Vastgeplakt aan Microsoft

Gemeenten zijn bezorgd over de veiligheid van hun gegevens bij het Amerikaanse Microsoft, vooral nu Trump – die Europa als ‘vijand’ bestempelde – opnieuw president is. Ook de forse prijsstijgingen baren zorgen. Hoe groot is de invloed van deze techreus op lokale overheden precies? Binnenlands Bestuur zocht het uit.

Overheden te afhankelijk van techgigant

Office 365, Windows 10, Windows 11, Teams, Defender, Azure, Visio, Active Directory: de lijst van Microsoft- producten die lokale overheden afnemen is lang. Van alle benaderde overheidsorganisaties gebruikt 100 procent producten en diensten van de digitale grootmacht. Sommigen zijn zelfs al tientallen jaren klant. Waaronder de gemeente Den Haag, die de diensten en producten beschrijft als een ‘integraal onderdeel van de bedrijfsvoering’.

Dat Microsoft zo diep verweven is met de IT-infrastructuur van de lokale overheid, heeft verschillende oorzaken. De softwaregigant is betaalbaar en betrouwbaar, en de sterk doorontwikkelde technologie wordt al jaren geprezen om zijn uitstekende samenwerkingsfunctionaliteiten. Tijdens de coronapandemie veroverde Microsoft nog meer terrein op de overheidsmarkt, en er lijkt bovendien nog geen einde te komen aan die groei.

Ongemak

Terwijl duizenden ambtenaren dagelijks tevreden werken met Microsoft- diensten, groeit het ongemak. Kritische rapporten van onder andere de Auditdienst Rijk en de Algemene Rekenkamer wakkeren de zorgen aan, zeker nu het politieke klimaat in de Verenigde Staten een anti-Europees karakter vertoont. Amerikaanse inlichtingendiensten kunnen bedrijven via wetgeving dwingen gegevens over te dragen. Overheden kondigen hun vertrek aan van Amerikaanse sociale media, maar over ‘het M-woord’ blijft het stil. Want hoe realistisch is het om een gemeentelijke organisatie draaiende te houden zonder Microsoft?

Slechts 5 van de 54 lokale overheden (9 procent) geven tegenover Binnenlands Bestuur aan dat een overstap naar een andere leverancier haalbaar en realistisch is: de gemeenten Deventer, Kampen, Schouwen- Duiveland, Eemsdelta en Nijmegen. Ze schetsen daarbij echter de nodige kanttekeningen. Het vergt veel tijd en geld om de grote uitdagingen het hoofd te bieden. ‘Maar het kan wel, als het moet’, zegt Schouwen-Duiveland.

Vele andere gemeenten weten zeker dat een overstap onhaalbaar en onrealistisch is. Er zijn geen leveranciers met een vergelijkbaar aanbod, en in sommige gevallen is er niet eens een keuze. De gemeente Utrecht schrijft bijvoorbeeld dat de Cloud van Microsoft de enige is die door het rijk wordt goedgekeurd. Blaricum, Eemnes en Laren melden dat er geen alternatieven bestaan die compatibel zijn met gemeentelijke systemen. Ook Delft schrijft dat de gebruikte applicaties afhankelijk zijn van Microsoft-software, zoals Windows Server of Microsoft SQL.

Opensource

In bepaalde gevallen kunnen wel losse onderdelen van Microsoft worden vervangen. Heusden geeft aan dat alleen opensource-producten een alternatief kunnen bieden. Naast de enorme operatie brengt dat echter hoge externe ondersteuningskosten met zich mee. Dit omdat IT-ambtenaren niet goed thuis zijn in andere technologie. Zeewolde stipt aan dat diverse IT-leveranciers van de gemeente uitsluitend Microsoft-producten ondersteunen, ‘en dan worden we mogelijk wel gedwongen om diensten van Microsoft af te nemen.’

