Duration: 0:50:07
Time Who? Text
0:00:00 A Hi Mark!
0:00:01 I Hi! Even kijken hoor, want ik kom net binnen. Even alles goed zetten. Zo, hoor je mij goed?
0:00:08 A Ik hoor jou luid en duidelijk.
0:00:11 I Ja, hetzelfde.
0:00:12 A Perfect, uhm. Allereerst, enorm bedankt voor je tijd. Heel fijn. Het is soms moeilijk om mensen te vinden die én de kennis hebben van zaken én bereid zijn kort de tijd te nemen om deze met anderen te delen. Dus dat helpt alvast enorm! Ik kwam op jouw contactgegevens naar aanleiding van de NL Digitaal Conferentie waar ik jou hoorde spreken. Dat was volgens mij eind maart als ik het goed zeg.
0:00:46 I Ja, dat zou goed kunnen.
0:00:48 A In een panel met ook iemand van Philips. Ik was toen al aan het nadenken over mijn Master thesis. In het kort, om je een intro te geven van waar het over gaat. Eigenlijk ben ik aan het kijken naar hoe maatregelen zoals bijvoorbeeld data localization requirements effect hebben op bedrijven die across borders opereren, multinationals voornamelijk. Hierbij focus ik nu op multinationals in de household appliances industrie en cloud computing industrie. Dit soort bedrijven die in verschillende markten opereren. Als je kijkt naar de bestaande literatuur, dan weten we dat het effect hiervan negatief is, maar we weten nog minder goed hoe zich dat vertaalt naar de praktijk etc.
Uw collega van Philips gaf op die dag bijvoorbeeld aan dat ze huiverig zijn om bepaalde projecten uit te voeren in markten die erg strenge data flow restrictions hebben. Dit omdat het na afloop van het project moeilijker is om het eindproduct naar andere markten te verplaatsen. Dus zouden ze het project dan in een andere markt uitvoeren, met mindere strikte regulaties. Dit soort bevindingen ben ik - zeg maar - naar op zoek met deze master thesis. Dit soort kennis. Hoe beïnvloeden dit soort maatregelen op de eind van de dag de bedrijfsvoering?
Een tweede voorbeeld is bijvoorbeeld het Zweedse vrachtwagen bedrijf Scania. Zij hebben diagnostische sensoren in hun vrachtwagens. Op het moment dat zo'n vrachtwagen China binnenrijdt, dan moeten al die sensoren worden uitgeschakeld. Dit omdat de Chinese wetgeving het niet toestaat om data vanuit China naar een server buiten China stuurt. Dat soort dingen ben ik een beetje naar op zoek. De vragen gedurende dit gesprek zullen daardoor breed en open zijn. Ik vertrouw daarmee op de interviewee om zijn/haar ervaringen en expertise te delen. Voel je daarin dus ook vrij. Is deze introductie voor jou duidelijk?
0:03:13 I Ja, is helemaal helder. Ik zit ondertussen even te denken, moet je maar even kijken hoe de vragen lopen, maar wellicht heb ik nog wel een interessante collega. Dat is een Vlaamse collega. Althans, half Vlaams, half Tsjechisch. Ze spreekt Nederlands, dat bedoel ik te zeggen. Die is binnen ons Europese team voor government relations degene die alles doet met trade en data flows. We moeten maar even kijken hoe het loopt en op het einde waar we staan. Voor hetzelfde geld kan ik jou aan hem linken, dat je hem ook nog interviewt.
0:03:50 A Dat zou heel fijn zijn. Dankje.
0:03:52 I Ja, maar moeten we maar even kijken hoever we komen. Het grootste deel weet ik zelf ook wel denk ik, maar let's see.
0:04:00 A Top. Het zijn eigenlijk maar een klein aantal vragen. Ik werk met een semigestructureerde interview guide dus er is genoeg ruimte om jouw ervaringen te delen.
