Toezicht op het snijvlak van technologie en geopolitiek

12 juni 2025
Internationale context

De huidige geopolitieke dynamiek, met inmenging van Big Tech, roept de vraag op: hoe afhankelijk zijn organisaties in Nederland van deze ondernemingen? En hoe kunnen toezichthouders het best omgaan met de bedreigingen die dit met zich meebrengt? Vijf aanbevelingen van Sophie Witsenburg, Head of Hydrogen Business Development NL bij energiebedrijf RWE en aankomend toezichthouder. 

De Amerikaanse Big Five: Alphabet, Amazon, Apple, Meta en Microsoft. Soms spreken we ook wel van de Big Seven, met Nvidia en Tesla erbij. Hoe afhankelijk is uw toezichtorganisatie van deze ondernemingen en wat betekent dat voor het risicobeheer en de continuïteit? En welke vragen kunt u daarover aan het bestuur stellen als lid van de raad van commissarissen (rvc) of raad van toezicht (rvt)? 

Op zoek naar het antwoord op deze vragen zijn vijf mensen geïnterviewd die vanuit diverse invalshoeken perspectief kunnen bieden: commissarissen en medewerkers uit de politiek/overheid en het bedrijfsleven, allen met digitalisatie en IT als expertisegebied en in een aantal gevallen werkzaam op het snijvlak van (geo)politiek en IT.

Strategisch belang

Digitalisering en IT zijn van groot belang voor bedrijven en organisaties. De basale bedrijfsvoering is afhankelijk van IT: denk aan computers, CRM-systemen en e-mail. Digitalisering heeft ook een fundamentele invloed op de strategie van een bedrijf. Nieuwe verdienmodellen kunnen worden aangeboord en klanten of andere belanghebbenden kunnen op steeds betere manieren bereikt worden. IT-investeringen zijn van groot strategisch belang en niet zelden een forse kostenpost. Digitalisering en IT vragen derhalve om goed toezicht.

Technologische afhankelijkheid

Standaardisatie ten tijde van de digitalisering van bedrijven en organisaties brengt ontegenzeggelijk veel voordelen met zich mee. Het gebruikersgemak is doorgaans groot, de schaalbaarheid is enorm en de kosten zijn als gevolg van economies of scale (of alternatieve en niet altijd zichtbare verdienmodellen) relatief laag. Dit veroorzaakt een wereldwijde afhankelijkheid van een klein aantal spelers: The Big Five.

Dominantie versterken via datasets

Software die op kantoor wordt gebruikt is in ruim 89% van de gevallen van Microsoft en 10% van Google. Mobiele apparaten worden voor 99% bestuurd door Google (Android) of Apple. Deze bedrijven hebben een compleet ecosysteem ontwikkeld, waarbij niet alleen een platform is gebouwd, maar daaromheen ook eigen producten en diensten geïntegreerd worden. Beschikbaarheid over enorme datasets versterkt het vermogen om in aanpalende markten in te stappen en de dominantie te verstevigen.

Kwetsbaarheden informatiebeveiliging

Informatiebeveiliging wordt in toenemende mate gezien als een belangrijk onderwerp in de boardroom. Een recent rapport van Heidrick & Struggles merkt op dat het een groeiende zorg is voor bestuurders. Gecombineerd met beperkt vertrouwen dat de eigen organisatie de bijbehorende issues het hoofd kan bieden, is het zelfs het grootste risico. Dit is niet voor niets. De incidenten nemen toe, zo is ook bijna dagelijks in de media te lezen. Deze treffen ook kritische infrastructuur, zoals ziekenhuizen, vliegvelden en onderwijsinstellingen. In de energiesector zijn de hoeveelheden cyberaanvallen verdubbeld tussen 2020 en 2022. De EU is daarbij in toenemende mate doelwit: van alle cyberaanvallen steeg het aandeel op Europese landen van 9,8% naar 26,5% tijdens de eerste zes maanden van 2023.

Zorg voor uitwijkplan

Bij beheersing van deze bedreigingen moet er door bestuurders en toezichthouders nagedacht worden over bescherming tegen risico’s van buiten de organisatie (zoals hackers), informatiebeveiliging binnen de organisatie en bijvoorbeeld het vermijden van malware, plus een goed uitwijkplan voor het geval er toch iets misgaat zodat de kritische systemen en informatie zo snel mogelijk weer beschikbaar zijn.

Bedrijfseconomische dilemma’s

Grotere commerciële organisaties kiezen in sommige gevallen voor in-house oplossingen. Ook de overheid beperkt, mede als gevolg van veranderende geopolitieke verhoudingen, gebruik van de public cloud. Door zelf meer te doen worden afhankelijkheidsrisico’s mogelijk vermeden, maar dit leidt tot bedrijfseconomische dilemma’s: de schaalbaarheid die platforms van derden aanbieden wordt beperkt. Hier moeten bestuurders bewuste keuzes maken: kan de organisatie blijven innoveren zonder groeiende afhankelijkheid van buitenlandse technologie? In de verweving met en de afhankelijkheid van Big Tech doemt een nieuw, geopolitiek gedreven risico op dat eveneens geadresseerd dient te worden.