Wie toch zonder Microsoft verder wil, krijgt te maken met een enorme financiële en operationele impact, zo blijkt unaniem uit de antwoorden. Volgens Eemsdelta omvat de overstap naar andere leveranciers kosten voor nieuwe licenties, personeelsopleiding en mogelijke tijdelijke verstoringen van de dienstverlening tijdens de overgangsperiode. Hoekse Waard meldt dat de impact van een overstap niet te overzien is: ‘Wij hanteren al jaren een Microsoft-tenzij strategie, dit zou betekenen dat de investeringen in zowel de backals front-end van onze ICT-omgeving tenietgedaan worden.’

Niet kunnen overstappen maakt het voor de leverancier eenvoudig om eenzijdig prijsstijgingen door te voeren. Iets wat de afgelopen jaren ook is gebeurd, zo blijkt uit de antwoorden van sommige gemeenten. Slechts 3 van de 54 organisaties (5 procent) geven expliciet aan zich geen zorgen te maken over prijsverhogingen van Microsoft. Bij 24 van de 54 organisaties (44 procent) bestaan er zorgen. Die variëren van ‘een punt van aandacht’ tot ‘grote zorgen’.

Volgens Amstelveen is er met Microsoft sprake van een vendor lock-in. Een organisatie is dan zo afhankelijk van een leverancier dat afscheid nemen of overstappen niet mogelijk is zonder grote (financiële) gevolgen. Hoeksche Waard ziet dat het gebrek aan vergelijkbare oplossingen en leveranciers ervoor zorgt dat Microsoft veel macht heeft: ‘Nieuwe functionaliteiten en softwareverbeteringen leiden tot prijsverhogingen.’ Diverse gemeenten wijzen in hun antwoorden op het GT Microsoft-Framework van de Vereniging van Nederlandse Gemeenten (VNG), waarin prijsafspraken zijn vastgelegd tot en met 2027. Tot die tijd liggen de maximale prijzen vast.

Risico

De grootste zorgen gaan uit naar de mogelijke implicaties van de Amerikaanse Cloud Act. Die wet stelt Amerikaanse autoriteiten in staat om gegevens van Europese Microsoft-klanten op te eisen. Een zorg die inmiddels door vele experts – waaronder voormalig AIVD-toezichthouder Bert Hubert – aan het kabinet is geadresseerd. Dit signaal is aan gemeenten niet voorbijgegaan. Slechts 4 van 54 lokale overheden (7 procent) hebben géén zorgen over de Amerikaanse wetgeving.

Bij 19 van 54 organisaties (35 procent) wordt aangegeven dat er zorgen bestaan over de Amerikaanse wetgeving met betrekking tot de veiligheid van gegevens. Zo ook Tilburg. Die gemeente maakt zich zorgen over het mogelijk vorderen van gegevens en stelt dat het risico niet weg te nemen is. Een deelnemende gemeente die anoniem wenst te blijven noemt het ‘zeker een reëel risico, waar Microsoft een niet helemaal sluitend antwoord op heeft.’ Voor dit vraagstuk is de blik van veel gemeenten vooral gericht op de gemeentekoepel, zoals bij Dijk en Waard: ‘Wij verwachten dat de VNG een belangrijke rol speelt in het maken van afspraken met Microsoft’.

Dat lokale overheden zichzelf afhankelijk vinden van Microsoft, staat als een paal boven water. Zo’n 35 procent vindt zichzelf inmiddels té afhankelijk van de Amerikaanse techreus, en maakt zich daar zorgen over. Tien organisaties vinden zichzelf niet te afhankelijk. ‘Er moet niets met Microsoft gebeuren, want dan hebben we wel een probleem’, aldus Schouwen-Duiveland. Heusden vindt zichzelf ‘volledig afhankelijk’ en schrijft dat zonder Microsoft de gemeente niet kan functioneren.

Noardeast- Fryslân ziet de afhankelijkheid van IT-leveranciers steeds grotere vormen aannemen: ‘Monopolistische marktpartijen kopen opkomende alternatieven op, waardoor er geen keuzevrijheid ontstaat. Ook wij maken ons daar zorgen over.’ Eindhoven stelt dat het beter zou zijn als overheidsorganisaties niet te afhankelijk zijn van één leverancier of oplossing, ‘zoals op dit moment het geval is met Microsoft.’ Overigens menen lokale overheden dat het massale gebruik van Microsoft ook grote voordelen heeft. Het bevordert de samenwerking tussen ambtenaren en geeft organisaties een sterkere positie bij onderhandelingen over de prijzen.