Dus in die zin ga ik heel erg voortbouwen op wat ik van jou te horen krijg en daar stel ik dan vervolgenvragen op etc. Dan loopt het over het algemeen merk ik wel los. Dus, wat ik zeg, de termen zijn hier en daar wellicht wetenschappelijk en breed. Dus als je het hebt over localization requirements, dan heb ik het inderdaad over inderdaad bijvoorbeeld China. Waarbij data die geprocessed wordt op servers in China moet staan. Dat is een hele duidelijke. Gaat daar bij jou al meteen een belletje rinkelen? Kun je iets bedenken als je kijkt naar je eigen werk bij IBM, hoe je daardoor beïnvloed wordt? Dat soort regulatie.
0:04:42 I Ja, ja. Volop. Uhm. Niet alleen daar hé. Op dit moment ligt er ook in India een wetsvoorstel en een voornemen over dit soort zaken. Dat is ook compleet nationalisatie van wat er met data kan en mag gebeuren. Dat het allemaal in India moet plaatsvinden, met Indiase bedrijven etc. Kijk, IBM is een wereldwijd opererend bedrijf, we noemen onszelf ook bewust geen multinational, maar een globally integrated enterprise. Dat klinkt misschien flauw, maar zo zien wij onszelf
ook echt. Zo opereren we ook echt. Dus we hebben ook in 173 landen bijna 400000 mensen wereldwijd, dat zijn er best een paar.
En, en, ook organisatorisch is het zo dat we dus niet zo zeer per land of per werelddeel helemaal georganiseerd zijn. Sterker nog, we zijn vaak inhoudelijk functioneel georganiseerd. Dan maakt het eigenlijk helemaal niet zoveel uit wie nu waar zit op welk moment. Hangt natuurlijk een beetje af van de soort functie die je hebt, maar je begrijpt wat ik bedoel. Dus ja, voor ons is iedere grens die ons weerhoudt om dingen geïntegreerd te benaderen is gewoon een pain in the neck zullen we maar zeggen.
Er moeten dus goede redenen om zo'n grens te hebben en te handhaven. Anders is het alleen maar onnodige ballast hé. Soms kan het ook wel gerechtvaardigd zijn natuurlijk. Als welk land ter wereld dan ook zegt, nou, ik heb defensie data of AIVD-achtige data, dat soort dingen, ja, dat je die op je eigen grondgebied wilt houden en zelfs binnen bepaalde muren of bunkers of weet ik veel wat, dat kan ik me goed voorstellen. Maar voor heel veel andere data is dat niet van toepassing.
Ook als je kijkt naar Europese wetgeving, ook naar Nederlandse wetgeving. Dan zie je vaak, ook bij de free-flow of data regulations vanuit Europa, dat er voor dat soort specifieke gevallen, nationale veiligheid, een uitzondering gemaakt wordt. Maar verder eigenlijk niet of nauwelijks. Hoe hindert dat IBM? Ja, kijk, bijvoorbeeld als ik even naar China kijk, dat ken ik wel goed. Maar India ken ik nog ietsje beter. Daar hebben wij een groot aantal medewerkers, het precieze aantal weet ik even niet, maar een groot aantal. Het zouden er zo meer kunnen zijn dan dat we er in de VS hebben zal ik zo maar zeggen. Die doen een voor een deel zaken die betrekking hebben op de Indiase markt, maar het merendeel is natuurlijk gewoon een global delivery center. Dus daar vandaan worden diensten geleverd voor klanten in heel de wereld. Voor een deel zijn dat call centra, dat soort dingen, voor een deel is dat software development, voor een deel is dat serviceverlening op afstand. Dan vliegt de data natuurlijk alle kanten op. Stel dat ik bijvoorbeeld een probleem met mijn computer heb, dan bel ik in ons geval 123 en dan krijg ik iemand in India aan de lijn, die neemt vervolgens mijn pc over en die gaat dat oplossen. Vervolgens gaat hij dat op afstand oplossen.
