Als ICT in de cloud draait, zijn de ARBIT-voorwaarden dan nog van toepassing? Tijdens een rondetafelbijeenkomst van iBestuur spraken verschillende partijen over het effectief inkopen van clouddiensten. De vraag ‘hoe halen we SAAS in huis?’ leidde tot een geanimeerde discussie.
Software-as-a-Service (SAAS) is een containerbegrip voor standaard software voor dienstverlening via internet. Apparaat- en locatieonafhankelijke diensten zoals Dropbox en Google Drive voor het opslaan en delen van bestanden. Daarnaast zijn er tal van vakspecifieke oplossingen. Bijvoorbeeld Hubspot voor marketingcampagnes, ZenDesk voor klantenservice en callcenters en Salesforce voor klantrelatiemanagement. Wereldwijd zijn de grootste aanbieders van de openbare cloud de Amerikaanse giganten Amazon, Google, IBM en Microsoft en het Chinese Alibaba.
Met SAAS zijn investeringen in rekenkracht en dataopslag op eigen terrein (on premise) niet langer nodig, alles kan in de cloud. Dit is IT van een nieuwe orde en dat leidt tot de vraag in hoeverre de gangbare aanbestedingsprocedures en inkoopvoorwaarden nog van toepassing zijn. Op de iBestuur-bijeenkomst van begin december was de vraag ‘Hoe halen we SAAS in huis’ reden voor volle ronde tafels. Het in harmonie brengen van aanbestedingsregels en cloudapplicaties is een heet hangijzer, waar inkopers, juristen en gebruikers op een eigen manier tegenaan kijken.
Edgar Heijmans, directeur van HR-bedrijf P-Direkt, had de eer de eerste knuppel in het hoenderhok te gooien door de positie van de Rijksoverheid wat betreft SAAS en cloud ‘benauwd’ te noemen. “De relatie markt en overheid is al sinds jaren een bijzondere. Het feit dat de pijp van de markt moet roken en de veronderstelling dat de overheid voor een dubbeltje op de eerste rang wil zitten leiden de aandacht af van succesvolle samenwerking.” Vanuit die benauwde positie komt de neiging om erg strak te gaan werken met aanbestedingsprocedures en contractvoorwaarden. Dit lijkt veilig, maar belemmert een succesvolle samenwerking tussen markt en overheid. Heijmans legt uit: “Bij aanbestedingsprocedures gaat de opdracht naar degene met de beste ‘fit’. Die score is nooit honderd procent. Er zal dus altijd een gat zitten tussen wat de overheid wil en wat de leverancier kan leveren.”
Bijna terloops merkt Heijmans op dat SAAS door leveranciers in de markt wordt gezet als de oplossing voor alles. “The sky is the limit, dat is de boodschap. Men laat zich lekker maken door die belofte en raakt het zich kwijt op wat daadwerkelijk kan en wat men nodig heeft. ‘Alles kan dus ik ga alles vragen’. Maar SAAS is een standaard van een leverancier en niet van alle leveranciers tezamen, wat de business vaak denkt. Als men niet oplet, zal uiteindelijk de overheid zich moeten aanpassen om bij de geleverde oplossing te passen.”
De inkoop is vaak leidend en de business veelvragend, vat Heijmans de praktijk gechargeerd samen. “De overheid zet bij een aanbesteding vaak de inkoop in de lead. Na gunning wordt de scope langzaam opgerekt en komen vanuit de business de vragen om maatwerk. En omdat implementatiebedrijven de overheid graag binnenhalen als klant, stellen ze de door hun reseller aangeboden SAAS-oplossingen mooier voor dan ze zijn.” Als SAAS standaardsoftware is dan bestaat tachtig tot negentig procent van een IT-project uit data-integratie, cultuuromslag en procesaanpassingen. En dan moet er nog gepraat worden over security en privacy. “Dat is het gat tussen vraag en aanbod en daar zitten de grootste kosten. Ik vraag me dus af of we het over IT – en dus Algemene Rijksvoorwaarden bij IT-overeenkomsten (ARBIT) – moeten hebben als we praten over cloudoplossingen en SAAS. Feitelijk is de ARBIT op deze ontwikkeling nog niet ingericht.”