In het algemeen wekken overheden de indruk bezorgd te zijn, maar ook dat er geen ontkomen is aan Microsoft. Een oplossing waar overheidsland al jaren tevergeefs op hoopt, is een volwassen Europees alternatief. Maar dat bestaat niet. Delft noemt het zelfs ‘een utopie’. Mocht zo’n aanbieder wel beschikbaar zijn, dan geeft een groot deel van de gemeenten – in totaal twintig (37 procent) – hier de voorkeur aan.

Concrete stappen in die richting worden nog niet genomen. Van alle ondervraagde gemeenten is alleen Amsterdam bezig met alternatieven voor Microsoft of andere Amerikaanse technologie. De provincies, die gezamenlijk een meerjarig raamcontract met Microsoft hebben, doen dit via hun beheerorganisatie in samenwerking met het rijk. Diverse provincies stellen echter dat het wettelijk niet mogelijk is om criteria op basis van land of regio van herkomst te hanteren.

Wat ook blijkt uit de antwoorden, is dat veel gemeenten zo’n eerste onderzoek of evaluatie naar Microsoft-alternatieven toejuichen. Zo’n 24 van 54 (44 procent) geven dit aan. Hilversum is een van de gemeenten die de voorkeur zou geven aan een Europees alternatief en wijst naar buitenlandse voorbeelden, zoals München, Sleeswijk-Holstein en Extremadura. Meerdere gemeenten geven aan dat bij een verkenning naar alternatieven het liefst alle gemeenten betrokken moeten worden. Een landelijke organisatie zoals VNG zou de kar kunnen trekken.

Infuus

Hoogleraar ICT en Privaatrecht Frederik Zuiderveen Borgesius is ‘helaas niet verbaasd’ dat gemeenten zo innig verstrengeld zijn met Microsoft. Hij vindt het noodzakelijk dat de overheid hiermee aan de slag gaat: ‘Hoe eerder, hoe beter.’ Om los te komen van het Microsoft-infuus, moeten overheden volgens hem geleidelijk overstappen naar andere leveranciers. Te beginnen met losse onderdelen, zoals software om te videobellen.

Dat gemeenten werken met applicaties die niet meer losgekoppeld kunnen worden van Microsoft Cloud, is wel problematisch. Maar helemaal machteloos zijn gemeenten niet, zegt Zuiderveen Borgesius. Ze kunnen de voorwaarden van hun Microsoft-contract laten verbeteren. ‘De Nederlandse rijksoverheid en de Nederlandse universiteiten hebben bijvoorbeeld onlangs betere veiligheid van persoonsgegevens bij Microsoft afgedwongen. Voor gemeenten is hier wellicht ook iets mogelijk.’

Clingendael-onderzoeker Maaike Okano-Heijmans denkt dat de oplossing voor gemeenten om minder afhankelijk te worden van één leverancier vooral ligt in meer samenwerking: ‘Als overheid kun je Europese keuzes aanjagen. Als de overheid hier als één geheel voor kiest, dan komt er ruimte te liggen voor Europese marktpartijen.’ Door een flinke groei kan een Europese partij zich op termijn technologisch verder ontwikkelen. Okano-Heijmans wijst tevens op het belang van het aanpassen van de huidige aanbestedingsregels: ‘Je zou wellicht aanbestedingsregels kunnen opstellen waarmee je diversificatie van dienstverleners vereist.’

Verantwoording: Binnenlands Bestuur ondervroeg gemeenten, provincies en waterschappen over hun afhankelijkheid van Microsoft. In totaal reageerden 44 gemeenten, 10 provincies en 13 waterschappen. Sommige deelnemende organisaties kozen voor anonimiteit. De waterschappen gaven alleen een algemene, uniforme reactie. Zij beschouwen de focus op Microsoft als ‘te eenzijdig’