Op dat moment vliegen de data alle kanten op. Dat is nog intern, maar je kunt je voorstellen dat als je dat soort dienstverlening of zelf klanten of voor klanten die zo'n dienstverleningen aan hun klanten willen verlenen hé. De data vliegt dan alle kanten op. Dus ja, overall, hebben wij er dus zeker last van. Het is suboptimaal als data geforceerd gelokaliseerd moet worden. Daar zit natuurlijk een prijskaartje aan, economisch en financieel. Uiteindelijk voor de klant, maar zeker ook voor ons. Als dat niet nodig is dan is het beter om die localization requirements niet te hebben. Nogmaals, wat ik net zei, nationale veiligheid kan ik me heel goed voorstellen. Dan eis je dat gewoon en dan wordt daarvoor gezorgd. Ja, dat is een beetje het algemene antwoord denk ik, wat ik hierop zou hebben.
0:08:57 A Ja, ja. En, dus de resource allocation en de extra kosten die zijn in principe logisch. Dat is een een-weetje, als in, als er dat soort requirements zijn, dan moet je compliant zijn en dan moet je serverruimte aankopen. Is het zo simpel of komt er dan nog meer bij kijken nog?
0:09:16 I Ja, kijk. Uiteindelijk zeggen wij altijd, de klant bepaalt. Zo simpel is het ook nog. Als een klant zegt van, ik wil dat bepaalde data in mijn land blijft of binnen Europa blijft, nou, dan kan dat. Dan zorgen wij ervoor dat we voldoende datacenter capaciteiten in het gebied waar het nodig is. In sommige gevallen geven we de klant ook opties, dat we zeggen van, als wij het mogen sourcen over allerlei plekken, dan is dit het prijskaartje. Als je het binnen je eigen hek wilt houden, dan is dit het prijskaartje. Alles kan, u vraagt, wij draaien, maar dan is het wel duurder.
0:10:00 A Ja... En als je kijkt, in het geval, India is inderdaad met die - als ik het goed heb - nieuwe e-commerce regulatie ook vrij streng. Uhm. Als je kijkt naar Europa, naar GDPR, want onze simpele regel is op dit moment dat wij als Europese bedrijven wel data mogen sturen naar buiten, maar dan wel onder de voorwaarde dat er een gelijkwaardig privacy regime als het ware in place is. Heb je daar ervaringen mee? Als het gaat om hoe dat praktisch er uit ziet.
0:10:38 I Dat is nog een beetje afwachten inderdaad hoe dat gaat lopen inderdaad. Met name natuurlijk de Europese Commissie die met de lidstaten met een derde land om de tafel moet. Van, vinden wij elkaars regime goed gegaan? Een soort adequacy noemen ze dat dan. Om elkaar te, hoe noem je dat, certificeren of accepteren. Volgens mij is er, uit mijn hoofd, met Japan en de EU is er al zo'n soort akkoord. Dat is natuurlijk prima, als je dat van beide kanten kunt oplossen. Volgens mij zijn er ook gesprekken tussen de EU en Nieuw-Zeeland en Australië en dat soort landen.
Uhm. Dus ja, dat is puur vanwege de privacybescherming, dat dat op een adequaat niveau staat. Dat is op zich goed. Wat je hier ook wel ziet gebeuren is dat... Neem GDPR, daar is jarenlang over gesteggeld. Daar heeft IBM ook in de gesprekken meegedaan, als ik het rustig uitdruk. Vanaf de eerste draft tot aan het eindresultaat. Nou, uiteindelijk, de eerste draft waren we niet erg vrolijk over, omdat er nogal wat dingen in zaten die moeilijk werkbaar waren in de praktijk. Puur praktisch. Maar de uiteindelijke versie is zeker niet slecht. We zijn ook blij dat er nu in ieder geval een duidelijkheid is en een geharmoniseerd iets is. Dat is behalve in Europa, nu zelf de facto een standaard begint te worden, ook voor andere landen in de wereld. Ook vanwege die adequacy besprekingen die er lopen. Wil niet zeggen dat alle andere landen opeens GDPR 100% moeten overnemen, maar ze nemen er wel veel van mee en dat is denk ik niet verkeerd. Omdat je op die manier, hoe meer eenheid, hoe makkelijker het opereren is natuurlijk.
