bedrijven en organisaties werd geadviseerd hun netwerk te ontkoppelen van het internet. Variërend van talloze overheidsinstanties en vitale organisaties (energievoorzieningen, de telecom- en de financiële sector), zorgverzekeraars, Schiphol, de Tweede Kamer tot diverse ziekenhuizen en de steden Amsterdam en Rotterdam.

Voor Citrix gaat de stelling waarschijnlijk (nog) niet op, maar sommige digitale dienstverleners zijn inmiddels ‘too big to fail’. Dat zijn ze door de enorme hoeveelheid klanten die ze bedienen en daarmee hun belang voor grote delen van de mondiale economie en Westerse samenleving. Voorbeelden te over, variërend van de besturingssystemen van Microsoft, Intelchips die in groot deel van de computers zitten en het handjevol bedrijven dat – ook in Nederland – primair de markt van clouddiensten voor dataverwerking en -opslag bedient (Amazon, Google, Microsoft en Salesforce).

Een grote afhankelijkheid in combinatie met een gebrek aan uitwijkmogelijkheden geldt ook voor de diensten van grote beveiligingsbedrijven. Zo is de Nederlandse overheid voor de integriteit en vertrouwelijkheid van overheidsinformatie in belangrijke mate afhankelijk van het bedrijf Fox-IT. Een volwaardig alternatief lijkt nauwelijks voorhanden. Een van de kwesties die vervolgens gevoelig wordt en dus om tijdige discussie vraagt, is de overname van dergelijke bedrijven. Voor veel diensten van bijvoorbeeld Fox-IT ontbreekt een alternatief, waardoor de overname van het bedrijf (2015) door het Britse NCC te denken geeft. En twee jaar later toonde de MIVD zich inderdaad alsnog ongerust over de overname.⁴

Al met al agenderen de recente incidenten talloze fundamentele vragen.⁵ Welke grote en later lastig te corrigeren afhankelijkheden van buitenlandse partijen willen we vooral voorkomen als het om bepaalde kernfuncties in onze samenleving gaat? Hoe krijgen we zicht op de optelsom van alle dienstverleningscontracten die individuele Nederlandse bedrijven en organisaties zijn aangegaan met grote buitenlandse spelers? Hoe bereiden we ons in Nederland voor indien sommige van deze spelers ook in ons landsbelang ‘too big to fail’ zijn? Welke nationale voorzieningen of Nederlandse bedrijven willen we in eigen hand (en land) houden, teneinde nationale belangen te beschermen? Een voorzet: momenteel doet KPN diverse bedrijfsonderdelen van de hand. Maar mocht de verkoop van KPN Security aan de orde zijn, dan lijkt me dat nationale strategische belangen hier een stokje voor moeten steken.

Het goede nieuws is dat de discussie over enkele van de bovenstaande vragen voorzichtig op gang komt. De uitdaging is erin gelegen het debat breder te trekken dan alleen ongewenste invloed van buitenlandse bedrijven dan wel bepaalde landen. Het dient vooral ook te gaan over een te grote afhankelijkheid van een relatief beperkt aantal buitenlandse private partijen en de (wettelijke) maatregelen die we als Nederland moeten nemen om, als de nood aan de man komt, digitaal op eigen benen te kunnen blijven staan.

Dit Vooraf wordt gepubliceerd in NJB 2020/230, afl. 4

Afbeelding: https://pixabay.com/nl/illustrations/binaire-een-cyborg-cybernetica-1538717/

1. Voor het eerst gebruikt in: jack-clark.net/2019/12/02/import-ai-175-amazon-releases-ai-logistics-benchmark-rise-of-the-jellobots-china-release-an-air-traffic-control-recording-dataset/
2. Stb. 2019, 457.
3. Kamerstukken 35153.
4. www.nrc.nl/nieuws/2017/01/24/wakker-geschrokken-na-britse-overname-381515-a1542736
5. Zie: www.wrr.nl/publicaties/rapporten/2019/09/09/voorbereiden-op-digitale-ontwrichting

Over de auteur(s)

Corien Prins

Hoogleraar Recht en Informatisering