Geopolitieke invloeden

Techleveranciers zijn geen overheidsinstellingen, maar nemen desondanks (semi)overheidstaken over: ze leveren infrastructuur, zoals datacentra en onderzeese glasvezelverbindingen. Via Starlink van Elon Musk kunnen bijvoorbeeld schepen die op afgelegen plekken varen hun connectiviteit behouden. Ondertussen verzamelen ze enorme hoeveelheden data voor commerciële doeleinden. Daar komt bij dat deze bedrijven – al dan niet bij monde van Trump en Vance, als president en vicepresident van de VS, een steeds duidelijker stem in het geopolitieke debat opeisen. Hiermee worden technologische en geopolitieke risico’s in toenemende mate met elkaar verbonden.

Platformmacht

Dat infrastructurele macht is belegd bij private partijen is op zich niets nieuws. Echter, in dit geval is Big Tech de leverancier van technologie waarop de maatschappij rekent om te kunnen draaien: onder meer voor gezondheidszorg, onderwijs en communicatie. Ook nieuw aan deze specifieke machtspositie is dat de infrastructurele macht wordt gecombineerd met platformmacht: de mogelijkheid tot beïnvloeding van miljarden mensen door welke content ze wel en niet te zien krijgen via bijvoorbeeld Facebook, Instagram of X.

Gebrek aan kennis en inzicht

Verder ontbreekt het in wetgevende en toezichthoudende instanties soms aan voldoende kennis en inzicht in zowel de technologie als de verdienmodellen. Dit heeft weerslag op de effectiviteit van wet- en regelgeving. Een recent initiatief in Nederland om Buy Now Pay Later- partijen uit fysieke winkels te weren adresseert enerzijds het risico dat consumenten te makkelijk schulden opbouwen, maar voorkomt anderzijds niet dat bijvoorbeeld Klarna inzage heeft in betaaldata over 2,5 miljoen dagelijkse aankopen wereldwijd, wat een cruciaal onderdeel vormt van het daadwerkelijke businessmodel.

Meer regionale producten

Uit recente moties in de Tweede Kamer blijkt dat er zorgen zijn over de bedrijven van bijvoorbeeld Elon Musk vanwege inmenging in het overheidsbeleid en de afhankelijkheid van de regering van de technologieën die door deze bedrijven worden bedacht. Er wordt gewerkt aan een digitaliseringsstrategie, waarin autonomie en soevereiniteit tot de hoofdthema’s behoren. Bovendien wordt er gestreefd naar meer gebruik van regionale producten.

Eerlijker speelveld

Op Europees niveau zijn initiatieven ontwikkeld om een eerlijker speelveld te creëren, zoals de Digital Markets Act (DMA) en Digital Services Act (DSA). De redenering voor deze kaders zijn het tegengaan van oneerlijke concurrentie, verspreiding van desinformatie en handel in illegale materialen. Hierbij wil de EU online veiligheid waarborgen en eerlijkere concurrentie bevorderen. Dit wordt echter niet zo ervaren aan de andere kant van de Atlantische oceaan. De voorzitter van het gerechtelijk comité van het Amerikaanse Huis van Afgevaardigden heeft bij de EU vragen gesteld over de handhaving van de DMA. Hij stelt dat de wet Amerikaanse bedrijven onevenredig treft en dat deze neerkomt op een ‘belasting’. Door handhaving van de DMA zou innovatie worden beknot en China in de kaart worden gespeeld.

Handhaving EU-regelgeving onder druk?

In Amerika zelf zijn er als gevolg van geringe aandacht van opvolgende presidenten en een sterk verdeeld electoraat weinig grenzen gesteld aan Big Tech. De alliantie die is gesmeed door de regering Trump-2 en de techbedrijven – ook al lijken de verhoudingen tussen Trump en Musk inmiddels bekoeld – werpt nieuw licht op de afhankelijkheid die we ook in Nederland hebben van deze technologiespelers. Ook als de wetgeving op orde is, kan de mate van handhaving onder druk komen te staan onder invloed van de nieuwe geopolitieke realiteit in 2025. In hoeverre zal Europa naleving afdwingen als overheden, publieke organisaties en bedrijven afhankelijk zijn van deze leveranciers? En welke maatregelen zijn er in dit complexe speelveld te treffen door toezichthouders?

Vijf aanbevelingen voor toezichthouders

Bij de aanbevelingen hieronder hoort een passend onderscheid tussen de verantwoordelijkheden van de toezichthouder en de bestuurder, zodat de structuur van checks and balances in stand blijft. De raad van commissarissen of raad van toezicht (rvc/rvt) mag niet plaatsnemen op de stoel van de bestuurder en kan alleen toezicht houden op het beleid. De rolvaste positie van de toezichthouder is daarom zich steeds goed te laten informeren over thema’s die impact hebben op de rechtspersoon en daarover de juiste vragen te stellen aan de bestuurder.