0:12:31 A Dus je zou, positief bekijkend, op termijn is dat eerder gunstig voor een bedrijf als IBM dan ongunstig?
0:12:39 I Ja, ja.... Het is natuurlijk... Het wordt natuurlijk lastiger, maar ik ga nu een beetje speculeren zeg ik er alvast bij. Even hardop nadenkend, als persoontje zeg maar. Dus geen officiële IBM-positie. Het wordt natuurlijk wat lastiger als je gaat kijken naar landen die traditioneel wat minder makkelijk om een akkoord mee te sluiten over dit soort zaken. Als je natuurlijk kijkt, ik noem maar wat, Iran of een Rusland, of misschien China, ja. Hoe is de privacy daar geregeld en wat ligt er in de wetten vast en wat is de dagelijkse praktijk? Hoe het echt wordt uitgevoerd... Ik denk dat dat wat lastiger is. Dat is met name een kwestie voor de Europese Commissie, de EU, om daar een oordeel over te vellen en te kijken, wat is nu echt adequaat en waar kunnen we mee leven? Dat is in de praktijk wel een lastige.
Ik denk overigens, kijk GDPR, de AVG of hoe je het wilt noemen, de privacy zaken, dat is een hele belangrijke. Wat ik al zei, goed dat dat de facto een standaard begint te worden. Dat heeft ook onze wereldwijde CEO ook wel geroepen toen ze afgelopen November in Brussel was. Was ze ook in gesprek met commissarissen en anderen. Daarnaast is het denk ik heel belangrijk, dat heeft in de pers veel minder aandacht gekregen, is dat anderhalf jaar geleden ofzo, ja zoiets, is er formeel akkoord bereikt tussen de EU-lidstaten en de commissie en het parlement over free flow of data. Dat gaat in principe om binnen de unie.
Dat is er eigenlijk uiteindelijk redelijk geruisloos gepasseerd en wordt nu in de praktijk gebracht, maar dat heeft ook jaren geduurd voordat dat zover was. Daar waren ook diverse landen binnen de EU niet direct voorstander van als ik het zo mag uitdrukken. Dan heb je het juist over de wat grotere landen, zeg maar de 2 grootste.
0:14:43 A Duitsland en Frankrijk?
0:14:45 I Ja, precies. Nou ja, het heeft nogal wat moeite gekost en met name ook Nederland, zelfs Premier Rutte heeft zich daar mee bemoeid. Hij heeft een groep van 15/16 landen aangevoerd om met brieven gezamenlijk aan Juncker en anderen. Van joh, dit moet echt gebeuren, als we een interne markt binnen Europa willen hebben, dan kan dat niet meer, deze dagen, zonder een interne digitale markt. Dus, vrij verkeer van data. Daarvoor was het nog wel regelmatig zo dat bepaalde landen, ook in overheidsaanbestedingen, dan eisten van ja, hé, je mag hier wel op aanbesteden maar die data moet wel in dit land blijven. De facto waren ze dan dus bezig om eigen leveranciers te bevoordelen. Omdat partijen zoals wij of Microsoft, die hebben niet in elk klein land in de EU een datacenter staan. Dus ja, dat, ik denk dat dat ook nog wel een hele belangrijke stap geweest is. In ieder geval binnen de EU, om ook van het digitale aspect de interne EU-markt gemeenschappelijk te maken, echt gemeenschappelijk.
0:15:59 A Oké. En als je kijkt naar GDPR, maar ook bijvoorbeeld zo'n free flow of data agreement, dat is natuurlijk binnen Europa. Als je kijkt naar de GDPR en dat binnen een groter perspectief plaats, ook als het gaat om andere landen, zoals Iran e.d., in hoeverre, persoonlijke vraag. Je zei al privacy protection is goed en belangrijk, dat zal ook niemand betwisten, maar in hoeverre zou jij zeggen dat zo'n GDPR ook op een bepaalde manier een stok achter de deur is voor bijvoorbeeld de EU... In het geval van China zeggen ze natuurlijk altijd dat het om privacy en veiligheid gaat, en dan functioneert dat als cover-up. Er zijn bijvoorbeeld ook scholars die claimen dat GDPR tot op zekere hoogte ook zeker protectionistische kenmerken heeft. Hoe zou jij dat zien?
