Het is een positief signaal dat de staatssecretaris Eelco Eerenberg (Financiën) nu stappen zet, in het algemeen door nadruk te leggen op zelfbouw dan wel Europese oplossingen, concreet rond het contract met Fast Enterprises voor de omzetbelasting. Voor dit laatste lijken met name twee zaken echter belangrijk.
In de aanbestedingstukken van het OB-contract werd gezegd dat beheer en onderhoud van de op de datacenters van Belastingdienst geïnstalleerde software door Fast worden uitgevoerd. Uitwerking van de details is opgenomen in stukken die we niet kennen, het wordt nu anders, hoe weten we niet precies. De aangekondigde audit moet hier duidelijkheid geven. Voorts werkt men met de leverancier aan een constructie waarmee escrow ook wordt geactiveerd bij toepassing van extraterritoriale wetgeving: als dat lukt dan krijgt de Belastingdienst de code als door een actie van de Amerikaanse regering de levering door Fast wordt onderbroken.
De escrow aanpassing zal heel moeilijk zijn te implementeren. Maar de waarde van de aankondiging van de Staatssecretaris kan het best worden beoordeeld in het licht van de deze week op de 3 juni door de Europese Commissie aangekondigde wet genaamd Cloud and AI Development Act (Cada). Deze wet zal na te zijn geïmplementeerd verplichten ook bestaande voorzieningen onder Cada te brengen, lees: te ontmantelen en te migreren naar een oplossing Made in Europe. Ogenschijnlijk gaat Cada over Clouddiensten. Maar ook software uit de VS die (bijvoorbeeld in Nederland) on premises draait valt qua doel en deels ook letter binnen Cada in zoverre dat het er om gaat welke jurisdictie geldt, wie control heeft en of er blootstelling is aan interventie door derde-landen. Niet om waar de it draait.
Twee vereisten
Het gaat met name om twee vereisten in Cada: a) geen control vanuit een derde land of entiteit welke het vermogen tot levering van de dienst beperkt, of beperkingen oplegt aan infrastructuur, assets en personeel (met name als gevolg van de eigendomsstructuur; annex III onder G wetsvoorstel Cada) en b) geen control door een derde land of entiteit over de provider op een wijze die de provider verplicht mee te werken aan beperkende maatregelen zoals sancties, embargo’s. De stappen die nu met Fast worden gezet zorgen nog niet voor compliance met deze criteria en voor afdekking van de risico’s waar Cada op doelt. Het blijft immers proprietary software uit de VS.
Afronding van het Europese wetgevingsproces voor Cada kan nog leiden tot enkele wijzigingen, bijvoorbeeld verduidelijking rond on-premises constructies. Maar de wet werpt zijn schaduw nu al vooruit. Het lijkt onverstandig om nu geen rekening te houden met Cada met het risico om straks in een juridische fuik en problematiek van ontvlechting en migratie te belanden. Voor bestaande contracten, ook on-premises- constructies, is het van belang om een ‘autonomie en exit-plan’ te gaan maken (zoals financiële instellingen dit deels nu al moeten doen op basis van de Digital Operational Resilience Act (Dora). Projecten met een hoog risicoprofiel die in een beginstadium van implementatie verkeren kunnen maar beter worden beëindigd.
Zo bezien is de brief van de staatsecretaris een stapje in de goede richting, Men heeft het contract met Fast wel degelijk deels afgekocht want tegenover verkleining van de scope heeft ongetwijfeld een vergoeding aan Fast gestaan. Maar in het licht van het bovenstaande is de vraag: waarom half werk geleverd, en er niet volledig een streep doorgehaald?
Marcel van Kooten studeerde internationale betrekkingen en is consultant informatiestrategie bij Highberg.
Lees ook: Digitale soevereiniteit blijft loze belofte
computable
12-06-2026 11:48