Vijf aanbevelingen

  1. Het thema digitalisering en digitale veiligheid moet zijn opgenomen in de overlegstructuur en kansen en bedreigingen dienen op regelmatige basis te worden beoordeeld. Het onderwerp kan het best worden besproken met de volledige rvt/rvc, die zich daarbij zo nodig kan laten ondersteunen door specialisten in de organisatie of externe adviseurs.
  2.  De wettelijke ontwikkelingen volgen elkaar in hoog tempo op, onder meer vanwege schuivende panelen op het wereldtoneel. Het is dus belangrijk dat toezichthouders op de hoogte blijven van verplichtingen op het gebied van digitaal risicobeheer, rapportage en controleprocedures. Zo wordt er in de NIS-2 wetgeving hoofdelijke aansprakelijkheid voor bestuurders vastgesteld. Het Nationaal Cyber Security Center heeft een routekaart risicomanagement opgesteld om overzicht te creëren.
  3. Ook geopolitiek moet besproken worden als onderdeel van risicobeheersing, op eenzelfde manier als onder punt 1. Dit geldt voornamelijk voor organisaties met internationale ambities en afhankelijkheden, bijvoorbeeld als onderdeel van de strategie. Wat is de invloed van internationale spanningen op de bedrijfsvoering? Wat betekent dit voor beoogde afzetmarkten en leveranciersketens? Bestaan er regionale alternatieven?
  4. Daarnaast dient het specifieke geopolitieke risico dat mede voortkomt uit afhankelijkheid van buitenlandse techbedrijven of -systemen te worden toegevoegd aan het risicoregister van de organisatie. Een analyse van de afhankelijkheid van buitenlandse kennis, technologieën, infrastructurele componenten en data die risico lopen is noodzakelijk. Hierbij moet in kaart worden gebracht wat de belangrijkste omzet- en kostendrijvers zijn. Van de belangrijkste daarvan moet bepaald worden wat de bedreigingen kunnen zijn, hoe waarschijnlijk deze zijn en hoe ze beheerst kunnen worden. Per geïdentificeerd risico dient een duidelijke eigenaar in de organisatie te worden aangewezen, die weet wat er moet gebeuren in tijden van crisis. Toezichthouders kunnen naar een dergelijke analyse vragen en deze met de bestuurder bespreken.
  5. Tot slot moet nagedacht worden over passende ethische kaders. Welke waarden en normen streeft de organisatie na? En hoe past technologie in dit plaatje? Discussies dienen gevoerd te worden tussen bestuurder en toezichthouder over bijvoorbeeld de aanwezigheid op een platform als X, het al dan niet betalen van afpersers in geval van een ransomware-aanval en bijvoorbeeld ethisch gebruik van AI.

Integrale blik nodig

In 2024 is uit onderzoek gebleken dat veel organisaties vaak wel losse problemen onderkennen, maar niet altijd komen tot geïntegreerde oplossingen. De complexiteit in de wereld vraagt echter juist om een integrale blik op de strategie. Dat geldt ook voor de combinatie van tech en geopolitiek.

Dialoog voeren met bestuur

Door de juiste vraagstelling en het in kaart laten brengen van de grootste bedreigingen kan er proactief en strategisch worden omgesprongen met dit onderwerp. Tegelijkertijd is de afhankelijkheid groot en zijn de alternatieven beperkt. In de rol van de toezichthouder is voldoende kennis over zowel technologie als geopolitiek van groot belang: hierdoor kan hij of zij de juiste dialoog voeren met het bestuur.

Sophie Witsenburg schreef dit artikel als eindopdracht voor de Leergang Board Potentials van NR Governance.

Klik hier voor contact met Sophie Witsenburg.

Geraadpleegde literatuur en bronnen

Groot, Jochem de, De Geopolitiek van AI: Wendbaar Blijven op Woelige Baren. Goed Bestuur en Toezicht, 2025.

Klerkx, Arnoud, Digitalisering en IT voor commissarissen en toezichthouders – Wat elke toezichthouder zou moeten weten. Boom, 2022.

Schaake, Marietje, De Tech Coup, hoe tech is gaan regeren en we de macht weer terugwinnen. Atlas Contact, 2024.

Auteurs
Sophie Witsenburg
Head of Hydrogen Business Development NL bij energiebedrijf RWE en aankomend toezichthouder
Sector
Bedrijfsleven
Semipubliek
Thema
Geopolitiek
technologie
Kennispartner
NR Governance

Verder in deze Governance Update

Informatie-paradox
Triple Whammy
Impact van Geopolitiek
De portefeuille van... Daan Kersten
On Board
De toekomst van duurzaamheid: verankering in bestuur en toezicht
Hoe ondersteun je de directie bij het formuleren van een gedeelde ambitie?
Kijk vaker door de voorruit en blik minder in de achteruitkijkspiegel
OR: van nice to have naar need to have
Samen sterk