De kunst van het leveranciersmanagement

Beeld: Barry Hage

Deze zomer legden vier van de grootste techbedrijven ter wereld in een historische hoorzitting verantwoording af tegenover een Amerikaanse onderzoekscommissie. Die stelde dat Facebook, Google, Amazon en Apple misbruik maken van hun macht. Opvallende afwezige: Microsoft. Dat is wel eens anders geweest. Decennialang was het bedrijf uit Redmond het bedrijf ‘we all love to hate’. En meerdere malen werd het concern veroordeeld wegens monopoliepraktijken.

Dat Microsoft buiten de schijnwerpers is geraakt, komt doordat het minder zichtbaar is in het digitale leven. Het bedrijf heeft de boot gemist met smartphones, zoekmachines en sociale media. Maar dat betekent niet dat het bedrijf niet diep in ons leven is geïntegreerd, stelt Paul van den Berg. “Op grote schaal worden gebruikersdata via Windows en de Office-applicaties verzameld.”

Hij kan het weten, want omgaan met Microsoft is zijn dagelijks werk als strategisch leveranciersmanager. De laatste jaren heeft hij de techreus er vooral van proberen te doordringen dat hun producten niet voldeden aan alle aspecten van de Europese privacy-regelgeving. Met succes. In mei 2019 hebben de onderhandelingen geleid tot sterk verbeterde privacyvoorwaarden. Sindsdien voert Microsoft wereldwijd technische en organisatorische verbeteringen door.

Die medewerking moest wel worden afgedwongen. Jullie hebben diep in telemetrie en ander dataverkeer moeten duiken.

“Dat klopt. In 2018 hebben we zelf een DPIA (Data Protection Impact Assessment, onderzoek naar mate van privacy- en gegevensbescherming) uitgevoerd. Dat volgde op eerder onderzoek in 2017 van de Autoriteit Persoonsgegevens. Die stelde vast dat de Windows 10-versies op flink wat punten niet compliant waren, terwijl Microsoft beweerde dat ze volledig voldeden aan de toenmalige privacyregelgeving (Wbp). We concludeerden dat we ten onrechte vertrouwden op informatie van Microsoft. Dat is ook niet allemaal onwil van hun kant. Microsoft verzamelt heel veel gebruikersinformatie en de ene afdeling weet vaak niet wat de andere daarmee doet. De integratie met LinkedIn kon bijvoorbeeld echt niet. En het bedrijf deelt ook informatie met derde partijen die geen officiële ‘verwerker’ zijn. Ik moet zeggen dat Microsoft uiteindelijk goed meewerkt. De basisproducten zijn nu in orde, en voor Office for the web ligt er nu een verbeterplan naar aanleiding van onze laatste DPIA.” Ook de verbeteringen die Microsoft per 1 augustus 2020 zou doorvoeren zijn keurig opgeleverd.

David versus Goliath

In de praktijk blijkt het heel moeilijk om grote Amerikaanse bedrijven in beweging te brengen, bevestigt Van den Berg het heersende beeld. Het is een ongelijke strijd, David tegen Goliath. Nederlandse overheden zijn met handen en voeten gebonden aan Microsoft. Alleen al de circa 300.000 rijksambtenaren maken dagelijks gebruik van Windows en de Office-applicaties. Dat maakt de overheid weliswaar een grote klant, maar daarmee gaan in Redmond de deuren niet direct open. Op een mondiale omzet van 125 miljard dollar maken die Nederlandse inkomsten nu ook weer niet zoveel indruk. Het laatste boekjaar boekte het concern ook nog eens een winst van 43 miljard; over marge gesproken.

“Het is lastig onderhandelen”, zegt Van den Berg. “Je moet zorgen in gesprek te raken met het hoofdkantoor, met de topjuristen. Zo’n Nederlandse vestiging is alleen maar een filiaal. Ze besluiten hier niets en ze zijn louter gericht op hun targets.” Voor een kantelpunt in de verhoudingen zorgde de Europese privacyrichtlijn. “We hebben met eigen onderzoeken Microsoft duidelijk gemaakt dat hun producten en contracten niet voldoen aan onze wetgeving en dat het in hun belang was mee te werken omdat dit consequenties op Europese schaal kon hebben.”