Ga en blijf in dialoog
Advocaat Fabian Horsting van Six Advocaten was optimistischer van toon. In de aanbesteding van SAAS-diensten pleitte hij voor meer dialoog tussen marktpartijen en overheid voor en tijdens de aanbesteding. Daar is namelijk veel meer ruimte voor dan over het algemeen wordt aangenomen. “Vroeger stond er een hoge schutting tussen opdrachtgever en opdrachtnemer”, zei Horsting. “Daar ging een aanvraag overheen, een offerte kwam terug, die werd ondertekend, mensen werden ingehuurd en vervolgens kon het misgaan.” Aanbesteden kan constructiever, meende hij. “Communicatie met de markt voor en tijdens een aanbesteding mag en is enorm aan te raden. Als je als opdrachtgever en opdrachtnemer voor het eerst met elkaar in gesprek gaat tijdens en na de contractvorming, dan ben je te laat.”
Van alle aanbestedingsprocedures die er zijn is Horsting in de context van SAAS een fan van concurrentiegerichte dialoog. “Laat elke aanbesteding sowieso voorafgaan door een marktconsultatie. Verzamel eenzijdig informatie ter overweging. Ga dan terug naar de markt en laat de informatie tweezijdig toetsen. Gebruik de marktconsultatie om te bepalen wat je wilt en om te onderzoeken wat er beschikbaar is. Vraag de markt om mee te denken. Vraag niet om technologie maar om functionaliteit. Laat de markt maar bedenken wat je zou kunnen inkopen.” Hoe meer informatie van tevoren wordt verzameld, hoe minder vragen bij de nota van inlichtingen. “Je maakt de markt immers onderdeel van het denkproces en je houdt als overheid de regie.” Gebruik vervolgens tijdens de aanbesteding de nota van inlichtingen als dialoogmiddel, tipte Horsting. “Dit is minder nodig na een goede marktconsultatie, maar dat is een behoorlijk tijdrovende klus en niet altijd mogelijk. Neem ook altijd de wensen en eisen mee van de interne gebruikers, de mensen uit de praktijk.”
Natuurlijk mag je de ene leverancier niet meer informatie geven dan de andere, maar dat is logisch, zei Horsting. “Houd altijd voor ogen dat je niemand bevoordeelt. Voor de dialoog zijn jaren geleden al Europese procedures bedacht. Ja, marktconsultatie kost tijd, maar weeg dit af tegen mogelijke faalkosten. Een snelle aanbesteding is niet hetzelfde als een soepele uitvoering.” De ARBIT is een set algemene voorwaarden en daar mag best over gepraat en van afgeweken worden. “Het is geen dogma, geen knock-outcriterium. Vraag jezelf eens af: als partijen afhaken vanwege de ARBIT, heb ik dan wel voldoende concurrentie georganiseerd? En de partij die overblijft, is dat automatisch de juiste? Waarom zou je veel moeite doen om vooraf allerlei risico’s, aansprakelijkheden en boetes bij de markt te leggen, als je tijdens de uitvoering toch bijna nooit gebruikmaakt van die bepalingen.”