0:17:08 I Ja, nee, dat is inderdaad een reëel gevaar. Dat zie je ook wel, je zou eigenlijk ook wat mensen moeten spreken die binnen de Europese Commissie hiermee bezig zijn denk ik. Daar zie je ook wel verschillende bloedgroepen. Aan de ene kant heb je de mensen die binnen de Europese Commissie in de justitie-hoek zitten. Aan de andere kant heb je de mensen die handel doen. Daarnaast heb je natuurlijk de mensen die voor digitaal en data zijn. Daar zitten wel heel verschillende meningen over dit soort zaken tussen, kan ik je verzekeren. Waarbij natuurlijk de justitie-hoek heel hard
roept, joh, GDPR is leidend en heilig, en daar mag niemand aan komen. Nou, enerzijds snap ik dat ook wel. Alleen als je dan vervolgens met bepaalde landen in overleg gaat en zegt van joh, wij eisen gewoon GDPR-gelijkwaardigheid etc. Dat vinden ze best, maar dan willen ze ook zelf de vrijheid hebben om op basis van mijn eigen privacyoverwegingen die ook strikt zijn, beperkende maatregelen te nemen, voor wat ik zelf eis.
Dat is natuurlijk waar jij ook op doelt. Voor je het weet heb je dan toch weer oneigenlijke eisen. Dus, wij hebben ook wel gesuggereerd, ook richting de Europese Commissie, als dus nieuwe handelsverdragen worden afgesloten met bepaalde landen. Een tijdje terug was Mexico aan de orde en daarna Vietnam, en de Filipijnen, Indonesië. Ik zie het langskomen. Daar hebben wij in ieder geval vanuit IBM, ook vanuit Business Europe met de gezamenlijke bedrijven, ervoor gepleit om dan in ieder geval wat woorden op te nemen dat als er maatregelen genomen worden in een bepaald land, om toch lokalisatie te eisen, dat het in ieder geval non- discriminator moet zijn. Objectief uit te leggen en dat er ook een arbitrage kan plaatsvinden of iets dergelijks, door een onafhankelijk orgaan. WTO-achtig iets. Daar is tot ons verdriet - zeg maar - de Europese Commissie eigenlijk nooit mee aan de slag gegaan. Die hebben zoiets van, dat hebben we allemaal niet nodig. Het is GDPR en het moet GDPR gelijkwaardig zijn en voor de rest vinden we het wel best. Als ik het even heel zwart-wit zeg.
Ik heb het er ook in Nederland wel met ministers over gehad, met buitenlandse zaken die internationale handel doen, regelmatig over gesproken. Die hebben eigenlijk dezelfde positie als wij, die hebben alleen natuurlijk het probleem dat alle handelskwesties zijn puur Europese kwesties waarbij de Europese Commissie in feite kan doen en laten wat ze wil. Dat is misschien niet helemaal ideaal in dit geval. Dus, bijvoorbeeld, ik weet niet of je ook met buitenlandse zaken gesproken hebt, maar daar heb je <NAME>, ik weet niet of je die kent?
0:20:08 A Nee, ik heb me tot nu toe echt puur gefocust op de business-kant van dit verhaal. Ook een beetje, daarmee krijg je uiteraard wellicht enigszins een bias, maar dat is in dit geval niet heel erg. Omdat het voornamelijk gaat over de effecten op business. Maar wellicht kan ik dat zeker nog uitbreiden inderdaad. Dat staat niet per definitie vast. Dan zou ik even moeten kijken in een later stadium van de studie. Wat de impact op bedrijven is voor nu even de voornaamste focus. Maar de combinatie is