Je moet leveranciers overtuigen dat het ook in hun belang is om hun producten beter en veiliger te maken

De Nederlandse overheid is in de EU volgens Van den Berg op dit gebied wel het meest activistisch. “We hebben wel steun gekregen uit Brussel. En ook andere Noord-Europese landen gingen zich roeren, nadat wij onze bevindingen deelden. Dat heeft effect gehad.” De verhoudingen met de Nederlandse Microsoft-vestiging raakte daardoor flink bekoeld. “Het raakte hen flink in de portemonnee. We hebben vanwege de tekortkomingen de introductie van Office-cloud producten opgehouden.”

Dominee en koopman zijn verenigd in de Nederlandse opstelling. Net was de dominee aan het woord. Maar de Rijks-koopman zag de prijsstelling ook niet zitten. Microsoft wilde de overschakeling naar cloudproducten gebruiken om de opbrengsten per gebruiker fors te verhogen.” Eerder klaagden Nederlandse ziekenhuizen ook al over een vergelijkbare opgedrongen migratie naar een veel duurdere cloudomgeving. ‘Ziekenhuizen zijn dwang Microsoft zat’, kopte het FD in dit verband in november 2019. “Bij zulke onderhandelingen bekoelt zo’n relatie wel eens. Maar door steeds een feitelijke opstelling te kiezen hebben we een goede werkrelatie met Microsoft Worldwide en Europa gehouden.” Met Nederland dus minder? “Dat klopt, onze opstelling heeft ze omzet gekost. Zo simpel is het.”

Zijn die verbeterde privacy-aspecten daarmee automatisch ook voor lagere overheden en andere (publieke) organisaties geregeld?

“Ja en nee. Tal van verbeteringen zijn wereldwijd beschikbaar gekomen in de Microsoft-producten. Maar wat enorm steekt is dat Microsoft enorm moeilijk doet over de aanpassingen die ook op contractniveau nodig zijn. Zij zeggen dat hun standaardcontracten voldoen, maar dat is niet zo. We hebben wel als eis gesteld dat onze amendementen ook gelden voor de contracten met de VNG (Nederlandse gemeenten) en SURF (hoger onderwijs). Dat is gelukt. Maar bij semipublieke organisaties, zoals de zorg, ligt Microsoft Nederland dwars. Terwijl we daarover wel een gentlemen’s agreement hebben gesloten met Brad Smith, de topjurist van Microsoft.

Ik zie het als mijn taak om – zonder dat je ruzie krijgt – leveranciers te overtuigen dat het ook in hun belang is om hun producten beter en veiliger te maken. Dat speelt zeker ook in de zorg. Denk eens aan nieuwe toepassingen voor zorg op afstand.”     

Over zorg gesproken. Wat is de invloed van corona?

Sinds corona is alle terughoudendheid rond het gebruik van cloudapplicaties weggevallen, merkt Van den Berg. “Het is nu eerder een kwestie van afremmen.” Het levert ook nieuwe spelers op. Google en Zoom zijn prominenter in beeld gekomen bij de overheid. “In het onderwijsveld is het gebruik van Google-producten enorm toegenomen tijdens de coronacrisis. Met Google gaan we, samen met SURF, een vergelijkbaar privacytraject in. En dat geldt ook voor Zoom. Als we er zeker van zijn dat ze voldoen aan de AVG (Algemene verordening gegevensbescherming), krijgen we meer keuze en worden we minder afhankelijk van één leverancier. Altijd gunstig voor de prijsvorming. Op 13 augustus hebben we overeenkomst met Google bereikt over een verbeterplan en mitigerende maatregelen voor de Google Enterprise en Educatie producten. Hierdoor kan de onderwijssector gebruik blijven maken van Google voor onder andere onderwijs op afstand.”

‘Leveranciers­management is een leuk vak’

Paul van den Berg breekt graag een lans voor het werkterrein ‘strategisch leveranciersmanagement’. “Ik roep jonge professionals op zich daarop te oriënteren. Het is goed voor je cv. Je kunt je enorm verbreden omdat je productkennis, juridische kennis en onderhandelingsvaardigheden nodig hebt. Strategisch leveranciersmanagement is onderdeel van het inkoopproces, en staat heel dicht bij beleidsvorming en strategie: het creëren van een betrouwbaar toekomstscenario. Je werkt intensief met zowel de interne afnemers als de leveranciers. Het is echt een leuk vak.”

Dit artikel staat ook in iBestuur magazine 36