Schimmigheid
Bram Lamens van MinJenV bezag de hele kwestie met de blik van een overheidsadvocaat en dat was een kritische: SAAS en privacywetgeving vormen zelden een goed huwelijk. “De antivirussoftware van Kapersky, de hardware van Huawei en ZTE: het zijn voorbeelden van ICT-bedrijven die volgens de regels aanbestedingen hadden gewonnen, maar waar overheden geen zaken meer mee doen vanwege veiligheidsrisico’s.” Zolang data en applicaties niet gescheiden zijn, werpen nationale veiligheid en privacy een te hoge drempel op voor het gebruik van SAAS, wat Lamens betreft. “Met de data komt namelijk een wereld aan problemen mee. Neem Microsoft 365 in de Microsoft-cloud. De bestanden staan in Ierland, maar de diagnostische data met gegevens over gebruik van de software door ambtenaren gaan naar de VS. Over onder meer die verwerking zijn we natuurlijk in gesprek met Microsoft.” Lamens ervaart dat het vaak lastig is om inzicht te krijgen in de aard en inhoud van de gegevens die ICT-bedrijven verzamelen. Hij sprak van “een schimmigheid” die zich slecht verhoudt tot de eisen die de burger aan de overheid stelt op het vlak van nationale veiligheid en privacy. “ICT-bedrijven zouden overheden kunnen helpen door op dit vlak transparanter te zijn en dat kan prima tijdens de intensievere communicatie tussen overheid en ICT-bedrijven waar Horsting voor pleit”, aldus de overheidsjurist.
Voor standaardprogrammatuur lopen aanbestedingen door de Rijksoverheid via resellers. Lamens: “Softwareleveranciers schrijven niet in op aanbestedingen. Daarvoor schuiven zij resellers of systemintegrators naar voren en welke afspraken zij weer hebben met hun softwareleverancier is voor de overheid niet inzichtelijk. Maar als er iets mis gaat dan hebben wij een contract met de reseller.” En van die partij is de toegevoegde waarde niet altijd duidelijk, aldus een rijksambtenaar in het publiek. “Of beter gezegd: in ons geval was die nul. Wij maakten rechtstreeks afspraken met de leverancier.” Dat privacy en SAAS onverenigbaar zouden zijn, sprak deze ambtenaar tegen. “Wij hebben zeer nauw samengewerkt met de leverancier. Die wilde dat wel, want een stempel van ons ministerie is een goed stempel om te hebben. We zijn samen de inhoud ingegaan en hebben de maatregelen besproken. Ga naast elkaar zitten en maak afspraken. Geloof elkaar niet alleen op de blauwe ogen.”
Jantine Scheele van Oracle herkende de uitdaging met betrekking tot resellers: “Het is voor ons geen voordeel om een reseller te hebben met een delta in hun voorwaarden ten opzichte van de onze. Wij willen de dingen samen doen en samen verantwoordelijk zijn dat het goed gaat. SAAS is een dienst – daar moet je als leverancier hard aan werken. Het is ook commercieel belang om duurzaam samen te werken.”
Achterlopen
Uit het publiek kwam ook de vraag of SAAS wel de ultieme oplossing is zoals hij soms wordt gepresenteerd. Een aantal partijen zei zich gedwongen te voelen tot migratie terwijl ze zich liever bij hun bestaande oplossing on premise hielden. Heijmans reageerde daarop door te zeggen dat “het Rijk niet vooruit hoeft te lopen. Iets daarachter mag prima.” Lamens beaamde dat. Heijmans voegde toe: “De inzet van SAAS sluit niet uit dat data on premise kunnen blijven staan. Laat je niet ongenuanceerd met je data naar de cloud duwen. Wij zijn als overheid groot genoeg om eisen stellen over data-opslag, encryptie, back-up.” Scheele benadrukte het belang met elkaar te blijven spreken. “Elkaar voorwaarden door de neus duwen werkt niet. SAAS is dienstverlening en daarmee gaan leveranciers en klanten een andere relatie aan dan bij producten. Vind elkaar in gesprekken en laat de markt toelichten hoe de werkelijkheid er technisch uitziet. Dat is de enige manier waarop we een succesvolle dienstverlening kunnen hebben met elkaar.”
Slotoverpeinzingen
Voor iedereen die ermee te maken had, gaf Heijmans nog vier laatste overpeinzingen. “Voor de vragende partij: als je niet weet wat je wilt, krijg je wat je niet wilt. Als je weet wat je wilt, vraag dan wat je wilt. En voor de leveranciers: als je niet weet wat ze willen, geef ze dan niets. Als je weet wat ze willen, beloof niet wat je niet hebt.”
De presentaties van de rondetafeldiscussie zijn hier te vinden.